,
5 min de lectura
A medida que la tecnología avanza, también lo hacen los Dispositivos Médicos que se utilizan para mantener la vida. Mientras que en Corea del Sur se han desarrollado varios tipos de Dispositivos Médicos capaces de comunicarse, el desarrollo viene acompañado del riesgo de amenazas de ciberseguridad, como el hackeo de Dispositivos Médicos y las fugas de información. Estas amenazas no solo afectan a la pérdida de propiedades, sino también a la vida de los pacientes, y por eso la protección de la ciberseguridad de los Dispositivos Médicos es una preocupación fundamental.
Para abordar estas preocupaciones, el gobierno surcoreano ha establecido directrices para la aprobación de ciberseguridad (Guía-0995-03 2023.07.13) y la revisión de Dispositivos Médicos. La normativa surcoreana sobre Dispositivos Médicos tiene como objetivo garantizar la gestión segura de los Dispositivos Médicos con capacidad de comunicación y, a su vez, resaltar la importancia de la ciberseguridad para los Dispositivos Médicos.
¿Por qué se requieren directrices de ciberseguridad?
Los Dispositivos Médicos a menudo se implantan dentro del cuerpo de los pacientes para cumplir funciones vitales, lo que significa que cualquier amenaza de ciberseguridad podría tener consecuencias graves, incluso fatales. Las directrices sobre la ciberseguridad de los Dispositivos Médicos buscan prevenir dichas amenazas asegurando que los dispositivos sean seguros y que los datos que transmiten estén protegidos.
Consideraciones clave para la implementación de nuevas directrices y guías
Las consideraciones clave a tener en cuenta al promulgar nuevas directrices y guías de ciberseguridad son que es importante aclarar el objetivo del Dispositivo Médico, aplicar el dispositivo según sus características y asegurar la gestión de la seguridad si el dispositivo es capaz de comunicarse. Las directrices, destinadas a lograr la armonización internacional, han tomado y aplicado consideraciones de los Principios y Directrices de Ciberseguridad de Dispositivos Médicos establecidos por el Foro Internacional de Reguladores de Dispositivos Médicos (IMDRF) (Principios y Prácticas para la Ciberseguridad de Dispositivos Médicos, IMDRF [2020]).
Principios Básicos de Ciberseguridad de Dispositivos Médicos
Los principios básicos de la ciberseguridad de los Dispositivos Médicos comprenden un conjunto de directrices que describen las consideraciones clave para garantizar la ciberseguridad de los Dispositivos Médicos. Incluyen la disponibilidad, la confidencialidad y la integridad. Veamos brevemente estos tres (03) principios:
- La disponibilidad se refiere a poner los datos a disposición de inmediato de los usuarios autorizados.
- La confidencialidad se refiere a la protección de los datos contra el acceso no autorizado.
- La integridad se refiere a asegurar que los datos sean precisos y no hayan sido manipulados.
Estos principios son fundamentales para la gestión de la ciberseguridad de los Dispositivos Médicos, ya que ayudan a garantizar la seguridad de los dispositivos y los datos que transmiten.
Proceso de gestión de riesgos para la ciberseguridad de los Dispositivos Médicos.
Las directrices especifican que los fabricantes deben llevar a cabo procesos adecuados de gestión de riesgos de ciberseguridad para los Dispositivos Médicos en Corea del Sur. A continuación, se presentan algunos aspectos clave del proceso de gestión de riesgos:
- El proceso debe incluir la identificación de posibles amenazas de ciberseguridad, la evaluación de los riesgos asociados a dichas amenazas y el desarrollo de estrategias para mitigarlos.
- Los fabricantes deben registrar el proceso en el informe de gestión de riesgos.
- Los fabricantes deben establecer y mantener un procedimiento sistemático para revisar la información de ciberseguridad durante las fases de producción y posproducción.
- Los fabricantes deben establecer objetivos de ciberseguridad con funciones y niveles adecuados. Además, deben considerar las consecuencias de la evaluación y el tratamiento de riesgos.
- Se hace hincapié en la recopilación y el análisis continuo de información sobre las intenciones de los clientes internos y externos a lo largo del ciclo de vida de los Dispositivos Médicos. Además, es importante que esta información se refleje en la gestión de riesgos de ciberseguridad de Dispositivos Médicos.
Aplicación de los Requisitos de Ciberseguridad para Dispositivos Médicos
Las directrices consisten en una tabla con ejemplos de consideraciones para la aplicación de los requisitos de ciberseguridad para Dispositivos Médicos con respecto a la garantía de calidad de Dispositivos Médicos y el cumplimiento reglamentario. La tabla incluye tres (03) categorías de consideraciones – mayores, moderadas y menores – que se explican a continuación:
- Consideración principal: La consideración principal es la posibilidad de lesiones graves a los pacientes, o incluso la muerte, deterioro permanente de las funciones corporales y daño permanente a la estructura corporal debido a las brechas de ciberseguridad de los Dispositivos Médicos.
- Consideración Moderada: La consideración moderada es que las brechas de ciberseguridad de Dispositivos Médicos pueden resultar en lesiones menores o temporales para los pacientes, que pueden requerir intervención médica.
- Consideración Menor: La consideración menor es que las brechas de ciberseguridad de Dispositivos Médicos pueden causar inconvenientes temporales o molestias reversibles, menores y a corto plazo a los pacientes, que no requieren intervención médica.
