FDA zet een grote stap voorwaarts op het gebied van de beveiliging van medische apparatuur

Door Danny Bradbury • 24 augustus 2023

Last-minute omnibusuitgaven zijn de snoeppotten van Capitol Hill. Deze wetsvoorstellen, die twaalf maanden achterstallige wetgeving aan het einde van het jaar opsommen, zitten vaak vol met 'varkensvlees': politieke zoetstoffen die op het laatste moment zijn toegevoegd om in de gunst te komen bij de lokale kiezers van politici. Soms kunnen ze echter al lang achterstallige maatregelen doorvoeren die anders op de heuvel zouden wegkwijnen.

Afgelopen december bedroeg de $1.7 biljoen Geconsolideerde Kredieten Act (CAA) omvatte een cruciaal onderdeel: wetgeving die fabrikanten van medische apparatuur uiteindelijk zou dwingen de cyberbeveiliging in de gaten te houden nadat hun apparaten uit de schappen komen.

Sectie 3305 van de CAA wijzigde de Federal Food, Drug, & Cosmetic Act door sectie 542B, 'Ensuring Cybersecurity of Medical Devices' toe te voegen. Deze nieuwe regelgeving is van toepassing op elk door de FDA gedekt apparaat dat verbinding maakt met internet en kwetsbaar kan zijn voor cyberbeveiligingsproblemen.

Een voortdurende benadering van cyberbeveiliging

Een deel van de taal in de nieuwe wet komt voort uit een verplichte reeks regels die door het Congres zijn weg hebben gevonden. De Protecting and Transforming Cyber Health Care (PATCH) Act, uitgevaardigd in maart 2022, probeerde cyberbeveiligingscontroles voor medische apparatuur wettelijk vast te leggen.

In navolging van de PATCH Act dwingt de nieuwe wet fabrikanten van medische apparatuur om het Agentschap een plan te geven voor het monitoren, identificeren en aanpakken van kwetsbaarheden in de cyberbeveiliging na de lancering van de apparaten.

Fabrikanten van apparaten moeten ook een gecoördineerd programma voor het openbaar maken van kwetsbaarheden invoeren. Dit betekent dat ze insecten niet langer onder het tapijt kunnen vegen door ze te negeren of door de onderzoekers die ze grootbrengen.

Leveranciers moeten ook een software stuklijst (SBOM) aanbieden waarin wordt vermeld welke softwarecomponenten het apparaat gebruikt, als een grote knipoog van de FDA naar de beveiliging van de toeleveringsketen.

De FDA-secretaris moet de richtlijnen van het Agentschap over cyberbeveiligingsinzendingen voor medische hulpmiddelen vóór het op de markt brengen bijwerken met behulp van feedback van belanghebbenden, waaronder fabrikanten en zorgverleners. De FDA moet ook elk jaar informatie en bronnen publiceren over het verbeteren van de cyberbeveiliging van medische apparatuur.

Het Amerikaanse Government Accountability Office (GAO) zal ook een jaarverslag publiceren waarin alle belemmeringen worden beschreven die belanghebbenden hebben ervaren bij het verkrijgen van steun van de federale overheid om de cyberbeveiliging van apparaten te verbeteren.

De taal van de CAA is niet de eerste die enige cyberbeveiligingsinspanningen vereist van apparaatleveranciers. De FDA heeft al een Quality System Regulation (QSR) die fabrikanten van apparaten een risicogebaseerde benadering van cyberbeveiliging voorschrijft, wat betekent dat zij de waarschijnlijkheid en impact van cyberrisico's moeten identificeren.

De QSR gaat echter maar zo ver. Door specifiek het lopende herstelprogramma voor cyberbeveiliging na de release te schetsen, dwingt de nieuwe wet een meer af voortdurende aanpak van cyberveiligheid in plaats van een 'fire and vergeet'-aanpak die slechts op één bepaald moment de beveiliging van apparaten bevestigt.

Jarenlange strijd voor cyberveiligheid

De wet, die op 29 maart 2023 van kracht werd, is het resultaat van een lang initiatief op het gebied van cyberbeveiliging van apparaten van de FDA. Dit dateert uit 2005, toen het Agentschap vrijkwam leiding over het omgaan met netwerkapparaten die commerciële kant-en-klare software bevatten. In 2014 bracht het zijn eerste specifieke richtlijnen uit over het plannen en documenteren van cyberbeveiligingsmaatregelen voor apparaten na verkoop. Het heeft dit in 2018 bijgewerkt.

