A causa del crescente volume di attacchi contro i dispositivi medici, le autorità di regolamentazione dell’Unione Europea hanno proposto una nuova serie di requisiti di ingresso sul mercato per i dispositivi medici e i dispositivi medico-diagnostici in vitro per ridurre il rischio di danni ai pazienti a seguito di un incidente informatico, nonché proteggere i sistemi sanitari nazionali.
Le autorità di regolamentazione dell'UE stanno alzando il livello dei requisiti di sicurezza informatica con il Regolamento sui dispositivi medici dell'Unione Europea (MDR) e il Regolamento diagnostico in vitro dell'Unione Europea (IVDR), entrato in vigore il 26 maggio 2021. I regolamenti mirano a "stabilire un quadro normativo solido, trasparente, prevedibile e sostenibile ... che garantisca un elevato livello di sicurezza e salute sostenendo al contempo l'innovazione".
Le organizzazioni hanno tempo fino al 26 maggio 2024, o alla scadenza dei certificati digitali utilizzati dai dispositivi, per apportare le modifiche necessarie ai propri sistemi di gestione della qualità e alla documentazione tecnica per conformarsi ai nuovi requisiti. Nonostante il numero di processi di valutazione, standard e documenti guida forniti, i produttori, i fornitori e i servizi di certificazione di dispositivi medici potrebbero non essere pronti in tempo.
Più del 90% dei certificati AIMDD/MDD attualmente validi scadrà entro il 2024, quindi un numero significativo di dispositivi esistenti deve essere riapprovato, oltre ai nuovi dispositivi che entrano nel mercato. Si stima che l'85% dei prodotti attualmente in commercio oggi richiedono ancora una nuova certificazione in base a MDR.IVDR. Considerando che il processo richiede dai 13 ai 18 mesi, le aziende devono iniziare il processo ora per rispettare la scadenza del 2024.
Impostazione Istruzioni per l'uso
In generale, i processi di sicurezza informatica non sono molto diversi dalle prestazioni generali dei dispositivi e dai processi di sicurezza. L'obiettivo è assicurare (attraverso la verifica e la convalida) e dimostrare (attraverso la documentazione) le prestazioni del dispositivo, la riduzione e il controllo del rischio e la minimizzazione dei rischi prevedibili e degli effetti collaterali indesiderati attraverso la gestione del rischio. I prodotti combinati o i dispositivi/sistemi interconnessi richiedono anche la gestione dei rischi derivanti dall'interazione tra il software e l'ambiente IT.
Il Gruppo di Coordinamento Dispositivi Medici MDCG-16 Guida alla sicurezza informatica per i dispositivi medici spiega come interpretare e soddisfare i requisiti di sicurezza informatica nell'ambito di MDR e IVDR. I produttori sono tenuti a tenere conto dei principi del ciclo di vita di sviluppo sicuro, della gestione dei rischi per la sicurezza, della verifica e della convalida. Inoltre, dovrebbero fornire i requisiti IT minimi e le aspettative per i processi di sicurezza informatica, come l'installazione e la manutenzione nelle istruzioni per l'uso del proprio dispositivo. "Istruzioni per l'uso" è una sezione richiesta altamente strutturata della domanda di certificazione che i produttori devono presentare.
Le misure di sicurezza informatica devono ridurre tutti i rischi associati al funzionamento dei dispositivi medici, compresi i rischi per la sicurezza indotti dalla sicurezza informatica, per fornire un livello elevato di protezione della salute e della sicurezza. La Commissione elettrotecnica internazionale (IEC) esplicita funzionalità di sicurezza di alto livello, migliori pratiche e livelli di sicurezza CEI/TIR 60601-4-5. Un altro rapporto tecnico IEC, IEC 80001-2-2, enumera le funzionalità di sicurezza di progettazione e architettura specifiche, come la disconnessione automatica, i controlli di audit, il backup dei dati e il ripristino di emergenza, il rilevamento/protezione da malware e il rafforzamento del sistema e del sistema operativo.
Per soddisfare le linee guida ISO (ISO 14971), l'Association for the Advancement of Medical Instrumentation consiglia di trovare un equilibrio tra sicurezza e protezione. È necessaria un'analisi attenta per evitare che le misure di sicurezza compromettano la sicurezza e le misure di sicurezza diventino un rischio per la sicurezza. La sicurezza deve essere di dimensioni adeguate e non dovrebbe essere né troppo debole né troppo restrittiva.
Condivisione della responsabilità per la sicurezza informatica
La sicurezza informatica è una responsabilità condivisa tra il produttore del dispositivo e l'organizzazione di distribuzione (in genere il cliente/operatore). Pertanto, ruoli specifici che forniscono importanti funzioni di sicurezza informatica, come integratore, operatore, operatori sanitari e medici, pazienti e consumatori, richiedono un'attenta formazione e documentazione.
