ה-FDA פרסם תקנות אבטחת מידע להתקנים רפואיים

מנהל המזון והתרופות האמריקאי פרסם אתמול (ג') קובץ תקנות סייבר לפיקוח על יישום נהלי אבטחת מידע במכשור רפואי. זו הפעם הראשונה שה-FDA מפרסם קובץ מפורט שכזה. ב-2014 פרסם המנהל תקנות שנוגעות לדרכים בהן היצרנים אמורים לדאוג לאבטחת המכשור, אולם הקובץ הנוכחי מתייחס גם לדרישות הבטיחות לאחר שהמכשירים עזבו את המפעל ונמצאים בשימוש שוטף.

המסמך, שכולל כ-30 עמודים מפורטים למדיי, נמצא בכתיבה כבר יותר משנה. טיוטה ראשונה שלו פורסמה כבר בינואר שעבר ולקח כמעט שנה עד שהמחברים הסכימו על הנוסח. ההנחיות מעודדות יצרנים לבצע מעקב אחרי המכשירים באופן שוטף ולדאוג לעדכוני אבטחה, מערכת הפעלה ובאגים. עם זאת המנהל טרם קבע סנקציות על יצרן שלא יעמוד בהן.

המודעות לבעיית אבטחת המידע בהתקנים רפואיים התעוררה כבר לפני כעשור, בעקבות סדרה של מקרים ותקלות, החל מגילוי פרצות במשאבות תרופות, אינסולין, קוצבי לב ומכשירי דפיברילציה וכלה בתקיפות של מוסדות רפואה בנוזקות כופר. זכור המקרה של דיק צ'ייני, שניתק את קוצב הלב שלו מחשש שהאקרים יפרצו אליו במהלך כהונתו כסגן נשיא ארה"ב.

הבעיה העיקרית שעמדה עד היום בפני היצרנים הייתה שהם לא יכלו לעדכן את המכשירים באופן שוטף מבלי לקבל על כך אישור מה-FDA בהליך שהיה יכול לקחת זמן רב. כעת, אישר המנהל ליצרנים לבצע עדכונים שוטפים ותיקוני באגים ללא צורך בקבלת אישור, כל מה שנדרש הוא להודיע על העדכון למשתמשים תוך כחודש מגילוי הבעיה, לספק את העדכון תוך כ-60 יום ולהודיע על כך במערכת מידע ציבורית.

עם זאת, ה-FDA הזהיר שהחברות כן ייאלצו לדווח על באגים או תקיפות שגרמו לנזק או למוות של המטופל. פרסום התקנות עשוי לאפשר סוף סוף התייחסות לנושא הפריצות למתקנים והתקנים רפואיים - ה-FDA גם הודיע שמדובר רק בצעד ראשון ושהמהלך ימשיך בשנים הקרובות.

בישראל, עובד משרד הבריאות כבר יותר משנתיים על מסמך דומה. עם זאת, עד היום אין שום רגולציה רשמית בנושא. תחום אבטחת המידע נתון עדיין לשיקול דעתם של המוסדות השונים ואין שום בקרה על יישום המלצות כאלה ואחרות. יש לקוות שעם פרסום המסמך האמריקאי גם משרד הבריאות יקדם את תהליך התקינה בארץ.