La Agencia del Medicamento de Estados Unidos (FDA, por sus siglas en inglés) ha propuesto una guía “más estricta” sobre seguridad cibernética para reforzar las medidas y así proteger a los dispositivos médicos conectados.
En concreto, en un comunicado, la agencia ha señalado que las revisiones y actualizaciones periódicas son especialmente necesarias cuando se trata del tema de la seguridad cibernética debido a "el panorama en rápida evolución y la mayor comprensión de las amenazas y sus posibles mitigaciones”, así como un número cada vez mayor de ataques dirigidos a dispositivos y proveedores de atención médica.
La guía, que aceptará comentarios hasta principios de julio, gira en torno a cuatro principios básicos: la idea de que la seguridad cibernética es una parte clave de la seguridad general del dispositivo, la necesidad de que los elementos de seguridad estén integrados en todo el dispositivo diseño, la importancia de la transparencia en la divulgación de las medidas y vulnerabilidades de ciberseguridad y el mandato de que todas las vulnerabilidades potenciales se exploren en la aplicación regulatoria del dispositivo.
"Estas recomendaciones pueden facilitar un proceso de revisión previo a la comercialización eficiente y ayudar a garantizar que los dispositivos médicos comercializados sean lo suficientemente resistentes a las amenazas de seguridad cibernética", ha asegurado la Agencia.
La FDA ha solicitado a los desarrolladores que incluyan todos los componentes de terceros en sus evaluaciones de riesgos de seguridad cibernética
Por ello, para garantizar que estos cuatro principios centrales estén presentes en el desarrollo de un dispositivo y en las eventuales presentaciones a la FDA, la agencia recomienda que los fabricantes de dispositivos creen y adopten un ‘Marco de desarrollo de productos seguros o SPDF’ que describe como "un conjunto de procesos que reducen el número y la gravedad de vulnerabilidades en los productos a lo largo del ciclo de vida del dispositivo”.
Un SPDF debe comprender los esfuerzos de gestión de riesgos de un fabricante de dispositivos, la arquitectura de seguridad de cada uno de sus dispositivos, así como los detalles de sus pruebas de ciberseguridad.
De igual modo, el regulador estadounidense también ha solicitado a los desarrolladores que incluyan todos los componentes de terceros en sus evaluaciones de riesgos de seguridad cibernética, idealmente compilando una "lista de materiales de software" que enumeraría cada componente de un dispositivo para que sea más fácil identificar la fuente de cualquier vulnerabilidad futura.
Al enviar esa información durante el proceso de revisión previo a la comercialización, la agencia podrá evaluar mejor su seguridad y sopesar los posibles riesgos de piratería.
Finalmente, junto con las pruebas típicas de la capacidad de un dispositivo para abordar un problema de salud designado, la FDA también está pidiendo a los fabricantes que sometan sus productos a la guía de seguridad cibernética y envíen esos resultados de la misma manera que la documentación del ensayo clínico, que abarca los requisitos de seguridad, amenazas y esfuerzos de mitigación y pruebas de vulnerabilidad y penetración.