La sezione "istruzioni per l'uso" della domanda di certificazione del produttore dovrebbe fornire i processi di sicurezza informatica, comprese le opzioni di configurazione della sicurezza, l'installazione del prodotto, le linee guida per la configurazione iniziale (ad es. modifica della password predefinita), le istruzioni per l'implementazione degli aggiornamenti di sicurezza, le procedure per l'utilizzo del dispositivo medico in modalità failsafe modalità (ad es. entrata/uscita dalla modalità fail-safe, limitazioni delle prestazioni in modalità fail-safe e funzione di ripristino dei dati al ripristino del normale funzionamento) e piani d'azione per l'utente in caso di messaggio di avviso.
Tale sezione dovrebbe inoltre fornire i requisiti dell'utente per la formazione ed enumerare le competenze richieste, comprese le competenze informatiche richieste per l'installazione, la configurazione e il funzionamento del dispositivo medico. Inoltre, dovrebbe specificare i requisiti per l'ambiente operativo (hardware, caratteristiche della rete, controlli di sicurezza, ecc.) che coprono le ipotesi sull'ambiente di utilizzo, i rischi per il funzionamento del dispositivo al di fuori dell'ambiente operativo previsto, i requisiti minimi della piattaforma per il dispositivo medico connesso , controlli di sicurezza IT consigliati e funzionalità di backup e ripristino sia per i dati che per le impostazioni di configurazione.
Specifiche informazioni sulla sicurezza possono essere condivise tramite documentazione diversa dalle istruzioni per l'uso, come le istruzioni per gli amministratori o i manuali operativi per la sicurezza. Tali informazioni possono includere un elenco di controlli di sicurezza informatica inclusi nel dispositivo medico, disposizioni per garantire l'integrità/convalida degli aggiornamenti software e delle patch di sicurezza, le proprietà tecniche dei componenti hardware, il distinta materiali del software, ruoli utente e privilegi/autorizzazioni di accesso associati al dispositivo, funzione di registrazione, linee guida sulle raccomandazioni di sicurezza, requisiti per l'integrazione del dispositivo medico in un sistema informativo sanitario e un elenco dei flussi di dati di rete (tipi di protocollo, origine/destinazione dei dati flussi, schema di indirizzamento, ecc.).
Se l'ambiente operativo non è esclusivamente locale ma coinvolge provider di hosting esterni, la documentazione deve indicare chiaramente cosa, dove (in considerazione delle leggi sulla residenza dei dati) e come vengono archiviati i dati, nonché eventuali controlli di sicurezza per salvaguardare i dati nel ambiente cloud (ad es. crittografia). La sezione delle istruzioni per l'uso della documentazione deve fornire requisiti di configurazione specifici per l'ambiente operativo, come le regole del firewall (porte, interfacce, protocolli, schemi di indirizzamento, ecc.).
I controlli di sicurezza implementati durante le attività di pre-commercializzazione possono essere inadeguati per mantenere un livello accettabile di rischio-beneficio durante la vita operativa del dispositivo. Pertanto, le normative richiedono al produttore di stabilire un programma di sorveglianza della sicurezza informatica post-commercializzazione per monitorare il funzionamento del dispositivo nell'ambiente previsto; condividere e diffondere le informazioni sulla sicurezza informatica e la conoscenza delle vulnerabilità e delle minacce alla sicurezza informatica in più settori; per eseguire la correzione della vulnerabilità; e per pianificare la risposta agli incidenti.
Il produttore è inoltre responsabile di indagare e segnalare incidenti gravi e di intraprendere azioni correttive di sicurezza. Nello specifico, gli incidenti che hanno cause profonde legate alla sicurezza informatica sono soggetti a reporting sulle tendenze, incluso qualsiasi aumento statisticamente significativo della frequenza o della gravità degli incidenti.
Pianificazione per tutti gli scenari
I dispositivi medici odierni sono altamente integrati e operano in una complessa rete di dispositivi e sistemi, molti dei quali potrebbero non essere sotto il controllo dell'operatore del dispositivo. Pertanto, i produttori dovrebbero documentare attentamente l'uso previsto del dispositivo e l'ambiente operativo previsto, nonché pianificare un uso improprio ragionevolmente prevedibile, come un attacco informatico.
I requisiti di gestione del rischio pre e post-mercato e le attività di supporto della sicurezza informatica non sono necessariamente diversi dai tradizionali programmi di sicurezza. Tuttavia, aggiungono un ulteriore livello di complessità in quanto:
- La gamma di rischi da considerare è più complessa (sicurezza, privacy, operazioni, affari).
- Richiedono una serie specifica di attività che devono essere condotte lungo il ciclo di vita dello sviluppo del dispositivo tramite un Secure Product Development Framework (SPDF).
Le autorità di regolamentazione globali, tra cui MDR/IVDR, stanno iniziando a imporre un livello di sicurezza più elevato per i dispositivi medici e richiedono specificamente una sicurezza dimostrabile come parte del ciclo di vita del dispositivo più ampio. I dispositivi devono soddisfare, in base al tipo di dispositivo e al caso d'uso, una linea di base di sicurezza e i produttori devono mantenere tale linea di base per l'intera vita del dispositivo.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