Vervolgens werd het in april 2022 gepubliceerd nog een reeks conceptrichtlijnen voor cyberbeveiliging over inzendingen voor goedkeuring vóór het in de handel brengen die het document uit 2018 hebben vervangen. In dit document werd ook opgeroepen tot een softwarestuklijst om componenten van derden te volgen. Het adviseerde een Secure Product Development Framework om beveiligingskwetsbaarheden en ingebouwde updatemogelijkheden voor apparaten te verminderen.

Hoewel de inspanningen van het agentschap prijzenswaardig zijn, zijn de FDA-richtlijnen voor apparaatbeveiliging tot nu toe vrijwillig geweest, wat over het algemeen betekent dat de naleving door de industrie gebrekkig zal zijn.

Deskundigen die voor de FDA hebben gewerkt, hebben gesuggereerd dat cyberbeveiliging een zware strijd is geweest voor het Agentschap. Er was niet eens iemand die zich toelegde op de cyberbeveiligingsfunctie, totdat begin 2021 een nieuwe rol werd gecreëerd bij het Centrum voor Apparaten en Radiologische Gezondheid. Cybersecurity-professor Kevin Fu vervulde een jaar lang de rol van waarnemend directeur van de cybersecurity van medische apparatuur, in bruikleen van de Universiteit van Michigan.

In juni 2022, nadat hij de rol had verlaten, werd Fu waarschuwde dat de FDA niet over voldoende personeel of specifiek budget beschikte om het groeiende cyberveiligheidsprobleem aan te pakken.

Wat is het volgende

De FDA heeft gezegd dat het apparaten in eerste instantie niet alleen zal weigeren vanwege problemen met sectie 542B, maar bij de beoordeling liever samenwerkt met leveranciers. Na 1 oktober 2023 gaat het bedrijf er echter van uit dat leveranciers voldoende tijd hebben gehad om hun cyberbeveiligingsdocumentatie vóór de markt op te stellen en behoudt het zich het recht voor om een apparaat te weigeren als de documentatie niet door de test komt.

De vereisten zijn niet van toepassing op bestaande apparaten en zijn alleen gericht op nieuwe inzendingen. Dat betekent dat apparaten die vóór eind maart van dit jaar zijn geïntroduceerd, jarenlang kunnen blijven functioneren zonder dat er updateplannen voor de cyberbeveiliging nodig zijn, vooral als ziekenhuizen het nodig achten ze op te knappen om hun bezittingen te zweten.

Regelgeving met betrekking tot cyberbeveiligingsapparatuur heeft zelden terugwerkende kracht, dus de gratis pas voor kits in het veld is te verwachten. Niettemin is dit een grote stap in het verantwoordelijk houden van apparaatleveranciers voor de beveiliging van hun apparaten.

Je had gehoopt dat verkopers zichzelf ter verantwoording zouden hebben geroepen, maar helaas: nee. Vorig jaar, de FBI waarschuwde over een plaag van niet-gepatchte, onveilige medische apparaten. Het Bureau waarschuwde dat deze apparaten, inclusief alles van insulinepompen tot pacemakers, gehackt zouden kunnen worden om de gezondheid van de patiënt in gevaar te brengen. Ruim vier op de tien apparaten die het einde van hun levensduur hadden bereikt, hadden nog steeds geen beveiligingspatches of upgrades.

Leveranciers zover krijgen dat ze dit serieus nemen, is slechts de helft van de uitdaging. De andere is ervoor zorgen dat zorgverleners pleisters aanbrengen zodra deze beschikbaar komen. Amper een derde van de zorgverleners weet waar al hun apparaten zijn of wanneer hun levenseinde valt. Zelfs als ze dat wel doen, is het repareren van gevoelige levensreddende apparatuur een uitdagend proces. Toch is één kleine stap beter dan helemaal geen stap, denken wij.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 15 januari 2026

Van perimeterbeveiliging naar identiteit als beveiliging.

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is inderdaad een modewoord, maar...

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury