كيف تستخدم أوروبا اللوائح لتقوية الأجهزة الطبية ضد هجوم استخبارات بيانات PlatoBlockchain. البحث العمودي. عاي.

كيف تستخدم أوروبا اللوائح لتقوية الأجهزة الطبية ضد الهجوم

الطابع الزمني: 23 سبتمبر 2022 11:05 صباحًا

نظرًا لتزايد حجم الهجمات ضد الأجهزة الطبية، طرحت الهيئات التنظيمية في الاتحاد الأوروبي مجموعة جديدة من متطلبات دخول السوق للأجهزة الطبية والأجهزة الطبية التشخيصية المختبرية لتقليل مخاطر إلحاق الضرر بالمريض نتيجة لحادث سيبراني، بالإضافة إلى حماية النظم الصحية الوطنية.

يقوم المنظمون في الاتحاد الأوروبي برفع مستوى متطلبات الأمن السيبراني مع لائحة الاتحاد الأوروبي للأجهزة الطبية (MDR) و لائحة الاتحاد الأوروبي للتشخيص المخبري (IVDR) ، التي دخلت حيز التنفيذ في 26 مايو 2021. تهدف اللوائح إلى "إنشاء إطار تنظيمي قوي وشفاف ويمكن التنبؤ به ومستدام ... يضمن مستوى عالٍ من السلامة والصحة مع دعم الابتكار".

أمام المؤسسات مهلة حتى 26 مايو 2024، أو عند انتهاء صلاحية الشهادات الرقمية التي تستخدمها الأجهزة، لإجراء التغييرات اللازمة على أنظمة إدارة الجودة والوثائق الفنية الخاصة بها للتوافق مع المتطلبات الجديدة. على الرغم من عدد عمليات التقييم والمعايير والوثائق التوجيهية التي تم تقديمها، قد لا تكون الشركات المصنعة للأجهزة الطبية ومقدميها وخدمات الاعتماد جاهزة في الوقت المناسب.

ستنتهي صلاحية أكثر من 90٪ من شهادات AIMDD / MDD الصالحة حاليًا بحلول عام 2024 ، لذلك يلزم إعادة اعتماد عدد كبير من الأجهزة الحالية ، بالإضافة إلى الأجهزة الجديدة التي تدخل السوق. تشير التقديرات إلى أن 85٪ من المنتجات الموجودة حاليًا في السوق لا تزال بحاجة إلى شهادة جديدة بموجب MDR.IVDR. بالنظر إلى أن العملية تستغرق من 13 إلى 18 شهرًا ، تحتاج الشركات إلى بدء العملية الآن للوفاء بالموعد النهائي 2024.

تعليمات الإعداد للاستخدام

بشكل عام ، لا تختلف عمليات الأمن السيبراني عن الأداء العام للجهاز وعمليات السلامة. الهدف هو ضمان (من خلال التحقق والتحقق) وإثبات (من خلال التوثيق) أداء الجهاز ، والحد من المخاطر والتحكم فيها ، وتقليل المخاطر المتوقعة والآثار الجانبية غير المرغوب فيها من خلال إدارة المخاطر. تتطلب المنتجات المختلطة أو الأجهزة / الأنظمة المترابطة أيضًا إدارة المخاطر التي تنتج عن التفاعل بين البرامج وبيئة تكنولوجيا المعلومات.

مجموعة تنسيق الأجهزة الطبية MDCG-16 إرشادات حول الأمن السيبراني للأجهزة الطبية يشرح كيفية تفسير وتلبية متطلبات الأمن السيبراني بموجب MDR و IVDR. من المتوقع أن يأخذ المصنعون في الاعتبار مبادئ دورة حياة التطوير الآمنة ، وإدارة المخاطر الأمنية ، والتحقق والتحقق من الصحة. علاوة على ذلك ، يجب عليهم توفير الحد الأدنى من متطلبات تكنولوجيا المعلومات والتوقعات لعمليات الأمن السيبراني ، مثل التثبيت والصيانة في تعليمات استخدام أجهزتهم. "تعليمات الاستخدام" عبارة عن قسم مطلوب عالي التنظيم يجب على مصنعي طلبات الاعتماد تقديمه.

