Årevis af alarmklokker fra cybersikkerhedseksperter om medicinsk udstyrs sårbarheder bliver endelig hørt af Kongressen. Senatorer foreslog et nyt lovforslag i denne uge, som ville kræve, at Food and Drug Administration udsender retningslinjer for cybersikkerhed mere regelmæssigt og deler oplysninger om sårbare enheder på sin hjemmeside.
Lovgivningen, som først blev rapporteret af CyberScoop, kommer fra Sens. Jacky Rosen (D-Nev.) og Todd Young (R-Ind.). Lovforslaget kommer et par uger efter, at cybersikkerhedsekspert Joshua Corman vidnede for en senatskomité om medicinsk udstyrs sårbarhed over for cyberangreb, og et par måneder efter, at FDA-ledere bad Kongressen i april om at dedikere mere finansiering og autoritet til agenturet omkring enhedscybersikkerhed.
Eksperter har i årevis advaret om, at medicinsk udstyr forbundet til internettet er store mål for hackere, og at sundhedsindustrien er uforberedt på at håndtere truslen – som både belaster patientdata og patient sundhed i fare. Alt fra medicininfusionspumper til hospitalssenge kan forbindes til internettet, hvilket gør dem åbne for udnyttelse.
Lige nu er der ingen krav til, hvor ofte FDA skal udsende anbefalinger til, hvordan producenter af medicinsk udstyr skal sikre deres enheder. Den sidste vejledning udkom i 2018. Styrelsen udgav nyt udkast til vejledning i april i år. Lovgivningen foreslået af Rosen og Young vil kræve, at FDA udsteder retningslinjer hvert andet år. Det ville også kræve, at agenturet lægger oplysninger om eventuelle problemer med enheder på sin hjemmeside og tilbyder støtte til sundhedspersonale og virksomheder omkring disse problemer.
Udstedelse af regelmæssige retningslinjer for virksomheder inden for medicinsk udstyr kan sikre, at nyere enheder, der kommer på markedet, er mere sikre mod kendte cybertrusler. Men det hjælper ikke så meget med de enheder, der er i brug i dag, som ikke er sikre, eller hjælper sundhedsorganisationer med at holde øje med nye problemer. Mange organisationer har ikke personale dedikeret til cybersikkerhed og kæmper for selv at holde styr på status for enheder, de bruger. Opdateringer på FDA-webstedet kunne gøre oplysningerne mere tilgængelige.
Selv med dette momentum er hullerne i sundhedsvæsenet og cybersikkerheden for medicinsk udstyr enorme. Angrebene er stigende, og organisationerne har ikke nok ressourcer afsat til at stoppe dem. I sit vidneudsagn i Senatet sagde Corman, at han altid havde troet, at nogen ville være nødt til at dø, før tilsynsmyndighederne greb ind over for medicinsk udstyrs cybersikkerhed. Heldigvis, sagde han, begyndte FDA at arbejde på problemet, før det skete – agenturet udsendte den første advarsel om en specifik enhed i 2015. Og opmærksomheden på problemet i løbet af det seneste år, da cyberangreb steg i alvorlighed og hyppighed, er med til at skabe ændringer frem.
Men angrebene fortsætter, organisationer har stadig ikke ressourcerne til at stoppe dem, og det vil kræve meget mere arbejde at styrke beskyttelsen. “Jeg er mere bekymret over cybersikkerheden i amerikansk sundhedsvæsen, end jeg nogensinde har været,” sagde Corman i sit skriftlige vidneudsagn.