0
0
Empresas de tecnologia médica e organizações de entrega de saúde têm um novo modelo para concordar em termos e condições contratuais de segurança cibernética para reduzir custos, complexidade e tempo no processo de contratação e melhorar a segurança do paciente. Publicado pelo Health Sector Coordinating Council Cybersecurity Working Group (CWG) é Model Contract-Language for Medtech Cybersecurity (MC2).
Problema
A gênese desse recurso foi o reconhecimento de que a responsabilidade de cibersegurança de dispositivos médicos entre os Fabricantes de Dispositivos Médicos (MDM’s) e as Organizações de Entrega de Saúde (HDO’s) é complicada por muitos fatores conflitantes, incluindo: recursos deSiguais de MDM e investimento em controles de segurança cibernética incorporados ao design e produção de dispositivos; expectativas variadas de segurança cibernética entre OSDS; e altos custos de gerenciamento de cibersegurança no ambiente operacional do HDO durante todo o ciclo de vida do dispositivo.
Esses fatores introduziram e sustentaram ambiguidades na responsabilização de cibersegurança entre os MDM e os HDO’s que historicamente foram conciliados de forma inconsistente no processo de negociação do contrato de compra, levando a disputas a jusante e potenciais implicações na segurança do paciente.
Solução
O objetivo desta Linguagem de Contrato modelo é oferecer uma referência de cooperação compartilhada e coordenação entre os HDO’s e os MDM’s em relação à segurança, conformidade, gerenciamento, operação, serviços e segurança de dispositivos médicos, soluções e conexões gerenciados pelo MDM. Esta linguagem de contrato de modelo destina-se a minimizar os riscos de segurança e garantir a confidencialidade, integridade e disponibilidade (CIA) de tecnologias, infraestruturas e informações de saúde do HDO.
Esta Linguagem de Contrato de Modelo articula a segurança adequada das informações de HDO que estão sendo armazenadas, transferidas ou acessadas e fornece que todo o acesso à rede, dispositivos médicos, serviços e soluções satisfaçam os requisitos de missão, segurança e conformidade do HDO.
Fabricantes de dispositivos médicos, organizações de entrega de saúde e organizações de compras em grupo são encorajados a revisar de perto essa linguagem de contrato e adotar o quanto for apropriado para a organização. Quanto mais uniformidade e previsibilidade o setor conseguir nas expectativas de gestão de cibersegurança entre empresas, maiores serão os avanços que fará em direção à segurança do paciente e a um sistema de saúde mais seguro e resiliente.
Processo
Este contrato de modelo também é o produto da colaboração do modelo entre duas partes interessadas subsetoriais cujas expectativas sobre responsabilidade e responsabilização pela segurança cibernética nem sempre foram alinhadas.
O processo de 2 anos de “pré-negociação” dessa linguagem de contrato modelo – a partir de março de 2020 – facilitou o aumento da compreensão mútua e da confiança entre os MDM’s e os HDO’s que participaram do Grupo de Tarefas de Linguagem de Contrato de Contrato de Cibersegurança de Dispositivos Médicos. O setor deve aos líderes e membros do grupo de trabalho seus agradecimentos e parabéns.
No pipeline a ser publicado nas próximas semanas haverá orientações de boas práticas para comunicações de vulnerabilidade de dispositivos médicos para o público paciente.
FONTE: HELPNET SECURITY