Nidhi Gani é um profissional experiente em assuntos regulatórios, com mais de uma década de experiência em segurança cibernética, dispositivos médicos e saúde digital. Ela trabalhou com dispositivos que vão desde máquinas cardíacas e pulmonares até dispositivos de reabilitação. Nidhi trabalha na Embecta como Software de Assuntos Regulatórios e Segurança Cibernética e é Fellow em Segurança Cibernética no Centro Archimedes para Cuidados de Saúde e Segurança Cibernética de Dispositivos Médicos da Northeastern University. Ela se juntou ao podcast Left to Our Own Devices para compartilhar suas experiências e insights.
O mundo dos assuntos regulatórios para fabricantes de dispositivos médicos passou por uma mudança sísmica nos últimos anos, à medida que os reguladores exigem mais confiabilidade e transparência dos fabricantes de dispositivos médicos – especialmente em relação à sua segurança cibernética.
No podcast, Nidhi Gani explicou como veio aos EUA para continuar seus estudos em biologia e imunologia e descobriu assuntos regulatórios ao longo do caminho. À medida que aprendia mais sobre o grande ecossistema médico, descobriu a sua vocação neste nicho crescente que ajudaria as empresas a chegar ao mercado com menos atrito regulador.
Assuntos Regulatórios como parceiro estratégico
Nos primeiros anos de sua carreira, antes das diretrizes de pré-comercialização da FDA para segurança cibernética, a cooperação entre equipes e profissionais de assuntos regulatórios era desafiadora.
Os engenheiros e outros membros da equipe consideraram o papel de Nidhi intrusivo. “Como profissional de assuntos regulatórios, um dos maiores desafios que você enfrentará seria liderar sem autoridade”, disse Nidhi. Antes de serem exigidas medidas de cibersegurança, os assuntos regulamentares eram recomendações internas severas que não eram necessariamente aplicáveis. “Muitas vezes há engenheiros e a equipe não quer revelar totalmente as informações.”
Reconhecendo esta realidade e dedicando algum tempo para compreender toda a estrutura da organização em que você está inserido, muito progresso pode ser feito. Nidhi disse: “Assuntos regulatórios são vistos como uma inibição. Mas, se você usar assuntos regulatórios estrategicamente, eles podem ser um catalisador muito bom para o desenvolvimento de seus produtos, bem como para aprovações regulatórias.”
Esta resistência inicial foi especialmente verdadeira com startups cujo valor é mantido dentro da sua tecnologia proprietária. O vazamento dessas informações pode significar o fim da empresa antes que ela decole. Isso exigiu que ela mudasse a maneira como trabalhava com essas organizações e muitas vezes aprendesse sobre os novos regulamentos.
Um exemplo disso foi quando ela entrou pela primeira vez na área e estava trabalhando com variáveis. As regulamentações de software e segurança cibernética ainda não estavam totalmente formadas. Todas as novas regulamentações eram novas, portanto, preencher a lacuna entre os reguladores e a equipe exigia que ela construísse um entendimento prático do que era necessário antes de serem testadas por outras organizações.
Ainda hoje, trata-se de trazer as pessoas para o grupo, explicando os regulamentos e os benefícios de segui-los.
Trabalhando para obter a aprovação da FDA do iCAD
Em março de 2021, a iCAD, Inc. obteve a aprovação da FDA para uma tecnologia de detecção de câncer de mama. Esta notícia foi muito além da comunidade médica, pois foi o primeiro algoritmo de IA/ML a obter tal aprovação.
Nidhi explicou como isso representava uma oportunidade única porque, diferentemente de um dispositivo médico tradicional que poderia ser colocado off-line para atualizações ou manutenção de rotina, este era um produto SaaS que residia na rede interna do hospital. “É uma tecnologia incrível porque foi o primeiro algoritmo aprovado pela FDA e por esse programa. “Os desafios desse dispositivo são múltiplos porque mais do que o próprio dispositivo apresentar ou ter vulnerabilidades de segurança cibernética, é a rede à qual ele estaria exposto e também durante a solução de problemas e o atendimento ao cliente.”
A obtenção de um nível de segurança que o iCAD considerou aceitável ainda levou tempo, mesmo depois de obter autorização de mercado da FDA.
Isso foi antes do projeto Omnibus, que elevou o poder do FDA de aplicar as diretrizes de segurança cibernética a um nível diferente. Cabia a ela preparar o software para estar pronto para regulamentação e permanecer em conformidade no futuro. Ela alcançou esse feito entrando em contato com pessoas que ela sabia que não ficariam entusiasmadas em ouvi-la e aprendendo a identificar todos os diferentes aspectos da empresa.
Depois de ter o framework de todos os ativos, ela construiu planos de gerenciamento de riscos baseados no framework NIST, coletou dados suficientes para entender a postura da empresa e começar a implementar programas. “Essa, eu acho, é a beleza da indústria de dispositivos médicos, porque você também pode construir seus sistemas de gestão de qualidade da maneira que pode racionalizar.”
Nidhi conta com a força dos Sistemas de Gerenciamento de Segurança de Produtos, onde vulnerabilidades, riscos e outros desafios relacionados à segurança podem ser descobertos e gerenciados.
Omnibus e regulamentos
No passado, a FDA tinha diretrizes sobre o que gostaria de ver em relação à segurança cibernética em dispositivos médicos. Hoje, após a aprovação do projeto de lei Omnibus de 22 de dezembro, a FDA tem autoridade legal para exigir padrões mínimos de segurança cibernética em todos os dispositivos que desejam aprovação no mercado. Não como um complemento, mas como um aspecto central da tecnologia.
Quando se trata da política de recusa de aceitação (RTA) da FDA, o direito da agência de recusar a aprovação de qualquer dispositivo que não seja compatível com a cibernética, a entrevista se voltou para como os SBOMs estão na frente e no centro. Eles abordaram como essas contas desempenham um papel crítico na compreensão do que há em cada dispositivo e quais componentes são vulneráveis a ataques – algo que poderia ter protegido muitos dispositivos durante o Log4j .
A conversa então se aprofundou em como, assim como os sistemas de segurança são continuamente testados, e nunca uma tarefa única, os sistemas de segurança devem ser os mesmos. “Quando você analisa a divulgação de vulnerabilidades, também analisa correções e atualizações”, disse Nidhi. Isto coloca a segurança no mesmo domínio que a segurança, com parâmetros sobre o que deve ser atualizado e o que deve ser recolhido, qual é o risco, e assim por diante.”
Olhando além dos Estados Unidos, para ver como outros países estão trabalhando em suas próprias medidas, Nidhi disse: “Acho que a maioria dos países e continentes estão seguindo o exemplo e produzindo suas próprias regulamentações de segurança cibernética e regulamentações SMD de IA porque a tecnologia tem avançado após a pandemia, ou em vez disso, acelerou o crescimento em pelo menos uma década, e os reguladores estão a recuperar o atraso e a fazer um bom trabalho.”
Em última análise, a regulamentação visa trabalhar no melhor interesse dos cidadãos, permitindo ao mesmo tempo que as indústrias continuem a crescer e a inovar. A harmonização dos padrões de cibersegurança dos dispositivos médicos está a poupar custos para os fabricantes, mas Nidhi sublinha que existem questões maiores sobre o armazenamento de dados e a sua movimentação através das fronteiras que devem ser abordadas.
FONTE: HELP NET SECURITY