В связи с растущим объемом атак на медицинские устройства регулирующие органы Европейского Союза выдвинули новый набор требований к выходу на рынок медицинских устройств и медицинских устройств для диагностики in vitro, чтобы снизить риск причинения вреда пациенту в результате киберинцидента, а также защищать национальные системы здравоохранения.
Регулирующие органы ЕС поднимают планку требований к кибербезопасности с помощью Регламент Европейского Союза по медицинскому оборудованию (МЛУ) и Регламент Европейского Союза по диагностике in vitro (IVDR), который вступил в силу 26 мая 2021 года. Эти правила предназначены для «создания надежной, прозрачной, предсказуемой и устойчивой нормативно-правовой базы… которая обеспечивает высокий уровень безопасности и здоровья при поддержке инноваций».
Организации должны до 26 мая 2024 года или до истечения срока действия цифровых сертификатов, используемых устройствами, внести необходимые изменения в свои системы менеджмента качества и техническую документацию для соответствия новым требованиям. Несмотря на количество предоставленных процессов оценки, стандартов и руководящих документов, производители медицинских устройств, поставщики и службы сертификации могут быть не готовы вовремя.
Срок действия более 90% действующих в настоящее время сертификатов AIMDD/MDD истечет к 2024 году, поэтому значительное количество существующих устройств необходимо будет повторно утвердить в дополнение к новым устройствам, выходящим на рынок. Подсчитано, что 85% продуктов, представленных на рынке сегодня по-прежнему требуется новая сертификация в соответствии с MDR.IVDR. Учитывая, что процесс занимает от 13 до 18 месяцев, компаниям необходимо начать процесс сейчас, чтобы уложиться в срок до 2024 года.
Инструкции по настройке для использования
В целом процессы кибербезопасности не сильно отличаются от общих процессов производительности и безопасности устройств. Цель состоит в том, чтобы гарантировать (путем проверки и проверки) и продемонстрировать (посредством документации) производительность устройства, снижение и контроль рисков, а также минимизацию предсказуемых рисков и нежелательных побочных эффектов посредством управления рисками. Комбинированные продукты или взаимосвязанные устройства/системы также требуют управления рисками, возникающими в результате взаимодействия между программным обеспечением и ИТ-средой.
Координационная группа по медицинскому оборудованию Руководство MDCG-16 по кибербезопасности медицинских устройств объясняет, как интерпретировать и выполнять требования кибербезопасности согласно MDR и IVDR. Ожидается, что производители будут учитывать принципы безопасного жизненного цикла разработки, управления рисками безопасности, а также проверки и проверки. Кроме того, они должны указать минимальные ИТ-требования и ожидания в отношении процессов кибербезопасности, таких как установка и обслуживание, в инструкциях по использованию своих устройств. «Инструкции по применению» — это строго структурированный обязательный раздел заявки на сертификацию, которую должны подать производители.
Меры кибербезопасности должны снижать любые риски, связанные с эксплуатацией медицинских устройств, включая риски безопасности, связанные с кибербезопасностью, чтобы обеспечить высокий уровень защиты здоровья и безопасности. Международная электротехническая комиссия (IEC) описывает высокоуровневые функции безопасности, передовой опыт и уровни безопасности в МЭК/МДП 60601-4-5. Еще один технический отчет IEC, IEC 80001-2-2, перечисляет определенные возможности безопасности дизайна и архитектуры, такие как автоматический выход из системы, элементы управления аудитом, резервное копирование данных и аварийное восстановление, обнаружение/защита от вредоносных программ, а также усиление защиты системы и ОС.
Чтобы соответствовать рекомендациям ISO (ISO 14971), Ассоциация развития медицинского оборудования советует соблюдать баланс между безопасностью и безопасностью. Требуется тщательный анализ, чтобы меры безопасности не ставили под угрозу безопасность, а меры безопасности не становились угрозой безопасности. Безопасность должна быть адекватной и не должна быть ни слишком слабой, ни слишком ограничительной.
Разделение ответственности за кибербезопасность
Кибербезопасность — это общая ответственность между производителем устройства и развертывающей организацией (обычно заказчиком/оператором). Таким образом, определенные роли, которые обеспечивают важные функции кибербезопасности, такие как интегратор, оператор, медицинские работники и медицинские работники, а также пациенты и потребители, требуют тщательного обучения и документации.
