У зв’язку зі збільшенням кількості атак на медичні пристрої регуляторні органи Європейського Союзу висувають новий набір вимог до виходу на ринок медичних пристроїв і медичних пристроїв для діагностики in vitro, щоб зменшити ризик заподіяння шкоди пацієнтам у результаті кіберінциденту, а також захистити національні системи охорони здоров'я.
Регулятори ЄС підвищують планку щодо вимог до кібербезпеки Регламент Європейського Союзу про медичні пристрої (MDR) і Регламент Європейського Союзу про діагностику in vitro (IVDR), який набув чинності 26 травня 2021 року. Положення спрямовані на «встановлення надійної, прозорої, передбачуваної та сталої нормативної бази… яка забезпечує високий рівень безпеки та здоров’я, одночасно підтримуючи інновації».
Організації мають до 26 травня 2024 року або до закінчення терміну дії цифрових сертифікатів, які використовуються пристроями, внести необхідні зміни до своїх систем управління якістю та технічної документації для відповідності новим вимогам. Незважаючи на кількість процесів оцінювання, стандартів і керівних документів, які були надані, виробники медичних пристроїв, постачальники та служби сертифікації можуть бути не готові вчасно.
Понад 90% чинних сертифікатів AIMDD/MDD закінчуються до 2024 року, тому значна кількість існуючих пристроїв потребує повторного схвалення на додаток до нових пристроїв, які виходять на ринок. За оцінками, 85% продуктів, які зараз представлені на ринку, сьогодні все ще потрібна нова сертифікація відповідно до MDR.IVDR. Враховуючи, що процес займає від 13 до 18 місяців, компаніям потрібно розпочати процес зараз, щоб вкластися в кінцевий термін 2024 року.
Налаштування Інструкції з використання
Загалом процеси кібербезпеки не дуже відрізняються від загальних процесів продуктивності та безпеки пристроїв. Мета полягає в тому, щоб забезпечити (шляхом перевірки та валідації) і продемонструвати (через документацію) продуктивність пристрою, зниження та контроль ризиків, а також мінімізацію передбачуваних ризиків і небажаних побічних ефектів шляхом управління ризиками. Комбіновані продукти або взаємопов’язані пристрої/системи також потребують управління ризиками, які є результатом взаємодії між програмним забезпеченням та ІТ-середовищем.
Координаційна група медичного обладнання MDCG-16 Керівництво з кібербезпеки для медичних пристроїв пояснює, як інтерпретувати та виконувати вимоги кібербезпеки відповідно до MDR та IVDR. Очікується, що виробники будуть враховувати принципи безпечного життєвого циклу розробки, управління ризиками безпеки, а також верифікації та перевірки. Крім того, вони повинні надати мінімальні ІТ-вимоги та очікування щодо процесів кібербезпеки, таких як інсталяція та технічне обслуговування, в інструкції з використання свого пристрою. «Інструкції з використання» — це чітко структурований обов’язковий розділ заявки на сертифікацію, яку мають подати виробники.
Заходи кібербезпеки повинні зменшувати будь-які ризики, пов’язані з роботою медичних пристроїв, у тому числі ризики безпеки, спричинені кібербезпекою, щоб забезпечити високий рівень захисту здоров’я та безпеки. Міжнародна електротехнічна комісія (IEC) визначає функції безпеки високого рівня, передові практики та рівні безпеки в IEC/TIR 60601-4-5. Інший технічний звіт IEC, IEC 80001-2-2, перелічує конкретні можливості безпеки дизайну та архітектури, такі як автоматичний вихід із системи, контроль аудиту, резервне копіювання даних і аварійне відновлення, виявлення/захист від зловмисного програмного забезпечення, а також захист системи та ОС.
Щоб відповідати вимогам ISO (ISO 14971), Асоціація вдосконалення медичного приладобудування радить знайти баланс між безпекою та безпекою. Потрібен ретельний аналіз, щоб запобігти тому, щоб заходи безпеки поставили під загрозу безпеку, а заходи безпеки не стали ризиком для безпеки. Безпека має бути належного розміру і не повинна бути ні надто слабкою, ні надто обмежувальною.
Розподіл відповідальності за кібербезпеку
Відповідальність за кібербезпеку поділена між виробником пристрою та організацією, яка розгортає (як правило, клієнтом/оператором). Таким чином, конкретні ролі, які забезпечують важливі функції кібербезпеки, такі як інтегратор, оператор, медичні працівники, а також пацієнти та споживачі, вимагають ретельного навчання та документації.
