Управління з санітарного нагляду за якістю харчових продуктів і медикаментів США (FDA) підтвердило, що виробники медичних виробів тепер повинні довести, що їхня продукція відповідає певним стандартам кібербезпеки, щоб отримати схвалення відомства.

Ці правила були викладені в загальному законопроєкті про асигнування, підписаному в грудні минулого року, який уповноважив FDA встановлювати вимоги безпеки для виробників і виділив $5 мільйонів на цю справу. Правила вже набули чинності та стосуються всіх нових застосувань медичних виробів.

Відповідно до закону, виробники повинні розробляти та випускати оновлення й удосконалення після виходу продукту на ринок, надавати специфікацію програмного забезпечення і план виявлення та усунення «вразливостей кібербезпеки після виходу на ринок». Правила стосуються пристроїв, які мають програмне забезпечення та підключення до інтернету, наприклад, інсулінові помпи, монітори рівня цукру в крові та певні кардіостимулятори.

«Індустрія медичних виробів ще ніколи не мала такої кількості продуктів, підключених до інтернету, — зазначила Тіффані Галлахер, керівник практики з оцінки ризиків та регулювання у сфері охорони здоров’я PwC. – Оскільки інновації в галузі охорони здоров’я продовжують зростати, ці правила допоможуть закладати кібербезпеку в пристрої з самого початку».

Медична галузь є частою мішенню кібератак, і у 2022 році спостерігався різкий сплеск атак на цей сектор. У вересні минулого року ФБР попередило, що медичні прилади залишаються вразливими для зловмисників. Дослідники, на яких посилається ФБР, виявили, що більш ніж половина всіх підключених до мережі медичних пристроїв мають критичні вразливості.

Оскільки правила стосуються лише нових продуктів, вони не зменшать занепокоєння щодо вже наявних незахищених пристроїв і застарілих технологій.