В разделе «Инструкции по использованию» заявки производителя на сертификацию должны быть описаны процессы кибербезопасности, включая параметры конфигурации безопасности, установку продукта, рекомендации по первоначальной настройке (например, изменение пароля по умолчанию), инструкции по развертыванию обновлений безопасности, процедуры использования медицинского устройства в отказоустойчивом режиме. режим (например, вход/выход из отказоустойчивого режима, ограничения производительности в отказоустойчивом режиме и функция восстановления данных при возобновлении нормальной работы), а также планы действий для пользователя в случае появления предупреждающего сообщения.
В этом разделе также должны быть указаны требования пользователей к обучению и перечислены необходимые навыки, включая навыки работы с ИТ, необходимые для установки, настройки и эксплуатации медицинского изделия. Кроме того, в нем должны быть указаны требования к операционной среде (аппаратное обеспечение, характеристики сети, меры безопасности и т. д.), которые охватывают предположения о среде использования, риски, связанные с работой устройства за пределами предполагаемой операционной среды, минимальные требования к платформе для подключенного медицинского устройства. , рекомендуемые элементы управления ИТ-безопасностью, а также функции резервного копирования и восстановления данных и параметров конфигурации.
Конкретная информация о безопасности может передаваться через документацию, отличную от инструкций по использованию, например, инструкции для администраторов или руководства по обеспечению безопасности. Такая информация может включать в себя список мер безопасности ИТ, включенных в медицинское устройство, положения, обеспечивающие целостность/проверку обновлений программного обеспечения и исправлений безопасности, технические характеристики аппаратных компонентов, спецификация программного обеспечения, роли пользователей и соответствующие привилегии/разрешения на доступ к устройству, функция ведения журнала, рекомендации по безопасности, требования для интеграции медицинского устройства в информационную систему здравоохранения, а также список сетевых потоков данных (типы протоколов, источник/назначение данных). потоки, схема адресации и др.).
Если операционная среда не является исключительно локальной, а включает внешних хостинг-провайдеров, в документации должно быть четко указано, что, где (с учетом законов о резидентности данных) и как данные хранятся, а также любые меры безопасности для защиты данных в облачная среда (например, шифрование). В разделе инструкций по использованию документации должны быть указаны конкретные требования к конфигурации операционной среды, такие как правила брандмауэра (порты, интерфейсы, протоколы, схемы адресации и т. д.).
Меры безопасности, реализованные во время предпродажной деятельности, могут быть недостаточными для поддержания приемлемого уровня пользы и риска в течение срока службы устройства. Таким образом, нормативные акты требуют, чтобы производитель установил программу наблюдения за кибербезопасностью после выхода на рынок, чтобы контролировать работу устройства в предполагаемой среде; обмениваться и распространять информацию о кибербезопасности и знания об уязвимостях и угрозах кибербезопасности в различных секторах; выполнять устранение уязвимостей; и план реагирования на инциденты.
Производитель также несет ответственность за расследование серьезных инцидентов и сообщение о них, а также за принятие корректирующих мер по обеспечению безопасности на местах. В частности, инциденты, коренные причины которых связаны с кибербезопасностью, подлежат отчету о тенденциях, включая любое статистически значимое увеличение частоты или серьезности инцидентов.
Планирование всех сценариев
Современные медицинские устройства высоко интегрированы и работают в сложной сети устройств и систем, многие из которых могут не находиться под контролем оператора устройства. Поэтому производители должны тщательно документировать предполагаемое использование устройства и предполагаемую рабочую среду, а также планировать разумно предсказуемое неправомерное использование, такое как кибератака.
Требования к управлению рисками в кибербезопасности до и после выхода на рынок и сопутствующие мероприятия не обязательно отличаются от традиционных программ безопасности. Однако они добавляют дополнительный уровень сложности, например:
- Диапазон рисков, которые следует учитывать, более сложен (безопасность, конфиденциальность, операции, бизнес).
- Они требуют определенного набора действий, которые должны выполняться на протяжении всего жизненного цикла разработки устройства с помощью платформы разработки безопасных продуктов (SPDF).
Глобальные регулирующие органы, в том числе MDR/IVDR, начинают обеспечивать более высокий уровень безопасности для медицинских устройств и, в частности, требуют доказуемой безопасности в рамках более широкого жизненного цикла устройства. Устройства должны соответствовать, в зависимости от типа устройства и варианта использования, базовому уровню безопасности, и производители должны поддерживать этот базовый уровень в течение всего срока службы устройства.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
