Después de décadas de aceptar la seguridad cibernética como un problema de otra persona, los compradores en el sistema de salud han alcanzado un punto de inflexión. Cuando los costos y la funcionalidad una vez dominaron las decisiones de compra, los requisitos de seguridad cibernética ahora sirven como guardianes obligatorios que pueden eliminar por completo a los proveedores del examen.
Las recientes medidas regulatorias subrayan este cambio. A principios de 2025, la FDA y la CISA dieron advertencias Errores críticos de la ciberseguridad en los monitores de pacientes contec y epsimed – Debilidades que amenazaron tanto la integridad de los dispositivos como la seguridad del paciente. Se descubrió que los monitores contienen una puerta trasera de firmware oculta, lo que permite un acceso remoto no autorizado y una posible manipulación de los datos del paciente. Si bien no se informaron lesiones, la noticia de las autoridades de supervisión fue clara: los dispositivos médicos sin proteger una base segura ya no son aceptables en entornos clínicos.
Los compradores de atención médica dejan oír sus voces. Investigación reciente Casi la mitad encontró las compras de dispositivos médicos debido a problemas de seguridad cibernética. En otras palabras, la seguridad de los dispositivos se ha desarrollado de un “agradable” a una solicitud de adquisición inasignable.
El despertar de la responsabilidad
Los proveedores de servicios de salud han aprendido lecciones difíciles de años de creciente ataques cibernéticos. La violación del hospital ha enterrado cada vez más en dispositivos médicos y entornos de tecnología operativa. A Ataque de ransomware WannaCry 2017 Infectados 1.200 dispositivos de diagnóstico en todo el mundo y forzaron a cinco departamentos de emergencia del Hospital Británico a cerrar y redirigir la atención al paciente. Los compradores ahora entienden que los dispositivos no pueden tratarse como sistemas aislados. Deben estar seguros en las redes de atención complejas e interconectadas.
Para los fabricantes de dispositivos, esto significa que la barra ha aumentado dramáticamente. Los clientes ya no están dispuestos a aceptar garantías vagas a través de la seguridad. En cambio, puede esperar referencias a un diseño seguro, procesos documentados de gestión de la ventaja y transparencia sobre los componentes del software.
La prima para la seguridad real
Las organizaciones de salud más llamativas apoyan sus requisitos de seguridad con dinero real. Muchos compradores ahora están listos para pagar una prima por dispositivos que están equipados con prevención avanzada de exploit y protección del tiempo de funcionamiento. Esta voluntad refleja la comprensión de que las defensas exigentes requieren inversiones continuas en investigación y desarrollo, mantenimiento y parches.
El cálculo es simple: el costo de la prevención es mucho menor que los compromisos. El ataque de WannaCry mencionado anteriormente costó al NHS 92 millones de libras – O hoy alrededor de 124 millones de dólares estadounidenses. Las organizaciones de salud han sido la falla financiera y clínica de la ciberseguridad débil y cada incidente subraya que las vulnerabilidades de los dispositivos son un problema de seguridad del paciente con consecuencias multimillonarias.
Cambiar hacia la seguridad a través del diseño
Existe una solicitud urgente de que los dispositivos médicos estén a salvo desde el principio. Después de su uso, los compradores de atención médica ya no están dispuestos a aceptar correcciones adicionales. Este cambio refleja una verdad difícil: muchos entornos de salud se basan en sistemas heredados que son difíciles de patpolar y tienen que permanecer listos para la operación las 24 horas. Si la seguridad es un pensamiento posterior, la carga para los proveedores, a menudo con instrumentos limitados para reducir el riesgo.
Ahora las autoridades de supervisión gubernamental están aumentando esta expectativa. En junio pasado, la FDA actualizó sus instrucciones con el título “Seguridad cibernética en un dispositivo médico. ” Entre otras cosas, recomienda que los fabricantes demuestren amenazas, proporcionen materiales de software (SBOMS) e integren la seguridad cibernética durante todo el ciclo de vida del producto, un llamado claro para las prácticas de diseño de seguridad.
Al mismo tiempo, los fabricantes piden que se apegaran a un Marco seguro de desarrollo de productos (SPDF) -Cettiendo esencialmente elementos de seguridad cibernética, como el modelado de amenazas y la gestión de parches en sus sistemas de calidad interna, que están orientados hacia 21 CFR Parte 820.
Mientras tanto, la CISA del Departamento de Seguridad Nacional comenzó la suya “Seguro por diseñoIniciativa. Fomenta a los proveedores de tecnología, incluidos los corredores de dispositivos médicos, la responsabilidad aguas arriba y la priorización de la protección central, como la autenticación multifactor, la registro y la aseguramiento de fallas como parte del diseño, no como extras opcionales.
Juntos, estos desarrollos regulatorios y políticos deforman las expectativas en toda la cadena de suministro. Ahora los fabricantes de dispositivos están creciendo bajo presión para demostrar que han horneado la seguridad, antes de que los productos salgan de la fábrica.
Seguridad de los dispositivos médicos como responsabilidad común
Estos cambios cambian el panorama competitivo. La seguridad ya no es lo que los fabricantes pueden tratar como una caja de control de cumplimiento: se convierte en una expectativa central de las autoridades reguladoras, los sistemas hospitalarios y los pacientes.
Las organizaciones de salud también reconocen su papel en esta ecuación. Al priorizar la seguridad en caso de adquisiciones y decisiones presupuestarias, usted contribuye a crear la señal de demanda que impulsa más protección en toda la cadena de suministro.
En última instancia, la seguridad cibernética en la atención médica ya no es una responsabilidad única. El progreso depende de los compradores y proveedores que se muevan en conjunto al integrar la seguridad del diseño a través del uso y el tratamiento de la resiliencia como central para la seguridad del paciente.
Foto: Marchmeena29, Getty Images
Joe SaundersEs el fundador y CEO de Runsafe SecurityPionero en la tecnología cibernética para sistemas integrados y sistemas de control industrial que actualmente lleva a un equipo de los antiguos especialistas en seguridad cibernética del gobierno de los Estados Unidos con un profundo conocimiento de la funcionalidad de los atacantes. Con 25 años de experiencia en seguridad nacional y seguridad cibernética, Joe quiere cambiar el campo cuestionando suposiciones obsoletas e inquietando a la economía de los piratas informáticos. Ha acumulado y escalado tecnología para necesidades de seguridad pública y privada. Joe aconsejó y apoyó a varias compañías de seguridad, incluidas Kaprica Security, Sovereign Intelligence, Destil Networks and Analysis Corp. Fundó Children’s Voice International, un apoyo sin fines de lucro que apoya a los niños desplazados, abandonados y actuados.
Esta contribución aparece a través del Influencer de Medcity Programa. Todos pueden publicar su visión de los negocios y la innovación en la atención médica en relación con los mensajes de Medcity de Medcity -Influencer. Haga clic aquí para averiguar cómo.
