REKAMAN WEBINAR

Cybersecurity Medical Device dari sisi FDA

Ilustrasi Cybersecurity FDA

Device kedokteran, seperti sistem komputer, sangat rentan terserang penerobos kemananan, yang berpotensi berdampak pada kemanan dan keefektifan dari device tersebut. Kerentanan ini pun meningkat seiring dengan meningkatnya jumlah device kedokteran yang terkoneksi dengan internet, jaringan rumah sakit, dan device-device kedokteran lainnya.

Seluruh device kedokteran membawa beberapa resiko. Food and Drug Admission (FDA), badan pengawas obat dan makanan dari Amerika Serikat, mengizinkan device-device tersebut untuk dapat dipasarkan dengan syarat ada jaminan yang masuk akal, dimana manfaat yang akan didapatkan oleh pasien dari device tersebut akan lebih besar dari resiko yang akan diterima oleh pasien. Ketika peningkatan penggunaan dari teknologi nirkabel dan perangkat lunak device kedokteran juga meningkatkan resiko ancaman cybersecurity yang potensial, fitur-fitur yang ada dalam perangkat-perangkat tersebut juga meningkatkan pelayanan kesehatan dan meningkatkan kemampuan dari penyedia pelayanan kesehatan untuk mengobati pasien.

Dengan mengalamatkan ancaman-ancaman cybersecurity, serta mengurangi resiko keamanan informasi, kejadian-kejadian yang membahayakan cybersecurity tersebut merupakan tantangan tersendiri. Ancaman-ancaman cybersecurity tidak bisa dihilangkan seluruhnya. industri-industri, rumah sakit-rumah sakit, dan pelayanan-pelayanan kesehatan yang lain harus bekerja sama dalam mengatasi hal tersebut. Ada kebutuhan terhadap menjaga keseimbangan antara menjaga keselamatan pasien dan mempromosikan pengembangan dari inovasi teknologi serta meningkatkan performa dari device kedokteran yang ada.

FDA merekomendasikan untuk memitigasi serta mengelola ancaman cybersecurity, meliputi:

  • Pabrik device kedokteran dan fasilitas pelayanan kesehatan harus mengambil langkah untuk memastikan ketepatan dalam mengupayakan tindakan perlindungan. Manufaktur-manufaktur bertanggung jawab terhadap kewaspadaan dalam mengidentifikasi resiko-resiko dan bahaya-bahaya yang berhubungan device-device kedokteran, termasuk resiko-resiko yang bersangkutan dengan cybersecurity. Mereka bertanggung jawab untuk menanamkan mitigasi-mitigasi yang tepat dalam produk mereka dengan tujuan menjaga keselamatan pasien dari resiko-resiko yang ada, serta memastikan performa dari device-device kedokteran tersebut.
  • Rumah sakit-rumah sakit dan fasilitas-fasilitas pelayanan kesehatan harus mengevaluasi jaringan kemananan mereka dan melindungi sistem di rumah sakit mereka.

Seperti dilansir dari FDA.gov , FDA telah melakukan berbagai upaya dalam melindungi kesehatan masyrakat dari rentannya cybersecurity, meliputi:

Guidance terakhir telah dikeluarkan oleh FDA pada 27 Desember 2016, dimana arahan tersebut menginformasikan manufaktur-manufaktur yang berasal dari rekomendasi agensi-agensi, mengarahkan untuk membentuk pengelolaan cybersecurity yang rentan penyerangan pasca pasar yang terstruktur dan komprehensif dari device kedokteran yang telah dipasarkan dan terdistribusi melalui siklus hidup  produk tersebut.

Tujuan dari kolaborasi baru dan MOU tersebut adalah:

  • Untuk mendirikan mekanisme yang berisi informasi yang terkait dengan kerentanan dan ancaman cybersecurity device kedokteran, yang dapat dibagikan dengan NH-ISAC, MDISS, dan FDA dalam ruang lingkup yang terpercaya; dan
  • Untuk memicu pengembangan dari ruang lingkup penilaian resiko yang telah dibagikan untuk memampukan para pemegang keputusan untuk secara konsisten dan efisien menilai keselamatan pasien dan resiko di kesehatan masyarakat yang berkaitan dengan kerentanan cybersecurity yang telah teridentifikasi, serta mengambil langkah yang tepat serta tepat waktu dalam memitigasi resiko-resiko tersebut.

