콘텐츠로 건너뛰기

FDA와 CISA가 의료기기 계약을 갱신할 시기가 왔다고 GAO가 말

정부회계검사원은 2023년 통합세출법에 근거한 의료기기의 사이버 보안 심사를 완료하고 미국 식품의약국의 식품의약품장관과 사이버보안·인프라 보안청장관에 대하여 각 부처의 의료정보 를 갱신하도록 권고했다. 디바이스 사이버 보안 조정 협정.

왜 중요한가

GAO는 12월 21일 보고서와 함께 발표한 개요 속에서 의료 제공자, 환자, 의료 기기 메이커를 대표하는 25개 비연방 단체에 인터뷰하고 의료 기기에 대한 연방 정부의 사이버 보안 지원에 대한 액세스 에 어떤 과제가 있는지, 그리고 정부기관이 어떻게 대처하고 있는지를 조사했다고 말했다. 도전.

연방 심사 기관은 연방 정부의 조정 노력과 주요 협력 관행을 비교하고 의료 기기의 사이버 보안에 대한 규제 당국의 권한에 어떤 한계가 있는지 이해하기 위해 관련 법률과 지침을 분석하고 11개 기관의 직원과 인터뷰했다고 말했다.

FDA 의료기기의 시판 전 심사 제출에 있어서의 사이버 보안 프로토콜은, 2023년 3월까지 필수는 아니었습니다.

“그러므로 2023년 3월 이전에 신청한 장비 제조업체는 장비 변경에 대한 새로운 마케팅 신청을 제출하지 않는 한 새로운 요구사항의 대상이 되지 않는다”고 GAO는 말했다.

보고서에 따르면 통합세출법은 의료기기의 사이버 보안을 강화하고 있지만, 오래된 레거시 기기에 대한 FDA의 권한에는 한계가 존재한다고 한다.

FDA는 의료 시스템에서 이러한 장비의 사용이나 유지보수를 규제하지 않습니다.

예를 들어, “MRI 장치는 FDA에 의해 사용이 승인된 후 수십 년이 지나도 여전히 사용되고 있을 수 있지만, 제조업체는 진화하는 사이버 위협에 대처할 수 있는 업데이트를 제공하지 않을 수 있습니다. 라고 GAO는 지적했다.

또한 FDA는 최근 제정된 법률에 따라 새로운 사이버 보안 권한을 도입하고 있지만, 추가 권한의 필요성은 아직 확인하지 않았다고 말했다.

GAO는 “보건 분야 모니터링 및 CISA 경고 모니터링 등 기존 당국 하에서 디바이스의 사이버 보안을 확보하기 위한 조치를 취할 수 있으며, 제조업체에 취약성을 사용자 커뮤니티에 알리고 취약 성을 복구하라고 지시할 수도 있다”고 말했다.

FDA 지침에 따르면 제조업체가 취약성을 수정하지 않을 경우 FDA는 장치가 연방법을 위반하고 있다고 인정하고 강제 조치의 대상이 될 수 있다고 보고서는 지적했다. .

GAO는 11개 기관이 보고서 초안을 발표하기 전에 댓글을 달고 3개 기관이 의견을 제공했다고 말했다. 보건복지성은 FDA를 대표해 응답하고 GAO와 동의하며 사이버보안·인프라 보안청과 협력할 것을 약속했다. 국토안전부는 CISA를 대표하여 같은 대응을 했다.

더 큰 추세

작년 FDA가 발표한 의료 기기 사이버 보안 지침 초안한편, 연방 수사국은 구식 의료 기기의 사이버 보안 위험 이것이 악용되면 의료 시설 운영, 환자 안전, 데이터 기밀성, 데이터 무결성에 영향을 줄 수 있습니다.

그동안 의료 기기를 구동하는 소프트웨어 및 펌웨어 취약점 같은 의료 IT 응용 프로그램은 계속 증가하고 있습니다. 건강정보공유분석센터 연구자들은 지난 8월 작년에 비해 4배 가까운 수가 무기화됐다고 발표했다.

FDA 최종 지침는 9월에 발표하고 통합세출법의 수정된 FD&C법의 제524B(a)조에서는 개발자에게 사이버 디바이스가 510(k) 시판전 승인 신청으로 사이버 보안 요건을 충족하고 있음 를 보장하는 정보 제출을 요구하고 있다고 지적했다. 전문가들은 이러한 소프트웨어 부품표는 연방 정부 자원 및 의료 보안 팀이 의료 기기의 사이버 보안을 장기간에 걸쳐 더 적절하게 유지하는 데 도움이 될 것이라고 말했다.

FDA 또한 인공 지능 및 기계 학습 지원 장치에 대한 지침 개발 마케팅 신청서에 변경 관리 계획을 요청한다.

기록상

FDA는 의료기기의 사이버 보안을 지원하기 위해 CISA와 문서화된 조정 협정을 만들었으나, 이 협정은 시대에 뒤떨어져 지난 5년간 발생한 조직적 및 절차적 변경을 반영 아니다”라고 GAO는 보고서에서 말했다.

Andrea Fox는 Healthcare IT News의 고급 편집자입니다.
이메일: afox@himss.org

Healthcare IT News는 HIMSS Media의 출판물입니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다