Tıbbi cihaz yazılımları, entegre edildiği sistemlerde açıklar oluşturarak güvenlik ihlallerine ve hasta güvenliğine yönelik olumsuzluklara zemin hazırlayabilirler. ABD Gıda ve İlaç İdaresi (Food and Drug Administration, FDA), 2015 yılında, Hospira LifeCare PCA3 ve PCA5 bilgisayarlı infüzyon pompa sistemlerine kötü niyetli kullanıcılar tarafından sağlık teşkillerinin eternet veya kablosuz ağı kullanılarak uzaktan erişilebileceği ve verilen ilaç dozlarının değiştirebileceğini belirterek, bu açıkların ortadan kaldırılmasına yönelik tavsiyelerde bulunmuştur.
Son zamanlarda, FDA tıbbi cihaz siber güvenliğine yönelik Postmarket Management of Cybersecurity in Medical Devices adlı bir taslak kılavuz yayımlamıştır. Söz konusu kılavuz Content of Premarket Submissions for Management of Cybersecurity in Medical Devices adlı kılavuzun devamıdır ve Cybersecurity for Networked 150 Medical Devices Containing Off-the-Shelf (OTS) Software adlı kılavuzu tamamlayıcı niteliktedir. Ayrıca IEEE Cybersecurity Initiative tarafından da yazılım geliştirme sürecinde tıbbi cihaz güvenliğine yönelik Building Code for Medical Device Software Security adlı bir kılavuz yayınlamıştır.
Siber güvenlik riskleri sürekli gelişmektedir. Bundan dolayı sadece pazara sürülmeden önceki dönemde yapılan kontroller muhtemel güvenlik risklerini azaltmak için yeterli değildir. Üreticilerin kapsamlı siber güvenlik risk yönetim programları ve risk belirleme, analiz, düzeltme vs konularını içeren dokümanları devreye alması gerekmektedir. Böylece üreticiler ürünlerin ömür devri boyunca siber güvenliğe odaklanabilirler.
Tıbbi cihazların rutin yazılım güncelleme ve yamaları genellikle FDA onayı gerektirmemektedir. Üreticilerin sektördeki muhtemel tehdit ve risklere ayak uydurabilmek için siber güvenlik bilgi paylaşım ve analiz organizasyonlarına katılmasına güçlü şekilde önermektedir. Ayrıca, ürünlerin pazara sürülmesinden sonraki siber güvenlik risklerini yönetebilmek için, şirketler yapılandırılmış ve sistematik risk ve kalite yönetim sistemlerine sahip olmalıdırlar.
Kaynaklar:
1. Hall, Susan D. FDA guidance addresses postmarket device cybersecurity. Yayın Tarihi: 19 Ocak 2016. Erişim Tarihi: 20 Ocak 2016.
2. FDA. Vulnerabilities of Hospira LifeCare PCA3 and PCA5 Infusion Pump Systems: FDA Safety Communication. Yayın Tarihi: 13 Mayıs 2015. Erişim Tarihi: 20 Ocak 2016.
3. Haigh, Tom; Landwehr, Carl. IEEE Cybersecurity, Building Code for Medical Device Software Security.
4. FDA. Content of Premarket Submissions for Management of Cybersecurity in Medical Devices. Yayın Tarihi: 2 Ekim 2014. Erişim Tarihi: 20 Ocak 2016.
5. FDA. Postmarket Management of Cybersecurity in Medical Devices. Yayın Tarihi: 22 Ocak 2016. Erişim Tarihi: 20 Ocak 2016.
6. FDA. Guidance for Industry Cybersecurity for Networked Medical Devices Containing Off the-Shelf (OTS) Software. Yayın Tarihi: 14 Ocak 2005. Erişim Tarihi: 20 Ocak 2016.
Yorum yapabilmek için kayıtlı kullanıcı olmanız gerekmektedir. Giriş