يجب أن تقلل تدابير الأمن السيبراني من أي مخاطر مرتبطة بتشغيل الأجهزة الطبية ، بما في ذلك مخاطر السلامة التي يسببها الأمن السيبراني ، لتوفير مستوى عالٍ من الحماية للصحة والسلامة. توضح اللجنة الكهرتقنية الدولية (IEC) ميزات الأمان عالية المستوى وأفضل الممارسات ومستويات الأمان في IEC / TIR 60601-4-5. تقرير فني آخر لـ IEC ، إيك شنومكس-شنومكس-شنومكس، يعدد إمكانات أمان التصميم والهندسة المعمارية المحددة ، مثل تسجيل الخروج التلقائي ، وضوابط التدقيق ، والنسخ الاحتياطي للبيانات واستعادة البيانات بعد الكوارث ، واكتشاف / حماية البرامج الضارة ، وتصلب النظام ونظام التشغيل.

لتلبية إرشادات ISO (إعتماد ISO-14971) ، تنصح جمعية النهوض بالأجهزة الطبية بتحقيق التوازن بين الامن والامان. مطلوب تحليل دقيق لمنع التدابير الأمنية من المساومة على تدابير السلامة والسلامة من أن تصبح خطرا على الأمن. يجب أن يكون الأمن بالحجم المناسب ويجب ألا يكون ضعيفًا جدًا ولا شديد التقييد.

تقاسم المسؤولية عن الأمن السيبراني

الأمن السيبراني هو مسؤولية مشتركة بين الشركة المصنعة للجهاز ومنظمة النشر (عادة العميل / المشغل). وبالتالي ، فإن الأدوار المحددة التي توفر وظائف الأمن السيبراني المهمة - مثل الدمج والمشغل والرعاية الصحية والمهنيين الطبيين والمرضى والمستهلكين - تتطلب تدريبًا وتوثيقًا دقيقًا.

يجب أن يوفر قسم "تعليمات الاستخدام" الخاص بتطبيق اعتماد الشركة المصنعة عمليات الأمن السيبراني بما في ذلك خيارات تكوين الأمان ، وتثبيت المنتج ، وإرشادات التكوين الأولية (على سبيل المثال ، تغيير كلمة المرور الافتراضية) ، وإرشادات نشر التحديثات الأمنية ، وإجراءات استخدام الجهاز الطبي في حالة الفشل الآمن. الوضع (على سبيل المثال ، الدخول / الخروج من وضع الأمان من الفشل ، وقيود الأداء في الوضع الآمن من الفشل ، ووظيفة استعادة البيانات عند استئناف التشغيل العادي) ، وخطط العمل للمستخدم في حالة ظهور رسالة تنبيه.

يجب أن يوفر هذا القسم أيضًا متطلبات المستخدم للتدريب وأن يعدد المهارات المطلوبة ، بما في ذلك مهارات تكنولوجيا المعلومات المطلوبة لتثبيت الجهاز الطبي وتكوينه وتشغيله. بالإضافة إلى ذلك ، يجب أن تحدد متطلبات بيئة التشغيل (الأجهزة ، وخصائص الشبكة ، وضوابط الأمان ، وما إلى ذلك) التي تغطي الافتراضات المتعلقة ببيئة الاستخدام ، ومخاطر تشغيل الجهاز خارج بيئة التشغيل المقصودة ، ومتطلبات النظام الأساسي الدنيا للجهاز الطبي المتصل ، وعناصر التحكم في أمان تكنولوجيا المعلومات الموصى بها ، وميزات النسخ الاحتياطي والاستعادة لكل من إعدادات البيانات والتكوين.

قد تتم مشاركة معلومات الأمان المحددة من خلال وثائق أخرى بخلاف إرشادات الاستخدام ، مثل الإرشادات الخاصة بالمسؤولين أو كتيبات عمليات الأمان. قد تتضمن هذه المعلومات قائمة بضوابط أمان تكنولوجيا المعلومات المضمنة في الجهاز الطبي ، وأحكام لضمان سلامة / التحقق من صحة تحديثات البرامج وتصحيحات الأمان ، والخصائص التقنية لمكونات الأجهزة ، و فاتورة المواد البرمجية، وأدوار المستخدم وامتيازات / أذونات الوصول المرتبطة بالجهاز ، ووظيفة التسجيل ، والمبادئ التوجيهية بشأن توصيات الأمان ، ومتطلبات دمج الجهاز الطبي في نظام المعلومات الصحية ، وقائمة بتدفقات بيانات الشبكة (أنواع البروتوكول ، وأصل / وجهة البيانات تيارات ، مخطط العنونة ، إلخ).

