Zaradi naraščajočega obsega napadov na medicinske pripomočke so regulatorji Evropske unije predstavili nov sklop zahtev za vstop na trg za medicinske pripomočke in in vitro diagnostične medicinske pripomočke, da bi zmanjšali tveganje poškodb pacientov zaradi kibernetskega incidenta in zaščititi nacionalne zdravstvene sisteme.
Regulatorji EU dvigujejo zahteve glede kibernetske varnosti z Uredba Evropske unije o medicinskih pripomočkih (MDR) in Uredba Evropske unije o in vitro diagnostiki (IVDR), ki je začel veljati 26. maja 2021. Predpisi so namenjeni "vzpostavitvi robustnega, preglednega, predvidljivega in trajnostnega regulativnega okvira … ki zagotavlja visoko raven varnosti in zdravja ter hkrati podpira inovacije."
Organizacije morajo do 26. maja 2024 ali do poteka veljavnosti digitalnih potrdil, ki jih uporabljajo naprave, narediti potrebne spremembe v svojih sistemih vodenja kakovosti in tehnični dokumentaciji, da bodo v skladu z novimi zahtevami. Kljub številu ocenjevalnih procesov ter standardov in dokumentov s smernicami, ki so bili zagotovljeni, proizvajalci medicinskih pripomočkov, ponudniki in službe za certificiranje morda ne bodo pravočasno pripravljeni.
Več kot 90 % trenutno veljavnih certifikatov AIMDD/MDD bo poteklo do leta 2024, zato je treba poleg novih naprav, ki prihajajo na trg, ponovno odobriti veliko število obstoječih naprav. Ocenjuje se, da je 85% izdelkov, ki so trenutno na trgu še vedno potrebujejo novo potrdilo v skladu z MDR.IVDR. Glede na to, da postopek traja od 13 do 18 mesecev, morajo podjetja s postopkom začeti zdaj, da bi dosegla rok 2024.
Nastavitev Navodila za uporabo
Na splošno se procesi kibernetske varnosti ne razlikujejo zelo od splošnega delovanja in varnostnih procesov naprav. Cilj je zagotoviti (s preverjanjem in validacijo) in dokazati (z dokumentacijo) delovanje naprave, zmanjšanje tveganja in nadzor ter zmanjšanje predvidljivih tveganj in neželenih stranskih učinkov z obvladovanjem tveganja. Kombinirani izdelki ali medsebojno povezane naprave/sistemi zahtevajo tudi obvladovanje tveganj, ki izhajajo iz interakcije med programsko opremo in okoljem IT.
Skupina za usklajevanje medicinskih pripomočkov MDCG-16 Smernice o kibernetski varnosti za medicinske pripomočke pojasnjuje, kako razlagati in izpolnjevati zahteve kibernetske varnosti v okviru MDR in IVDR. Od proizvajalcev se pričakuje, da bodo upoštevali načela življenjskega cikla varnega razvoja, obvladovanja varnostnih tveganj ter preverjanja in validacije. Poleg tega morajo v navodilih za uporabo svojih naprav zagotoviti minimalne IT zahteve in pričakovanja za postopke kibernetske varnosti, kot sta namestitev in vzdrževanje. »Navodila za uporabo« so visoko strukturiran zahtevani del vloge za pridobitev certifikata, ki jo morajo vložiti proizvajalci.
Ukrepi kibernetske varnosti morajo zmanjšati vsa tveganja, povezana z delovanjem medicinskih pripomočkov, vključno z varnostnimi tveganji, ki jih povzroča kibernetska varnost, da se zagotovi visoka raven zaščite zdravja in varnosti. Mednarodna komisija za elektrotehniko (IEC) določa varnostne funkcije na visoki ravni, najboljše prakse in ravni varnosti v IEC/TIR 60601-4-5. Drugo tehnično poročilo IEC, IEC 80001-2-2, našteva posebne varnostne zmogljivosti zasnove in arhitekture, kot so samodejna odjava, revizijske kontrole, varnostno kopiranje podatkov in obnovitev po katastrofi, odkrivanje/zaščita zlonamerne programske opreme ter utrjevanje sistema in OS.
Za izpolnjevanje smernic ISO (ISO 14971), Združenje za napredek medicinske instrumentacije svetuje iskanje ravnovesja med varnostjo in zaščito. Potrebna je skrbna analiza, da preprečimo, da bi varnostni ukrepi ogrozili varnost in da varnostni ukrepi ne bi postali varnostno tveganje. Varnost mora biti prave velikosti in ne sme biti niti prešibka niti preveč omejujoča.
Delitev odgovornosti za kibernetsko varnost
Kibernetska varnost je odgovornost, ki si jo delita proizvajalec naprave in organizacija, ki izvaja uvajanje (običajno stranka/operater). Zato posebne vloge, ki zagotavljajo pomembne funkcije kibernetske varnosti – kot so integrator, operater, zdravstveni in zdravstveni delavci ter bolniki in potrošniki – zahtevajo natančno usposabljanje in dokumentacijo.
