Lääkinnällisiin laitteisiin kohdistuvien hyökkäysten lisääntymisen vuoksi Euroopan unionin sääntelyviranomaiset ovat esittäneet uusia markkinoille pääsyä koskevia vaatimuksia lääkinnällisille laitteille ja in vitro -diagnostiikkaan tarkoitetuille lääkinnällisille laitteille vähentääkseen potilasvahinkojen riskiä kybervälikohtauksen seurauksena. suojella kansallisia terveydenhuoltojärjestelmiä.
EU:n sääntelyviranomaiset nostavat kyberturvallisuusvaatimusten rimaa Euroopan unionin lääkinnällisten laitteiden asetus (MDR) ja Euroopan unionin in vitro -diagnostiikkaasetus (IVDR), joka tuli voimaan 26. toukokuuta 2021. Säännösten tarkoituksena on "luoda vankka, läpinäkyvä, ennustettava ja kestävä sääntelykehys … joka takaa korkean turvallisuuden ja terveyden tason samalla kun tukee innovaatiota."
Organisaatioilla on 26 asti tai laitteiden käyttämien digitaalisten varmenteiden vanhentuessa tehdä tarvittavat muutokset laadunhallintajärjestelmiinsä ja tekniseen dokumentaatioonsa uusien vaatimusten mukaisiksi. Huolimatta lukuisista arviointiprosesseista ja standardeista ja ohjeasiakirjoista lääkinnällisten laitteiden valmistajat, toimittajat ja sertifiointipalvelut eivät välttämättä ole valmiita ajoissa.
Yli 90 % tällä hetkellä voimassa olevista AIMDD/MDD-varmenteista vanhenee vuoteen 2024 mennessä, joten huomattava osa olemassa olevista laitteista on hyväksyttävä uudelleen markkinoille tulevien uusien laitteiden lisäksi. On arvioitu, että 85 % tällä hetkellä markkinoilla olevista tuotteista vaativat edelleen uuden MDR.IVDR-sertifikaatin. Ottaen huomioon, että prosessi kestää 13–18 kuukautta, yritysten on aloitettava prosessi nyt, jotta ne saavuttavat vuoden 2024 määräajan.
Asetusohjeet Käyttöohjeet
Yleisesti ottaen kyberturvallisuusprosessit eivät eroa laitteiden yleisistä suorituskyky- ja turvallisuusprosesseista. Tavoitteena on varmistaa (todentamisen ja validoinnin avulla) ja osoittaa (dokumentaation avulla) laitteen suorituskyky, riskien vähentäminen ja hallinta sekä ennakoitavien riskien ja ei-toivottujen sivuvaikutusten minimointi riskienhallinnan avulla. Yhdistelmät tuotteet tai toisiinsa yhdistetyt laitteet/järjestelmät edellyttävät myös ohjelmistojen ja IT-ympäristön välisestä vuorovaikutuksesta aiheutuvien riskien hallintaa.
Lääketieteellisten laitteiden koordinointiryhmä MDCG-16: Ohjeet lääkinnällisten laitteiden kyberturvallisuudesta selittää, kuinka MDR:n ja IVDR:n kyberturvallisuusvaatimukset tulkitaan ja täytetään. Valmistajien odotetaan ottavan huomioon turvallisen kehityksen elinkaaren, turvallisuusriskien hallinnan sekä todentamisen ja validoinnin periaatteet. Lisäksi heidän tulee antaa laitteensa käyttöohjeissa tietoteknisiä vähimmäisvaatimuksia ja -odotuksia kyberturvallisuusprosesseille, kuten asennukselle ja ylläpidolle. "Käyttöohjeet" on erittäin jäsennelty vaadittu osa sertifiointihakemuksesta, joka valmistajien on jätettävä.
Kyberturvallisuustoimenpiteiden on vähennettävä kaikkia lääkinnällisten laitteiden käyttöön liittyviä riskejä, mukaan lukien kyberturvallisuuden aiheuttamat turvallisuusriskit, jotta voidaan tarjota korkeatasoinen terveyden ja turvallisuuden suoja. Kansainvälinen sähkötekninen komissio (IEC) määrittelee korkean tason turvaominaisuudet, parhaat käytännöt ja turvallisuustasot IEC/TIR 60601-4-5. Toinen IEC:n tekninen raportti, IEC 80001-2-2, luettelee erityisiä suunnittelun ja arkkitehtuurin suojausominaisuuksia, kuten automaattisen uloskirjautumisen, tarkastuksen hallinnan, tietojen varmuuskopioinnin ja palautuksen, haittaohjelmien havaitsemisen/suojauksen sekä järjestelmän ja käyttöjärjestelmän vahvistamisen.
ISO-ohjeiden noudattamiseksi (ISO 14971), Lääketieteellisten instrumenttien kehittämisyhdistys neuvoo löytämään tasapainon turvallisuuden ja turvallisuuden välillä. Huolellinen analyysi on tarpeen, jotta turvatoimenpiteet eivät vaarantaisi turvallisuutta ja turvatoimenpiteistä muodostuisi turvallisuusriski. Turvallisuuden on oltava oikean kokoinen, eikä se saa olla liian heikko eikä liian rajoittava.
Jakanut vastuun kyberturvallisuudesta
Kyberturvallisuus on vastuu jaettu laitteen valmistajan ja käyttöönottoorganisaation (yleensä asiakas/operaattori) kesken. Siksi tietyt roolit, jotka tarjoavat tärkeitä kyberturvallisuustoimintoja – kuten integraattori, operaattori, terveydenhuollon ja lääketieteen ammattilaiset sekä potilaat ja kuluttajat – vaativat huolellista koulutusta ja dokumentointia.
