Medical device, Fda vuole migliorare i requisiti di cybersecurity

Il dipartimento della salute pubblica americano ha raccomandato all'ente regolatorio di chiedere più informazioni ai produttori di dispositivi medici. Un aggiornamento, quindi, delle linee guida pubblicate sul tema nel 2014

La Fda vuole migliorare i requisiti di cybersecurity per le autorizzazioni all’immissione in commercio dei medical device negli Usa. Proprio a settembre 2018, il Dipartimento di salute ha pubblicato un documento in cui spiega che per i dispositivi medici sono necessari requisiti aggiuntivi nella fase premarket.

Pericolo cibernetico

Le autorità di controllo statunitensi conoscono bene il problema della sicurezza cibernetica. Per questo motivo bisogna correre ai ripari, dato che i dispositivi medici sono soggetti ad hackeraggi. L’ufficio del Direttore generale del dipartimento di salute ha definito urgente la questione e che sia la Fda, che i produttori, si attivino subito per includere nelle richieste autorizzative tutta la documentazione relativa. Il pericolo è esistente e spaventa. Ransomware, accessi non autorizzati da remoto, malfunzionamenti di varia natura sono all’ordine del giorno. Gli attacchi non hanno effetto solo sui pazienti, ma anche sui sistemi ospedalieri e relativi alla supplychain.

Le linee guida 2014

Al momento l’agenzia si affida alle linee guida pubblicate nel 2014. Un documento per certi versi simile, nel senso che indica alcune pratiche per la valutazione dei prodotti nell’ottica della sicurezza cyber. Anche in questo caso si fa riferimento al formato delle revisioni chiamato 510(K). Ma adesso serve di più, perché non sono sufficienti informazioni “clusterizzate” relative alla classe di dispositivi. I prodotti sono diversi gli uni dagli altri e servono specifiche valutazioni.

Le informazioni da condividere

Nell’attività di pre-autorizzazione i produttori devono rispettare cinque condizioni. La prima è l’identificazione ossia il contesto nel quale il device dovrà funzionare considerando anche la tipologia di connessione e le vulnerabilità ad essa legate. La seconda riguarda la protezione dei dati. La terza il riconoscimento delle minacce. Quarto punto è rappresentato dalle risposte, ossia la capacità di sviluppare gli “anticorpi” contro attacchi cibernetici o malfunzionamenti di varia natura. Infine il recupero, ossia la dimostrazione che questi anticorpi funzionino. Ci sono poi altri aspetti da considerare nella fase di pre-autorizzazione. Innanzi tutto sarà necessario svolgere un’attenta analisi del rischio dell’utilizzo del dispositivo. Inoltre c’è anche la tracciabilità del device stesso attraverso la segnalazione del problema e la conseguente capacità di risolverlo. Il terzo elemento riguarda il piano di validazione e di aggiornamento del software. Infine la descrizione su come assicurare l’integrità del prodotto e la capacità operativa dell’antivirus (quando necessario).

I gruppi di lavoro

Nel 2013 la Fda ha creato un gruppo di lavoro specifico in ambito cybersecurity. L’obiettivo era quello di implementare le linee guida sul tema. L’operato avviene in sinergia con l’industria di riferimento e tutti gli stakeholder del settore. A comporlo ci sono lo staff Cdrh (divisione cardiovascolare e radiologica) e il centro per la valutazione e ricerca dei biologici che hanno già esperienza nelle autorizzazioni di medical device. In aggiunta l’Oig, insieme alla Fda, ha valutato l’importanza di aggiornare continuamente le norme in materia. Nel 2012, infine, un report dell’Ufficio per la responsabilità governativa, ha pubblicato un report sui dispositivi impiantabili wireless come i defibrillatori cardiaci. Dal documento è emerso che la stessa Food and drug administration ha valutato come pericolosa per il funzionamento dei device la prossimità (seppur involontaria) con altre apparecchiature elettroniche. Un esempio su tutti, i metal detector.