Mit der rasanten Entwicklung der Technologie ist die Cybersicherheit in vielen Branchen unverzichtbar geworden. Da das Risiko von Cyberangriffen auch die Gesundheitsbranche erfasst, sieht sich der US-Kongress gezwungen, Maßnahmen zu ergreifen. Da eine Reihe medizinischer Geräte - IV-Pumpen, MRT-Geräte, Herzfrequenzmessgeräte - zunehmend mit digitalen Netzwerken verbunden werden können, sind sie zunehmend anfällig für Cyberrisiken.
Zunehmende Risiken für die Cybersicherheit
Mehrere Faktoren tragen zum Anstieg der Bedrohungen der Cybersicherheit für medizinische Geräte bei. Der einfachste ist die zunehmende Vernetzung in der Medizinbranche. Immer mehr medizinische Geräte werden so konzipiert, dass sie mit dem Internet und anderen digitalen Netzwerken verbunden werden können. Dieser technologische Fortschritt hat zwar zahlreiche Vorteile, birgt aber auch Risiken für die Software - und damit für die Patientendaten. Hacker können Schwachstellen in der Software oder in den Netzwerkverbindungen ausnutzen, um Zugang zu sensiblen Daten zu erhalten oder sogar das Gerät selbst zu übernehmen. In diesen Fällen können Produktrückrufe besonders gefährlich für das Leben der Patienten sein, da eine kontinuierliche Nutzung des Geräts nicht möglich ist.
Auch das Konzept der Fehlerbehebung muss berücksichtigt werden. Manchmal können angeschlossene Geräte mit einem Over-the-Air-Software-Patch repariert werden. Angesichts der Beschaffenheit einiger Geräte und ihrer kritischen Bedeutung für die Gesundheit eines Patienten sind weder ein Software-Patch noch ein Rückruf eine einfache Lösung. Hinzu kommt, dass in Krankenhäusern und medizinischen Zentren schwere Geräte und Apparate installiert sind, die nicht einfach von ihrem Standort entfernt werden können: MRT-Scanner, Röntgen- und Ultraschallgeräte, um nur einige zu nennen. Da diese Geräte zunehmend mit den Krankenhausnetzwerken verbunden werden, sind auch sie anfällig für Cyber-Bedrohungen. Wenn diese nicht aus der Ferne mit einem Software-Patch behoben werden können, ist in der Regel der Einsatz eines Technikers vor Ort erforderlich, der die Geräte inspiziert, diagnostiziert und repariert.
Die Möglichkeit eines Rückrufs hängt nicht nur von einem tatsächlichen Vorfall ab, sondern auch von der Anfälligkeit für Cyberangriffe. Präventive Schwachstellentests spielen eine entscheidende Rolle bei der Identifizierung von Schwachstellen im Sicherheitsgefüge dieser Geräte und tragen dazu bei, das Auftreten von Vorfällen zu mindern, bevor sie eintreten. Durch eine kontinuierliche Bewertung - und die Behebung entdeckter Schwachstellen - können Gesundheitsdienstleister und Hersteller die allgemeine Cybersicherheit kritischer medizinischer Geräte verbessern und so das Risiko von Schäden für Patienten und Datenverletzungen verringern.
Die Regulierungsbehörden für Medizinprodukte haben es eilig, mit der sich schnell entwickelnden Technologie Schritt zu halten. Dennoch gibt es in der gesamten Branche keine standardisierten Sicherheitsvorschriften. Daher können die Hersteller ihre Produkte nicht mit einem soliden Sicherheitssystem ausstatten und überlassen es den Gesundheitsdienstleistern, die Sicherheit ihrer Geräte bestmöglich zu bewerten. Viele der medizinischen Geräte beruhen auf Altsystemen, die nicht nach modernen Sicherheitsstandards entwickelt wurden. Diese Systeme können besonders anfällig für Cyberangriffe sein und sind schwieriger - und teurer - zu aktualisieren, um sie vor modernen Bedrohungen zu schützen.
Kongress bewilligt Mittel für Cybersicherheit
Bis zur Verabschiedung der jüngsten Gesetzgebung hatte die US Food and Drug Administration (FDA) keine Befugnis zur Durchsetzung von Cybersicherheitsrichtlinien. Ein im Dezember 2022 unterzeichneter Gesetzesentwurf mit der Bezeichnung Consolidated Appropriations Act, 2023 (H.R. 26217) - mit 1,7 Billionen Dollar an diskretionären Mitteln für das gesamte Haushaltsjahr, dem höchsten Niveau an Nicht-Verteidigungsmitteln in der Geschichte der USA - hat das bisher größte Potenzial zur Eindämmung von Cybersicherheitsbedrohungen. Die Omnibus-Bewilligungsvorlage ist vollgepackt mit Mitteln für Regierungsprogramme und die wirtschaftliche Entwicklung in den Bereichen ländliche Entwicklung und Infrastruktur, Naturschutz, Tier- und Pflanzengesundheit, Agrar- und Marketingforschung und mehr.
Darunter sind 3,5 Mrd. USD für die FDA vorgesehen, die sich u. a. mit der Opioid-Krise, Fragen der medizinischen Versorgungskette und - ja - der Verbesserung der Cybersicherheit von Medizinprodukten befassen soll. Außerdem wurde der FDA zum ersten Mal die Befugnis erteilt, Cybersicherheitsstandards für Medizinprodukte festzulegen und durchzusetzen.
Wie der Consolidated Appropriations Act helfen kann
Der Consolidated Appropriations Act enthält mehrere Bestimmungen, die auf die Cybersicherheit von Medizinprodukten abzielen und gleichzeitig die Regulierungsbefugnisse der FDA erweitern.
Erstens werden auf Bundesebene Sicherheitsanforderungen in noch nie dagewesenem Umfang eingeführt. Die Hersteller müssen Sicherheitskontrollen einführen, die den unbefugten Zugang zu den Geräten verhindern, die Zugänglichkeit der Medizinprodukte im Falle eines Cyberangriffs sicherstellen und die Vertraulichkeit der Patientendaten schützen. Jeder Hersteller muss der FDA einen umfassenden Cybersicherheitsplan vorlegen, der vor der Markteinführung geprüft wird und in dem die Verfahren aufgeführt sind, mit denen sichergestellt wird, dass den Verbrauchern nach der Markteinführung Software- und Firmware-Updates zur Verfügung stehen.
Die Maßnahmen erfordern auch eine verbesserte Transparenz und Rechenschaftspflicht der Hersteller. Nun müssen die Hersteller der FDA (sowie den betroffenen Patienten) innerhalb eines bestimmten Zeitrahmens Vorfälle im Bereich der Cybersicherheit melden und aktuelle Informationen über den Fortschritt der Abhilfemaßnahmen und Pläne zur Verhinderung ähnlicher Vorfälle vorlegen.
Produktrückrufe und Sanierungsmaßnahmen aufgrund von Cyber-Bedrohungen kommen häufig vor, und da Behörden (wie die FDA) ihre Kritik an Herstellerentscheidungen immer häufiger öffentlich äußern, müssen die Hersteller sich an die Regeln halten, um einen öffentlichen Rückschlag zu vermeiden. Folglich besteht ein größerer Anreiz, den Rat von Experten zu befolgen und Rückruf- und Sanierungspläne aufzustellen, die die Reaktion auf eine produktbezogene Krise beinhalten. Es wird auch vorgeschlagen, dass die Hersteller im Rahmen ihrer Risikomanagementprotokolle Rückrufübungen durchführen.
Einige Bestimmungen zielen nicht nur auf die Hersteller von Medizinprodukten ab - wie etwa eine wichtige Bestimmung, die die Einrichtung eines neuen Zentrums innerhalb der FDA vorsieht, das sich mit der Verbesserung und Koordinierung der Cybersicherheitsmaßnahmen für Medizinprodukte befasst. Das Cybersecurity Center of Excellence wird Standards und Best Practices entwickeln und umsetzen, Hersteller und Gesundheitsdienstleister anleiten und die Gerätesicherheit bewerten. Wichtig ist, dass damit eine Brücke zwischen Herstellern und der Bundesregierung geschlagen wird, um einen Weg zu finden, wie die Cybersicherheitsbelange in der Medizinprodukteindustrie angegangen werden können.
Andere Bestimmungen fördern den Informationsaustausch und die Zusammenarbeit zwischen den Beteiligten; die FDA wird verpflichtet, eine öffentlich-private Partnerschaft zur Förderung der Cybersicherheit innerhalb der Branche zu gründen. Die FDA wird außerdem verpflichtet, ein neues Pilotprogramm einzurichten, das die Meldung von Cyber-Sicherheitslücken bewerten und der Behörde wichtige Daten über Risiken liefern soll.
Die voraussichtlichen Auswirkungen
Jetzt, da die FDA, die Hersteller und die Gesundheitsdienstleister zusammenarbeiten müssen, können Probleme, die mit mangelnder Klarheit oder Transparenz zu tun haben, endlich gelöst werden. Da die Hersteller verpflichtet sind, in Rückrufberichten detaillierte Angaben zur Cybersicherheit zu machen, hohe Sicherheitsstandards zu gewährleisten und der Behörde Informationen zu übermitteln, werden die FDA und die Gesundheitsdienstleister über eine Fülle von Informationen verfügen, um die mit Medizinprodukten verbundenen Cybersicherheitsrisiken besser zu verstehen.
Wenn die FDA hingegen Anleitungen für Überprüfungen nach dem Inverkehrbringen bereitstellt, ein spezielles Zentrum für die Entwicklung von Standards einrichtet und ein Pilotprogramm für Schwachstellen einführt, erhalten Hersteller (und Gesundheitsdienstleister) hilfreiche Erkenntnisse, die zur Verbesserung von Problembereichen und zur Verringerung des Risikos von Produktrückrufen beitragen.
Wenn Medizinprodukte eine Gefahr für Patienten darstellen, ist schnelles Handeln von entscheidender Bedeutung. Rückrufe von Medizinprodukten können nicht nur die Gesundheit der Patienten gefährden, sondern auch verheerende Auswirkungen auf die Marke und den Gewinn eines Unternehmens haben und das Unternehmen für behördliche Maßnahmen und Rechtsstreitigkeiten anfällig machen. Die Markenschutzexperten von Sedgwick verfügen über jahrzehntelange Erfahrung mit Medizinprodukten und helfen Ihnen bei der Entwicklung, Verbesserung, Prüfung und Ausführung Ihrer Produktrückrufpläne oder Sanierungsverfahren.
Mehr erfahren > Besuchen Sie unsere Website und erfahren Sie mehr über unsere Erfahrungen im Bereich der Medizinprodukte
Tags: Cyber, Cyber-Risiko, Cybersicherheit, Daten, Gesundheit, Gesundheit und Sicherheit, Gesundheitssorgen, Medizinische Versorgung, medizinische Ansprüche, Medizin, Sicherheit, Sicherheit