Medizinprodukte sind sehr anfällig für Hacking, warnen FDA-Experten


Viele Menschen wissen nicht, welche Cybersicherheitsrisiken mit gängigen medizinischen Geräten wie Insulinpumpen und Herzschrittmachern verbunden sind, aber diese medizinischen Geräte können anfällig für Hacking und Fehler sein, sagten Experten auf einem Treffen des Patienten der US-amerikanischen Food and Drug Administration (FDA) Engagement Advisory Committee (PEAC) am 10. September.

Ärzte und Gesundheitsdienstleister wissen möglicherweise nicht, wie sie Patienten über diese Probleme aufklären sollen. Wenn sie den Patienten zu wenig Informationen geben, verstehen die Patienten möglicherweise nicht, wann sie Hilfe mit ihrem Gerät erhalten sollen. Wenn die Anbieter dem Patienten zu viele Informationen oder eine Sprache geben, die sie nicht verstehen, können die Patienten unnötig ängstlich werden.

Ein ernstes Problem hacken

Wenn die meisten Menschen sich vorstellen, dass jemand ein elektronisches Gerät hackt, denken sie in der Regel nicht an ein medizinisches Gerät wie eine Insulinpumpe, sondern an mindestens zwei Redner, die in der Sitzung des Beirats beschrieben haben, wie einfach es ist, ihre eigenen medizinischen Geräte durch umgekehrte Methoden zu hacken. Engineering sie.

Ein Faktor hängt damit zusammen, wie sich Medizinprodukte im Laufe der Zeit verändert haben. Viele medizinische Geräte, einschließlich chirurgischer Lasersysteme, Blutdruckmanschetten, Dialysesysteme und MRT-Geräte, waren früher "Standalone-Technologien, die in Patienten implantiert oder in Krankenhäusern oder Kliniken zur Diagnose, Behandlung oder Behandlung von Gesundheitszuständen verwendet wurden" dokumentieren.

Inzwischen haben viele dieser Geräte eine Softwarekomponente und sind über drahtlose Zugangsnetze und andere Netze miteinander verbunden. Diese Faktoren erhöhen die Funktionalität der Geräte, verursachen jedoch auch Probleme, z. B. das Aufdecken der persönlichen Daten des Patienten und das Beheben von Fehlern, die dem Patienten nicht bewusst sind, z. B. die Verabreichung einer falschen Insulindosis.

"Bei der Cybersicherheit von medizinischen Geräten ist das Risiko in der Regel damit verbunden, dass eine nicht autorisierte Person (Bedrohung) durch Ausnutzung einer Sicherheitslücke (z. B. einer Sicherheitslücke in der Software oder Firmware des Geräts) auf das Gerät (die Geräte) eines oder mehrerer Patienten zugreift. Beispiele hierfür sind unangemessen Stimulation oder Erschütterungen durch einen Herzschrittmacher oder ungeeignete Dosierung durch eine Infusionspumpe ", so die FDA-Unterrichtung.

Die Mitglieder des Gremiums diskutierten, welche Arten von Informationen Gesundheitsdienstleister den Patienten mitteilen sollten, wie diese Informationen effektiv kommuniziert werden und wann und wie Probleme mit Geräten gemeldet werden sollen.

Benutzerfreundlicher Ansatz ist der Schlüssel

Die Mitglieder des Komitees sagten wiederholt, dass viele Geräte und die damit verbundenen Anweisungen umständlich und schwer verständlich sind. Softwareupdates und Patches sind erforderlich, um bestimmte Probleme zu beheben. Bei der Aktualisierung von Geräten wie Mobiltelefonen werden jedoch häufig Warnungen ausgegeben. Einige Benutzer ignorieren Warnungen, da sie wissen, dass sie wahrscheinlich wertvolle Informationen verlieren, wenn sie ihr Gerät aktualisieren.

Gesundheitsdienstleister sollten eine kulturell angemessene Sprache verwenden, die der Patient versteht, und bei Bedarf einen Übersetzer hinzuziehen. Sie sollten Informationen in kleinen Portionen anbieten, damit die Patienten Zeit haben, sie zu verarbeiten und zu verstehen. Beschäftigte im Gesundheitswesen sollten nach Möglichkeit auch Bilder und visuelle Anzeigen anstelle von Worten verwenden.

Die Tatsache, dass es unmöglich ist, vorherzusagen, welche Arten von Cybersicherheitsrisiken ein bestimmtes Medizinprodukt betreffen können, kann es für Gesundheitsdienstleister schwieriger machen, bedeutungsvolle Gespräche über Risiken und Vorteile zu führen, aber viele Patienten möchten möglichst viele Informationen, einen Teilnehmer sagte.