Además de las categorías anteriores, la tabla también incluye consideraciones relacionadas con la comunicación por cable, la comunicación inalámbrica y los riesgos de ciberseguridad que surgen por infracciones.
Dos (02) listas de verificación clave para la ciberseguridad de Dispositivos Médicos
Lista de verificación para los requisitos de ciberseguridad de Dispositivos Médicos:
- Los fabricantes deben utilizar este formulario de lista de verificación al revisar sus Dispositivos Médicos para los requisitos de ciberseguridad.
- Deben rellenar el formulario de acuerdo con las características de sus dispositivos respectivos.
- El formulario es la base para confirmar que los fabricantes han cumplido con todos los requisitos de ciberseguridad.
- La lista de verificación incluye el "Documento de Gestión de Riesgos de Ciberseguridad" y los "Datos de Verificación y Validación de Software".
La tabla siguiente (Tabla 1) ilustra la lista de verificación de ciberseguridad para Dispositivos Médicos en Corea del Sur.
Tabla 1: Lista de verificación para la ciberseguridad de Dispositivos Médicos en Corea del Sur
| Requisitos de ciberseguridad | Aplicabilidad del dispositivo correspondiente | Método de prueba de compatibilidad utilizado. | Número de documento o el documento adjunto correspondiente | |
| Comunicación de Seguridad | Los fabricantes deben mencionar cómo conectar sus Dispositivos Médicos a través de Internet, Bluetooth, etc., así como las características de diseño y la seguridad de los datos transmitidos. | XXX | XXX | XXX |
| Protección de Datos del Dispositivo | Los fabricantes deben decidir si sus dispositivos requieren cifrado o mensajería protegida; también deben evaluar el arquitectura a nivel de sistema para determinar si se requieren características de diseño para asegurar la no repudiación de datos. | XXX | XXX | XXX |
| Integridad del Dispositivo | Los fabricantes deben considerar los riesgos para la integridad de los dispositivos, como los cambios no autorizados en ellos. Deben ser cautelosos con el software, los virus, el spyware, etc. | XXX | XXX | XXX |
| Certificación del Usuario | Algunos ejemplos de acceso de usuario el control son las contraseñas, las claves de hardware, la autenticación de cadena sin procesar, etc. | XXX | XXX | XXX |
| Número de Mantenimiento de Software | Los fabricantes deben considerar proporcionar a los usuarios todos los detalles de las actualizaciones, los plazos y los requisitos. | XXX | XXX | XXX |
Lista de verificación para el establecimiento/revisión de directrices/guías:
- Los fabricantes deben utilizar esta lista de verificación al establecer o revisar directrices o manuales.
- Deben verificar si el contenido se desvía de las leyes superiores y si establece/refuerza nuevas reglamentaciones o restringe quejas civiles sensibles.
- Si la respuesta es "sí" a si establece o refuerza nuevas regulaciones, se debe eliminar el contenido que se desvíe del estatuto superior y proceder con el proceso de establecer y revisar las directrices y guías.
- La lista de verificación incluye la designación de las directrices o guías y la verificación de los elementos relacionados con las consideraciones de la solicitud.
Presentación de datos para la ciberseguridad de Dispositivos Médicos
Las directrices establecen requisitos específicos para la presentación de datos relacionados con la ciberseguridad de Dispositivos Médicos. Los datos presentados deben cumplir los siguientes criterios para la aprobación de Dispositivos Médicos:
- Los datos deben estar relacionados con Dispositivos Médicos capaces de comunicación inalámbrica o que tengan una vía de comunicación.
- Entre los datos sobre el rendimiento de las llamadas, los fabricantes deben presentar los “Datos de Verificación y Validación de Software” y el “Informe de Verificación de Conformidad de Software para Dispositivos Médicos”.
- La información presentada no debe ser falsificada, defectuosa ni aprobada para Dispositivos Médicos.
- Los fabricantes deben aplicar requisitos de ciberseguridad como contramedida para evitar el acceso no autorizado a los Dispositivos Médicos.
- Los fabricantes deben confirmar el cumplimiento de los requisitos de ciberseguridad de los Dispositivos Médicos mediante la presentación de la “Lista de Verificación de Requisitos de Ciberseguridad para Dispositivos Médicos” y los materiales que verifican los requisitos de la lista de verificación.
- Los fabricantes pueden solicitar la exclusión o modificación de algunos de los requisitos mediante un análisis de riesgos; los datos pertinentes deben presentarse con el 'Documento de Gestión de Riesgos de Ciberseguridad', de acuerdo con el Artículo 26 de las directrices.
En general, las directrices para la aprobación y revisión de la ciberseguridad de los Dispositivos Médicos sirven como un recurso valioso para fabricantes, usuarios y reguladores, ya que ayudan a garantizar la seguridad de los Dispositivos Médicos. Si usted es un fabricante que busca vender sus Dispositivos Médicos en Corea del Sur, debe asegurarse de que sus dispositivos cumplan con los requisitos de ciberseguridad descritos en las directrices. Nuestro equipo de expertos puede ayudarle a navegar por la reglamentación de Dispositivos Médicos de Corea del Sur; ellos se asegurarán de que sus dispositivos cumplan con los requisitos de ciberseguridad y de que usted presente los datos necesarios para la aprobación y revisión. Contacte con Freyr para saber más sobre cómo podemos ayudarle a salvaguardar la ciberseguridad de sus Dispositivos Médicos en Corea del Sur. ¡Manténgase informado! ¡Cumpla con la normativa!