FDA mengisukan 3 produk yang spesifik mendiskusikan komunikasi yang aman terkait kerentanan cybersecurity.

  • Pada 9 Januari 2017, FDA menginformasikan Komunikasi Keselamatan yang mengkonfirmasi adanya kerentanan di Medical St. Jude pada device jantung dan Merlin@home Transmietter. FDA menjadi lebih waspada terhadap kerentanan cybersecurity pada device-device ini setelah sebuah lembaga riset independen mengeluarkan informasi tentang adanya insiden kerentanan pada device-device tersebut.
  • Pada 31 Juli 2015, Hospira dan seorang peneliti independen mengkonfirmasi bahwa untuk dapat mengakses Symbiq Infusion System dari jarak jauh melalui sebuah jaringan rumah sakit adalah hal yang dapat dilakukan.
  • Pada 13 Mei 2015, FDA mengisukan Komunikasi Keselamatan pada kerentanan dari Infusion Pump System PCA3 dan PCA5 milik Hospira LifeCare. FDA dan Hospira menjadi lebih waspada pada kerentanan cybersecurity pada sistem-sistem infus ini setelah seorang peneliti independen mengeluarkan informasi terkait adanya kerentanan pada sistem-sistem tersebut.

Pada setiap kasus diatas, FDA tidak waspada terhadap adanya pasien yang terluka maupun meninggal akibat insiden-insiden yang berhubungan dengan cybersecurity, maupun adanya device atau sistem  yang spesifik digunakan untuk tujuan klinis yang telah dibidik sebelumnya. Bagaimanapun juga, kerentanan-kerentanan ini dapat membuat pengguna yang tidak memiliki otoritas mengakses, mengontrol, dan mengendalikan isu-isu untuk mengkompromikan devicedevice dari jarak jauh, yang berpotensi mengarah pada bahaya tingkat tinggi pada pasien. Fasilitas pelayanan kesehatan dapat mengurangi resiko dari akses oleh pengguna yang tidak memiliki wewenang dengan mengimplementasikan rekomendasi-rekomendasi dari komunikasi keselamatan.

Final guidance yang diterbitkan pada 2 Oktober 2014, berisi rekomendasi-rekomendasi untuk manufaktur devicedevice kedokteran pada pengelolaan dan informasi cybersecurity yang perlu dimasukkan ke dalam poin pre-market. Rekomendasi-rekomendasi tersebut dimaksudkan sebagai tambahan dalam dokumen-dokumen petunjuk FDA seperti:

Guidance for the Content of Premarket Submissions for Software Contained in Medical Device

Guidance to Industry: Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software

  • Pada 21-22 Oktober 2014, FDA menyelenggarakan workshop publik bertema Collaborative Approaches for Medical Device and Healthcare Cybersecurity, untuk menggali masukan dari pelayanan kesehatan dan kesehatan masyarakat pada device kedokteran serta cybersecurity pelayanan kesehatan. Tujuan dari workshop ini adalah untuk memotivasi kolaborasi diantara para pemegang kebijakan, mengidentifikasi tantangan-tantangan dan mendiskusikan strategi-strategi, serta praktek-praktek terbaik untuk mempromosikan cybersecurity device kedokteran.
  • Pada 13 Juni 2013, FDA menginformasikan komunikasi keselamatan, Cybersecurity for Medical Devices and Hospital Networks, dimana FDA merekomendasikan manufaktur-manufaktur device kedokteran dan fasilitas-fasilitas pelayanan kesehatan untuk mengambil langkah-langkah untuk memastikan ketepatan pengamanan setempat untuk mengurangi resiko dari kegagalan device karena serangan cyber.
 

Inilah sedikit kebijakan yang telah dikeluarkan oleh FDA terhadap cybersecurity dari device kedokteran yang beredar di Amerika Serikat. Nah, bagaimana dengan regulasi di Indonesia dalam membuat kebijakan yang terkait dengan cybersecurity device kedokteran?

 

Trackback from your site.

Leave a comment