Med-tech handelsgruppe lancerer online cybersikkerhedsværktøj

Cybersikkerhedsbegivenheder som 2016's NotPetya ransomware-angreb har en tendens til at ankomme i udbrud af forvirring og bekymring, men det hårde arbejde med at afbøde cybersikkerhedsrisici inden for sundhedsteknologi er indlejret i den daglige opgave i den medicinske teknologiindustri, siger insidere.

Food and Drug Administration kræver, at virksomheder inden for medicinsk udstyr planlægger cybersikkerhed på de tidligste stadier af design, og at overvåge for nye sårbarheder længe efter, at enheder er blevet sendt til kunder. Men industriinsidere siger, at virksomheder er ujævne i deres evner og vilje til at tage fat på problemet og tale åbent om det, som kan hindre fremskridt.

Nu skaber den Washington-baserede medicintekniske handelsgruppe AdvaMed et nyt kommunikationsværktøj til med-tech-virksomheder kendt som en "informationsdelings- og analyseorganisation, " eller ISAO (udtales "I-sow"), der vil give teknisk-mindede med-tech-eksperter mulighed for at udveksle tips og analyser af igangværende problemer.

Nyheden om ISAO's forestående oprettelse kommer, da FDA er ved at færdiggøre en opdatering af sin fem år gamle vejledning om de ting, som enhedsproducenter skal gøre på cybersikkerhedsfronten, før de beder om tilladelse til at markedsføre deres enheder i USA.

Kendt som "premarket"-indsendelsesvejledningen, det 24 sider lange udkast til de nye regler præciserer specifikke opgaver og mål, som at arbejde for at forhindre uautoriseret adgang og beskytte følsomme data. (Offentlige kommentarer til vejledningen, før den er færdiggjort, skal afleveres på mandag.)

"Disse dokumenter ... formidler ikke blot 'vejledning', som en producent kan vælge at følge, "Zach Rothstein, vicepræsident for teknologi og regulatoriske anliggender hos AdvaMed, sagde i et telefonmøde med journalister torsdag. "En producent kan ikke vælge at ignorere dokumenterne. Hvis de skulle gøre det, FDA ville sandsynligvis ikke gennemgå præmarket-indsendelsen, eller i post-marketing omgivelser kunne FDA træffe håndhævelsesforanstaltninger."

Deltagelse i en ISAO er en måde, hvorpå en medteknologisk virksomhed kan vise tilsynsmyndigheder og offentligheden, at det er seriøst med cybersikkerhed.

FDA's post-market cybersikkerhedsvejledning, vedtaget i 2016, siger, at producenter bør rette ukontrollerede cybersikkerhedssårbarheder så hurtigt som muligt, og rapporter dem til FDA. Imidlertid, hvis producenten afhjælper problemet, afslører det til sin ISAO, og sårbarheden har ikke ført til død eller alvorlige helbredsproblemer, så kan virksomheden undgå at rapportere problemet til FDA, efter reglerne fra 2016.

Rothstein sagde, at AdvaMed ISAO vil være som et almindeligt onlineforum, bortset fra, at det vil have stærk sikkerhed, og dets brugere vil være begrænset til eksperter i cybersikkerhed, som har accepteret ikke at dele fortrolige oplysninger uden for forummet.

Gruppen vil hjælpe eksperter med at sammenligne noter i realtid. Men det vil også tjene en vigtig funktion for mindre virksomheder, som kan have svært ved at få råd til den cybersikkerhedskompetence, de har brug for.

"Det er nok ikke nogen overraskelse at høre, at jo mindre medicinalfirmaet er, jo sværere er det for dem at ansætte, fastholde og betale for cybersikkerhedsekspertise, " sagde Rothstein. "En del af det, vi bruger ISAO til at gøre, er at give den type uddannelse (til) vores mellemstore, mindre virksomheder."

©2019 Star Tribune (Minneapolis)
Distribueret af Tribune Content Agency, LLC.