Razdelek »navodila za uporabo« proizvajalčeve certifikacijske aplikacije bi moral zagotavljati postopke kibernetske varnosti, vključno z možnostmi varnostne konfiguracije, namestitvijo izdelka, smernicami za začetno konfiguracijo (npr. sprememba privzetega gesla), navodili za uvajanje varnostnih posodobitev, postopki za uporabo medicinskega pripomočka v varnem okolju. način (npr. vstop/izstop iz varnega načina, omejitve zmogljivosti v varnem načinu in funkcija za obnovitev podatkov ob nadaljevanju običajnega delovanja) in akcijske načrte za uporabnika v primeru opozorilnega sporočila.
Ta razdelek bi moral zagotoviti tudi uporabniške zahteve za usposabljanje in našteti zahtevana znanja, vključno z znanji IT, potrebnimi za namestitev, konfiguracijo in delovanje medicinskega pripomočka. Poleg tega mora določiti zahteve za delovno okolje (strojna oprema, značilnosti omrežja, varnostni nadzor itd.), ki zajemajo predpostavke o okolju uporabe, tveganja za delovanje naprave zunaj predvidenega delovnega okolja, minimalne zahteve platforme za povezane medicinske pripomočke. , priporočene varnostne kontrole IT ter funkcije za varnostno kopiranje in obnovitev podatkov in konfiguracijskih nastavitev.
Posebne varnostne informacije se lahko delijo prek dokumentacije, ki ni navodila za uporabo, kot so navodila za skrbnike ali priročniki za varnostne operacije. Take informacije lahko vključujejo seznam varnostnih kontrol IT, vključenih v medicinski pripomoček, določbe za zagotavljanje celovitosti/validacije posodobitev programske opreme in varnostnih popravkov, tehnične lastnosti komponent strojne opreme, programsko gradivo, uporabniške vloge in povezane privilegije/dovoljenja za dostop do naprave, funkcija beleženja, smernice glede varnostnih priporočil, zahteve za integracijo medicinskega pripomočka v zdravstveni informacijski sistem in seznam omrežnih podatkovnih tokov (vrste protokola, izvor/cilj podatkov tokovi, shema naslavljanja itd.).
Če operacijsko okolje ni izključno lokalno, ampak vključuje zunanje ponudnike gostovanja, mora dokumentacija jasno navajati, kaj, kje (ob upoštevanju zakonov o rezidenčnosti podatkov) in kako so podatki shranjeni, kot tudi morebitne varnostne kontrole za zaščito podatkov v okolje v oblaku (npr. šifriranje). Razdelek z navodili za uporabo v dokumentaciji mora zagotoviti posebne konfiguracijske zahteve za operacijsko okolje, kot so pravila požarnega zidu (vrata, vmesniki, protokoli, sheme naslavljanja itd.).
Varnostne kontrole, ki se izvajajo med dejavnostmi pred trženjem, so morda neustrezne za vzdrževanje sprejemljive ravni koristi in tveganja med življenjsko dobo naprave. Zato predpisi zahtevajo, da proizvajalec vzpostavi program nadzora kibernetske varnosti po dajanju na trg za spremljanje delovanja naprave v predvidenem okolju; deliti in razširjati informacije o kibernetski varnosti in znanje o ranljivostih in grožnjah kibernetske varnosti v več sektorjih; izvesti sanacijo ranljivosti; in načrtovati odziv na incident.
Proizvajalec je nadalje odgovoren za preiskavo in poročanje o resnih incidentih ter izvajanje varnostnih korektivnih ukrepov. Natančneje, incidenti, katerih glavni vzroki so povezani s kibernetsko varnostjo, so predmet poročanja o trendih, vključno z morebitnim statistično pomembnim povečanjem pogostosti ali resnosti incidentov.
Načrtovanje za vse scenarije
Današnji medicinski pripomočki so visoko integrirani in delujejo v kompleksnem omrežju naprav in sistemov, od katerih mnogi morda niso pod nadzorom operaterja pripomočka. Zato morajo proizvajalci skrbno dokumentirati predvideno uporabo naprave in predvideno delovno okolje ter načrtovati razumno predvidljivo zlorabo, kot je kibernetski napad.
Zahteve in podporne dejavnosti za kibernetsko varnost pred in po dajanju na trg se ne razlikujejo nujno od tradicionalnih varnostnih programov. Vendar dodajajo dodatno raven zapletenosti, saj:
- Razpon tveganj, ki jih je treba upoštevati, je bolj zapleten (varnost, zasebnost, poslovanje, poslovanje).
- Zahtevajo določen nabor dejavnosti, ki jih je treba izvajati v življenjskem ciklu razvoja naprave prek varnega ogrodja za razvoj izdelkov (SPDF).
Globalni regulatorji, vključno z MDR/IVDR, začenjajo uveljavljati višjo raven varnosti za medicinske pripomočke in zlasti zahtevajo dokazljivo varnost kot del širšega življenjskega cikla naprave. Naprave morajo glede na vrsto naprave in primer uporabe izpolnjevati varnostno osnovno raven, proizvajalci pa morajo to osnovno raven vzdrževati skozi celotno življenjsko dobo naprave.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