Wann Gesundheitserziehung angeboten werden soll, ist genauso wichtig wie die Bereitstellung dieser Informationen, so eine Reihe von Teilnehmern. Beispielsweise werden sich viele Patienten nicht an Informationen erinnern, die sie erhalten, wenn sie aus der Anästhesie aufwachen oder wenn sie gestresst sind, Angst haben oder Schmerzen haben.

Darüber hinaus variieren die Präferenzen der Patienten in Bezug auf Kommunikationsmethoden: Einige bevorzugen es, herkömmliche Telefonanrufe zu tätigen, andere senden gern Textnachrichten oder E-Mails, und andere bevorzugen es, Briefe per Post zu erhalten. Wenn Sie die Kommunikationspräferenz eines Patienten kennen, können Sie bei Bedarf Warnungen und Warnungen an das Gerät senden und sicherstellen, dass der Patient diese liest.

Ein weiterer zu berücksichtigender Faktor ist, dass Patienten, die in ländlichen Gebieten leben, möglicherweise nur eingeschränkten Zugang zum Internet, zu neueren Telefontechnologien und zu Telefondienstanbietern haben.

Kontinuierliche Wachsamkeit erforderlich

Es ist nicht immer möglich, auftretende Probleme oder Mängel zu antizipieren, da bestimmte Faktoren bezüglich des Cybersicherheitsrisikos nicht bekannt sind, sagten mehrere Diskussionsteilnehmer. Daher ist ständige Wachsamkeit für Probleme erforderlich, ebenso wie eine zeitnahe und wirksame Kommunikation mit den Anwendern von Medizinprodukten in Bezug auf Cybersicherheitsrisiken.

Der wichtigste Faktor für die Reaktion auf einen Angriff wie den WannaCry-Ransomware-Angriff vom Mai 2017 ist die Planung. Eine Planung nur für bestimmte Ereignisse sei jedoch häufig ineffektiv, sagte Natashia Tamari, stellvertretende Direktorin von Cybersecurity Incident Response, Becton Dickinson.

"Wir können Pläne schmieden und sie für sehr spezielle Szenarien erstellen, aber das hilft uns nicht weiter. Wir müssen wirklich Rahmenbedingungen schaffen und diese einhalten." [into consideration] Wie kommunizieren wir miteinander und wer muss im Raum sein und wie sieht die Koordination aus, denn das wird der Schlüssel zur Vorbereitung auf diese Art von Sicherheitslücken sein ", erklärte Tamari.

FDA-Maßnahmen

Bei der Prüfung, ob eine Sicherheitskommunikation zur Cybersicherheit von Medizinprodukten veröffentlicht werden soll, berücksichtigt die FDA eine Reihe von Faktoren, z. B. die Wahrscheinlichkeit, dass das Gerät erfolgreich genutzt wird. wie schnell ein solcher Anfall auftreten könnte und inwieweit er die Patientenpopulation beeinträchtigen könnte; und wie lange es dauern würde, eine wirksame Gegenmaßnahme einzuleiten.

"Aus diesen Gründen war der Kommunikationsansatz der FDA in Bezug auf die Cybersicherheit von Medizinprodukten vorausschauend, vorausschauend und proaktiv, da Schwachstellen identifiziert und überprüft werden, bevor sie ausgenutzt werden und wenn eine Abschwächung verfügbar ist, anstatt auf das Auftreten eines Signals oder eines Schadensindikators zu warten ", so das FDA-Informationsdokument.

Mehrere Teilnehmer betonten die Rolle der FDA beim Schutz der Patienten und der Erreichung aller Benutzer von Medizinprodukten bei Problemen mit dem Gerät.

"Die Taktik ist genauso wichtig wie das Prinzip der zeitgemäßen Kommunikation", sagte Paul T. Conway, Vorsitzender des Beratungsausschusses für Patientenbetreuung bei der American Association of Kidney Patients.

So wichtig eine zeitnahe Kommunikation ist, wenn Cybersicherheitsprobleme in Bezug auf Medizinprodukte festgestellt werden, möchte die FDA diese Bedenken nicht vorzeitig offenlegen, da sie keine Informationen an Personen weitergeben möchte, die sie möglicherweise verwenden, um Schäden zu verursachen.

Weitere Informationen zu Cybersicherheit und Medizinprodukten, einschließlich endgültiger Leitfäden zur Cybersicherheit von Medizinprodukten vor und nach dem Inverkehrbringen, sind auf der Website der FDA verfügbar.

Folgen Sie Medscape auf Facebook, Twitter, Instagram und YouTube