Siber Güvenlik ve Tıbbi Cihazlar ile İlişkisi

Teknolojinin hayatımızdaki yeri ve önemi günden güne artarken, siber güvenlik konusunun da altı daha kalın çizgilerle çizilmekte. O zaman bu konuya değinmeye öncelikle siber güvenliğin tanımından başlayalım…

Siber güvenlik; internete bağlı dijital sistemlerde tutulan ve işlenen verilerin yetkisiz erişime, kötü amaçlı kullanıma karşı geliştirilen savunma olarak tanımlanabilir. Siber güvenliğin amacı ilgili altyapıyı, tutulan verileri ya da hizmetleri korumaya yönelik savunma mekanizması geliştirmektir. Geliştirilen siber güvenlik stratejisi, kötü amaçlı saldırılara karşı güçlü bir duruş sağlar. Dijital sistemler günden güne hayatımızı kolaylaştırırken, birçok programın/ yazılımın kullandığı hassas ve gizli verilerin artışı siber güvenliğin önemini de arttırmakta.

Tele tıp uygulamaları ve tıbbi cihaz olarak yazılım (SaMD) alanındaki gelişmeler arttıkça tıbbi cihazların siber güvenli olması genel güvenlik gereksinimi haline gelmekte. Diğer alanlarda da olduğu gibi, yazılım içeren her türlü tıbbi cihazın siber güvenlik tehditlerine ve saldırılarına karşı savunmasız halde olmaması için önlemlerin alınması gereklidir. Tıbbi cihaz sektörü hasta bilgileri, ürün performansı veya bağlı olduğu ortak ağ üzerinden farklı cihazlardan gelebilecek her türlü veri sebebi ile sağlık verileri uzun süredir siber saldırıların hedefindedir. Daha önce de tıbbi cihaz kılavuzlarında değinilen konu olmasına rağmen, çok da uzak olmayan bir tarihte, 2017 yılında, İngiltere’de devlet tarafından finanse edilen en büyük sağlık sistemlerinden biri olan Ulusal Sağlık Sistemi (NHS, National Health Service)’ne karşı yapılan WannaCry siber saldırısı aslında sağlık sektörünün bu saldırılara karşı savunma geliştirmesinin ne kadar önemli olduğunu göstermiştir. Bu ve benzer siber tehditler ise tıbbi cihaz mevzuatı üzerinden tıbbi cihaz geliştirici ve üretici firmalar için bazı kılavuzların güncellenmesini tetiklemiştir.

Tüm kılavuzlarda ortak konu olarak ele alınan temel husus aslında siber güvenliğin sağlanamaması durumunda, cihaz işlevselliğinin tehlikeye girmesine, veri bütünlüğünün kaybolmasına veya diğer bağlı cihazların ya da ağların güvenlik tehditlerine maruz kalmasına neden olabilmesidir. Tıbbi cihaz üreticileri bilgi gizliliğini ve bütünlüğünü korumak için tasarım sürecinden itibaren siber güvenliği sağlamak için bir dizi güvenlik kontrolü geliştirmelidir. Tıbbi cihazın tasarım ve geliştirme aşamasında siber güvenlik hususunun göz önünde bulundurulması siber güvenlik risklerinin daha sağlam ve verimli bir şekilde azaltılmasında etkisi yüksek olacaktır. Üreticilerden siber güvenlik risk analizini ve yönetim planlarını risk analizinin bir parçası olarak tanımlamaları ve belgelemeleri beklenmektedir.

Yayınlanan kılavuzlar, içerik açısından çok yeni ve farklı olmasa da cihaz yazılımınızda siber güvenliği ciddiye almanız için önemli bir hatırlatmadır. Bu konuda yayınlanan bazı kılavuzlar ve standartların ilgili kısımları için aşağıdaki tabloyu inceleyebilirsiniz. Hem Avrupa mevzuatına hem de Amerika mevzuatına uyum için yetkili otoritelerin gözleri siber güvenlik konusunda tıbbi cihaz üreticilerinin üzerinde.