إذا لم تكن بيئة التشغيل محلية بشكل حصري ولكنها تتضمن موفري خدمات استضافة خارجيين ، فيجب أن توضح الوثائق بوضوح ماذا وأين (في ضوء قوانين مكان الإقامة) وكيف يتم تخزين البيانات ، بالإضافة إلى أي ضوابط أمنية لحماية البيانات الموجودة في البيئة السحابية (مثل التشفير). يحتاج قسم إرشادات الاستخدام في الوثائق إلى توفير متطلبات تكوين محددة لبيئة التشغيل ، مثل قواعد جدار الحماية (المنافذ والواجهات والبروتوكولات وأنظمة العنونة وما إلى ذلك).

قد تكون الضوابط الأمنية التي يتم تنفيذها أثناء أنشطة ما قبل التسويق غير كافية للحفاظ على مستوى مقبول من المخاطر والمزايا خلال العمر التشغيلي للجهاز. لذلك ، تتطلب اللوائح من الشركة المصنعة إنشاء برنامج مراقبة للأمن السيبراني لما بعد السوق لمراقبة تشغيل الجهاز في البيئة المقصودة ؛ لمشاركة ونشر معلومات الأمن السيبراني والمعرفة بنقاط الضعف والتهديدات للأمن السيبراني عبر قطاعات متعددة ؛ لإجراء معالجة الضعف ؛ والتخطيط للاستجابة للحوادث.

الشركة المصنعة مسؤولة أيضًا عن التحقيق والإبلاغ عن الحوادث الخطيرة واتخاذ الإجراءات التصحيحية للسلامة في الميدان. على وجه التحديد ، تخضع الحوادث التي لها أسباب جذرية متعلقة بالأمن السيبراني للإبلاغ عن الاتجاهات ، بما في ذلك أي زيادة ذات دلالة إحصائية في تواتر الحوادث أو شدتها.

التخطيط لجميع السيناريوهات

تتكامل الأجهزة الطبية اليوم بشكل كبير وتعمل في شبكة معقدة من الأجهزة والأنظمة ، قد لا يكون الكثير منها تحت سيطرة مشغل الجهاز. لذلك ، يجب على الشركات المصنعة توثيق الاستخدام المقصود للجهاز وبيئة التشغيل المقصودة ، بالإضافة إلى التخطيط لإساءة الاستخدام التي يمكن توقعها بشكل معقول ، مثل الهجوم الإلكتروني.

لا تختلف متطلبات إدارة مخاطر الأمن السيبراني قبل وبعد السوق والأنشطة الداعمة بالضرورة عن برامج السلامة التقليدية. ومع ذلك ، فإنها تضيف مستوى إضافيًا من التعقيد على النحو التالي:

  • مجموعة المخاطر التي يجب مراعاتها أكثر تعقيدًا (السلامة ، الخصوصية ، العمليات ، الأعمال). 
  • تتطلب مجموعة محددة من الأنشطة التي يجب إجراؤها على مدار دورة حياة تطوير الجهاز عبر إطار عمل تطوير المنتج الآمن (SPDF).

بدأت الجهات التنظيمية العالمية ، بما في ذلك MDR / IVDR ، في فرض مستوى أعلى من الأمان للأجهزة الطبية وتتطلب بشكل خاص أمانًا يمكن إثباته كجزء من دورة حياة الجهاز الأكبر. يجب أن تفي الأجهزة ، بناءً على نوع الجهاز وحالة الاستخدام ، بخط أساس الأمان ، ويجب على الشركات المصنعة الحفاظ على هذا الخط الأساسي على مدار عمر الجهاز بالكامل.

الطابع الزمني:

اكثر من قراءة مظلمة