FDA yêu cầu bảo mật các thiết bị y tế trước các cuộc tấn công mạng

Cục Quản lý Thực phẩm và Dược phẩm Mỹ (FDA) hiện sẽ yêu cầu các thiết bị y tế đáp ứng các nguyên tắc an ninh mạng cụ thể sau nhiều năm lo ngại rằng ngày càng nhiều sản phẩm kết nối internet được các bệnh viện và nhà cung cấp dịch vụ chăm sóc sức khỏe sử dụng có thể bị tấn công bởi các cuộc tấn công bằng mã độc tống tiền và tin tặc.

Theo hướng dẫn của FDA được ban hành trong tuần này, tất cả những người đăng ký thiết bị y tế mới hiện phải gửi kế hoạch về cách “theo dõi, xác định và giải quyết” các vấn đề an ninh mạng, cũng như tạo ra một quy trình cung cấp “sự đảm bảo hợp lý” rằng thiết bị được đề cập sẽ được bảo vệ. Các ứng viên cũng sẽ cần cung cấp các bản cập nhật và bản vá bảo mật theo lịch trình thường xuyên và trong các tình huống quan trọng, đồng thời cung cấp cho FDA “hóa đơn tài liệu phần mềm”, bao gồm bất kỳ phần mềm mã nguồn mở hoặc phần mềm nào khác mà thiết bị của họ sử dụng.

Các yêu cầu an ninh mới có hiệu lực như một phần của dự luật chi tiêu liên bang trị giá 1,7 nghìn tỷ đô la được Tổng thống Joe Biden ký vào tháng 12. Là một phần của luật mới, FDA cũng phải cập nhật hướng dẫn an ninh mạng cho thiết bị y tế của mình ít nhất hai năm một lần.

Một báo cáo năm 2022 do FBI công bố đã trích dẫn nghiên cứu cho thấy 53% thiết bị y tế kỹ thuật số và các sản phẩm kết nối internet khác trong bệnh viện có các lỗ hổng nghiêm trọng. Báo cáo đã liệt kê một số thiết bị y tế dễ bị tấn công mạng, bao gồm máy bơm insulin, máy khử rung tim, máy đo nhịp tim di động và máy điều hòa nhịp tim.

Theo báo cáo của FBI: “Những kẻ xấu xâm phạm các thiết bị này có thể khiến chúng đưa ra kết quả không chính xác, sử dụng thuốc quá liều hoặc gây nguy hiểm cho sức khỏe bệnh nhân”.

Vào năm 2021, một nhóm các nhà nghiên cứu điều tra phần mềm được sử dụng trong các thiết bị y tế và máy móc được sử dụng trong các ngành công nghiệp khác đã tìm thấy hơn một chục lỗ hổng mà nếu bị tin tặc khai thác, có thể khiến các thiết bị quan trọng như máy theo dõi bệnh nhân gặp sự cố.

FDA đã phải đối mặt với những lời chỉ trích trong nhiều năm vì đã không hành động đủ.

Một báo cáo năm 2018 từ Văn phòng Tổng thanh tra của Bộ Y tế và Dịch vụ Nhân sinh Mỹ cho biết FDA đã không bảo vệ đầy đủ các thiết bị khỏi bị tấn công.

Báo cáo cho biết: “FDA đã có các kế hoạch và quy trình để giải quyết một số vấn đề về thiết bị y tế trong giai đoạn sau khi đưa ra thị trường, nhưng các kế hoạch và quy trình của họ không đủ để giải quyết các thỏa hiệp về an ninh mạng của thiết bị y tế”.

Vũ Long