Cibersegurança de Dispositivos Médicos – Orientação da TGA

1. Importância da Cibersegurança para Dispositivos Médicos

Dispositivos médicos conectados estão cada vez mais vulneráveis a ameaças cibernéticas que podem comprometer a funcionalidade do dispositivo, dados do paciente ou segurança do paciente. A TGA exige que fabricantes e patrocinadores abordem riscos de cibersegurança como parte dos princípios essenciais de segurança e desempenho sob o Therapeutic Goods (Medical Devices) Regulations 2002. Fonte: https://www.tga.gov.au/safety/safety-monitoring-and-information/medical-device-cyber-security

Ameaças cibernéticas podem incluir acesso não autorizado, violações de dados, ransomware, ataques de negação de serviço ou manipulação de configurações do dispositivo. As expectativas da TGA estão alinhadas com padrões internacionais, como a IEC 81001-5-1 e orientações do IMDRF sobre cibersegurança.

2. Gerenciamento de Riscos ao Longo do Ciclo de Vida do Dispositivo

Os fabricantes devem implementar gerenciamento de riscos de cibersegurança desde o design até o fim da vida útil. Isso inclui:

• Identificar riscos de cibersegurança durante a fase de design
• Implementar controles de segurança para mitigar riscos identificados
• Validar e verificar medidas de segurança
• Monitorar novas ameaças pós-mercado
• Ter processos para responder a vulnerabilidades identificadas Fonte: https://www.tga.gov.au/safety/safety-monitoring-and-information/medical-device-cyber-security

O gerenciamento de riscos deve ser integrado ao sistema de gestão da qualidade geral e alinhado aos princípios da ISO 14971, adaptados para considerações de cibersegurança.

3. Princípios de Design Seguro

Princípios-chave para design seguro incluem:

• Configuração segura por padrão
• Acesso com menor privilégio
• Autenticação e autorização seguras
• Proteção de dados (criptografia em trânsito e em repouso, quando apropriado)
• Ciclo de vida de desenvolvimento de software seguro
• Capacidade de gerenciamento de patches Fonte: https://www.tga.gov.au/safety/safety-monitoring-and-information/medical-device-cyber-security

Os fabricantes devem documentar como esses princípios são aplicados e fornecer evidências durante a avaliação de conformidade.

4. Gerenciamento e Divulgação de Vulnerabilidades

Os fabricantes devem ter processos para:

• Monitorar vulnerabilidades (incluindo componentes de terceiros)
• Avaliar o impacto das vulnerabilidades na segurança e desempenho
• Priorizar a remediação com base no risco
• Divulgar vulnerabilidades de forma responsável (por exemplo, via programas coordenados de divulgação de vulnerabilidades)
• Fornecer patches ou mitigações oportunas Fonte: https://www.tga.gov.au/safety/safety-monitoring-and-information/medical-device-cyber-security

Os patrocinadores devem notificar a TGA sobre questões significativas de cibersegurança que possam afetar a segurança ou desempenho do dispositivo, especialmente se puderem levar a lesões graves ou morte.

5. Responsabilidades Pós-Mercado

Após a entrada no mercado, as responsabilidades contínuas incluem:

• Monitorar fontes de inteligência de cibersegurança
• Implementar ações corretivas de segurança de campo quando vulnerabilidades são identificadas
• Atualizar arquivos de gerenciamento de riscos
• Comunicar atualizações de segurança aos usuários
• Manter capacidade de fornecer patches de segurança ao longo da vida útil esperada Fonte: https://www.tga.gov.au/safety/safety-monitoring-and-information/medical-device-cyber-security

A TGA pode tomar medidas regulatórias se deficiências de cibersegurança representarem riscos inaceitáveis.

6. Expectativas da TGA e Avaliação de Conformidade

Durante a avaliação de conformidade, a TGA espera evidências de que a cibersegurança foi adequadamente abordada, especialmente para dispositivos conectados ou com capacidade de rede. Dispositivos de maior risco recebem escrutínio mais rigoroso. Os patrocinadores devem consultar os documentos de orientação de cibersegurança da TGA para expectativas detalhadas.

7. Recursos Adicionais

A TGA fornece links para:

• Orientação do Australian Cyber Security Centre (ACSC)
• Documentos do International Medical Device Regulators Forum (IMDRF)
• Norma IEC 81001-5-1
• Recursos de cibersegurança da FDA e outras autoridades internacionais Fonte: https://www.tga.gov.au/safety/safety-monitoring-and-information/medical-device-cyber-security

Fabricantes, patrocinadores, prestadores de cuidados de saúde e pacientes têm papéis na manutenção da cibersegurança. O envolvimento precoce com considerações de cibersegurança ajuda a garantir o uso seguro e eficaz de dispositivos médicos conectados na Austrália.