Les événements de cybersécurité comme l'attaque du ransomware NotPetya de 2016 ont tendance à arriver dans des bouffées de confusion et d'inquiétude, mais le travail acharné d'atténuation des risques de cybersécurité dans la technologie des soins de santé est ancré dans le quotidien de l'industrie de la technologie médicale, les initiés disent.

La Food and Drug Administration exige que les entreprises de dispositifs médicaux planifient la cybersécurité dès les premières étapes de la conception, et pour surveiller les nouvelles vulnérabilités longtemps après que les appareils ont été expédiés aux clients. Mais les initiés de l'industrie disent que les entreprises sont inégales dans leurs capacités et leur volonté d'aborder le problème et d'en parler ouvertement, ce qui peut entraver le progrès.

Aujourd'hui, le groupe commercial de technologie médicale basé à Washington AdvaMed crée un nouvel outil de communication pour les entreprises de technologie médicale connu sous le nom d'« organisation de partage et d'analyse d'informations, " ou ISAO (prononcé "I-sow") qui permettra aux experts en technologie médicale à l'esprit technique d'échanger des conseils et une analyse des problèmes en cours.

La nouvelle de la création imminente de l'ISAO intervient alors que la FDA finalise une mise à jour de ses directives vieilles de cinq ans sur les choses que les fabricants d'appareils doivent faire sur le front de la cybersécurité avant de demander l'autorisation de commercialiser leurs appareils aux États-Unis.

Connu sous le nom de guide de soumission "pré-commercialisation", le projet de 24 pages des nouvelles règles énonce des tâches et des objectifs spécifiques, comme travailler pour empêcher les accès non autorisés et protéger les données sensibles. (Les commentaires du public sur les orientations avant leur finalisation sont attendus lundi.)

"Ces documents... ne se contentent pas de transmettre des "orientations" qu'un fabricant peut choisir de suivre, " Zach Rothstein, vice-président de la technologie et des affaires réglementaires chez AdvaMed, a déclaré jeudi lors d'une conférence téléphonique avec des journalistes. "Un fabricant ne peut pas choisir d'ignorer les documents. S'il le faisait, La FDA n'examinerait probablement pas la demande de pré-commercialisation, ou dans le cadre post-commercialisation, la FDA pourrait prendre des mesures coercitives. »

Participer à un ISAO est une façon pour une entreprise de technologie médicale de montrer aux régulateurs et au public qu'elle prend la cybersécurité au sérieux.

Les directives de cybersécurité post-commercialisation de la FDA, promulguée en 2016, déclare que les fabricants devraient corriger les vulnérabilités de cybersécurité non contrôlées le plus rapidement possible, et les signaler à la FDA. Cependant, si le fabricant remédie au problème, le divulgue à son ISAO, et la vulnérabilité n'a pas entraîné la mort ou de graves problèmes de santé, alors l'entreprise peut éviter de signaler le problème à la FDA, selon les règles de 2016.

Rothstein a déclaré que l'AdvaMed ISAO sera comme un forum en ligne régulier, sauf qu'il aura une sécurité renforcée et que ses utilisateurs seront limités aux experts en cybersécurité qui ont accepté de ne pas partager d'informations confidentielles en dehors du forum.

Le groupe aidera les experts à comparer leurs notes en temps réel. Mais il remplira également une fonction importante pour les petites entreprises qui peuvent avoir du mal à s'offrir les compétences en cybersécurité dont elles ont besoin.

"Il n'est probablement pas surprenant d'entendre que plus la société d'appareils médicaux est petite, plus il leur est difficile d'embaucher, fidéliser et rémunérer l'expertise en cybersécurité, " Rothstein a déclaré. " Une partie de ce que nous utilisons l'ISAO pour faire est de fournir ce type d'éducation (pour) notre taille moyenne, entreprises de plus petite taille. »

©2019 Star Tribune (Minneapolis)
Distribué par Tribune Content Agency, LLC.