Valmistajan sertifiointisovelluksen "käyttöohjeet"-osiossa tulisi olla kyberturvallisuusprosessit, mukaan lukien suojausasetukset, tuotteen asennus, alustavat konfigurointiohjeet (esim. oletussalasanan vaihto), ohjeet tietoturvapäivitysten käyttöönottoa varten, menettelyt lääketieteellisen laitteen käyttämiseksi vikaturvallisessa tilassa. tila (esim. vikasietotilaan siirtyminen/poistuminen, suorituskykyrajoitukset vikasietotilassa ja tietojen palautustoiminto normaaliin toimintaan palatessa) ja toimintasuunnitelmat käyttäjälle hälytysviestin varalta.
Tässä osiossa olisi myös esitettävä käyttäjien koulutusvaatimukset ja lueteltava vaadittavat taidot, mukaan lukien lääkinnällisen laitteen asennukseen, konfigurointiin ja käyttöön tarvittavat IT-taidot. Lisäksi siinä olisi määriteltävä käyttöympäristöä koskevat vaatimukset (laitteistot, verkon ominaisuudet, suojaustoimenpiteet jne.), jotka kattavat käyttöympäristöä koskevat oletukset, riskit laitteen toiminnasta aiotun käyttöympäristön ulkopuolella, liitetyn lääkinnällisen laitteen alustan vähimmäisvaatimukset. , suositellut IT-suojaustoiminnot ja varmuuskopiointi- ja palautusominaisuudet sekä tieto- että kokoonpanoasetuksissa.
Tiettyjä suojaustietoja voidaan jakaa muiden asiakirjojen kuin käyttöohjeiden, kuten ohjeiden järjestelmänvalvojille tai turvallisuuskäyttöoppaiden kautta. Tällaisia tietoja voivat olla luettelo lääkinnälliseen laitteeseen sisältyvistä tietoturvatarkistuksista, säännökset ohjelmistopäivitysten ja tietoturvakorjausten eheyden/validoinnin varmistamiseksi, laitteistokomponenttien tekniset ominaisuudet, ohjelmistomateriaali, käyttäjän roolit ja niihin liittyvät laitteen käyttöoikeudet, lokitoiminto, turvallisuussuosituksia koskevat ohjeet, vaatimukset lääketieteellisen laitteen integroimiseksi terveystietojärjestelmään ja luettelo verkon tietovirroista (protokollatyypit, tietojen alkuperä/kohde) virrat, osoitejärjestelmä jne.).
Jos toimintaympäristö ei ole yksinomaan paikallinen, vaan siihen liittyy ulkoisia isännöintipalveluntarjoajia, dokumentaatiosta tulee selkeästi mainita mitä, missä (data-asuntolainsäädäntöä huomioiden) ja miten tietoja säilytetään, sekä mahdolliset tietoturvatoimenpiteet tietoturvan suojaamiseksi. pilviympäristö (esim. salaus). Dokumentaation käyttöohjeissa on esitettävä käyttöympäristöä koskevat erityiset konfigurointivaatimukset, kuten palomuurin säännöt (portit, liitännät, protokollat, osoitemallit jne.).
Markkinointia edeltävien toimintojen aikana toteutetut turvatarkastukset voivat olla riittämättömiä ylläpitämään hyväksyttävää hyöty-riskitasoa laitteen käyttöiän aikana. Siksi määräykset edellyttävät valmistajaa perustamaan markkinoille saattamisen jälkeisen kyberturvallisuusvalvontaohjelman laitteen toiminnan seuraamiseksi aiotussa ympäristössä; jakaa ja levittää kyberturvallisuutta koskevia tietoja ja tietoa kyberturvallisuuden haavoittuvuuksista ja uhista useilla aloilla; suorittaa haavoittuvuuden korjaamista; ja suunnittelemaan reagointia tapahtumiin.
Valmistaja on lisäksi vastuussa vakavien vaaratilanteiden tutkimisesta ja raportoinnista sekä turvallisuutta korjaavista toimenpiteistä. Erityisesti tapauksista, joilla on kyberturvallisuuteen liittyviä perimmäisiä syitä, on raportoitava trendi, mukaan lukien tilastollisesti merkittävä tapausten tiheyden tai vakavuuden lisääntyminen.
Suunnittelu kaikille skenaarioille
Nykypäivän lääketieteelliset laitteet ovat pitkälle integroituja ja toimivat monimutkaisessa laitteiden ja järjestelmien verkostossa, joista monet eivät välttämättä ole laitteen käyttäjän hallinnassa. Siksi valmistajien tulee dokumentoida huolellisesti laitteen käyttötarkoitus ja käyttöympäristö sekä suunnitella kohtuudella ennakoitavissa oleva väärinkäyttö, kuten kyberhyökkäys.
Kyberturvallisuuden markkinoille saattamista edeltävät ja jälkeiset riskienhallintavaatimukset ja tukitoiminnot eivät välttämättä eroa perinteisistä turvallisuusohjelmista. Ne kuitenkin lisäävät monimutkaisuutta, kuten:
- Huomioon otettavat riskit ovat monimutkaisempia (turvallisuus, yksityisyys, toiminta, liiketoiminta).
- Ne edellyttävät tiettyjä toimintoja, jotka on suoritettava laitteen kehityksen elinkaaren aikana Secure Product Development Frameworkin (SPDF) kautta.
Maailmanlaajuiset sääntelyviranomaiset, mukaan lukien MDR/IVDR, ovat alkaneet valvoa korkeampaa suojaustasoa lääkinnällisille laitteille ja vaativat erityisesti todistettavaa turvallisuutta osana laitteen laajempaa elinkaarta. Laitteiden tulee täyttää laitetyypin ja käyttötapauksen mukaan suojausperustaso, ja valmistajien on ylläpidettävä kyseinen perustaso laitteen koko käyttöiän ajan.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