Розділ «Інструкції з використання» заявки на сертифікацію виробника має містити процеси кібербезпеки, включаючи параметри конфігурації безпеки, інсталяцію продукту, вказівки щодо початкової конфігурації (наприклад, зміна пароля за замовчуванням), інструкції щодо розгортання оновлень безпеки, процедури використання медичного пристрою в безвідмовному режимі. режимі (наприклад, вхід/вихід із безвідмовного режиму, обмеження продуктивності в безвідмовному режимі та функція відновлення даних під час відновлення нормальної роботи) і плани дій для користувача у випадку попередження.
Цей розділ також має містити вимоги до навчання користувачів і перелічувати необхідні навички, включно з навичками ІТ, необхідними для встановлення, конфігурації та експлуатації медичного пристрою. Крім того, він повинен визначати вимоги до робочого середовища (апаратне забезпечення, характеристики мережі, засоби контролю безпеки тощо), які охоплюють припущення щодо середовища використання, ризики для роботи пристрою поза межами передбачуваного робочого середовища, мінімальні вимоги до платформи для підключеного медичного пристрою , рекомендовані елементи керування ІТ-безпекою, а також функції резервного копіювання та відновлення даних і параметрів конфігурації.
Конкретна інформація про безпеку може надаватися через документацію, окрім інструкцій із використання, наприклад інструкції для адміністраторів або посібники з безпеки. Така інформація може включати перелік засобів контролю ІТ-безпеки, включених у медичний пристрій, положення для забезпечення цілісності/перевірки оновлень програмного забезпечення та виправлень безпеки, технічні властивості апаратних компонентів, перелік матеріалів програмного забезпечення, ролі користувачів і пов’язані привілеї/дозволи доступу до пристрою, функція реєстрації, вказівки щодо рекомендацій щодо безпеки, вимоги до інтеграції медичного пристрою в інформаційну систему охорони здоров’я та список мережевих потоків даних (типи протоколів, походження/призначення даних). потоки, схема адресації тощо).
Якщо робоче середовище не є виключно локальним, а включає зовнішніх хостинг-провайдерів, у документації має бути чітко вказано, що, де (з огляду на закони про резидентність даних) і як дані зберігаються, а також будь-які заходи безпеки для захисту даних у хмарне середовище (наприклад, шифрування). Розділ документації з інструкціями щодо використання має містити конкретні вимоги до конфігурації операційного середовища, наприклад правила брандмауера (порти, інтерфейси, протоколи, схеми адресації тощо).
Контроль безпеки, реалізований під час передпродажної діяльності, може бути недостатнім для підтримки прийнятного рівня користі та ризику протягом терміну експлуатації пристрою. Таким чином, нормативні документи вимагають від виробника створити післяпродажну програму нагляду за кібербезпекою для моніторингу роботи пристрою в призначеному середовищі; ділитися та поширювати інформацію про кібербезпеку та знання про вразливі місця та загрози кібербезпеки в багатьох секторах; виконувати усунення вразливості; і планувати реагування на інцидент.
Крім того, виробник несе відповідальність за розслідування серйозних інцидентів і звітування про них, а також за вжиття заходів з безпеки. Зокрема, інциденти, які мають першопричини, пов’язані з кібербезпекою, підлягають звітуванню про тенденції, включаючи будь-яке статистично значуще збільшення частоти або серйозності інцидентів.
Планування для всіх сценаріїв
Сучасні медичні пристрої добре інтегровані та працюють у складній мережі пристроїв і систем, багато з яких можуть не контролюватись оператором пристрою. Таким чином, виробники повинні ретельно задокументувати передбачуване використання пристрою та передбачуване робоче середовище, а також спланувати розумно передбачуване неправильне використання, наприклад кібератаку.
Вимоги щодо управління ризиками до та після виходу на ринок кібербезпеки та допоміжні заходи не обов’язково відрізняються від традиційних програм безпеки. Однак вони додають додатковий рівень складності, оскільки:
- Діапазон ризиків, які слід враховувати, є більш складним (безпека, конфіденційність, операції, бізнес).
- Вони вимагають певного набору дій, які необхідно виконувати впродовж життєвого циклу розробки пристрою за допомогою Secure Product Development Framework (SPDF).
Глобальні регулятори, включно з MDR/IVDR, починають запроваджувати вищий рівень безпеки для медичних пристроїв і, зокрема, вимагати демонстраційної безпеки як частини більшого життєвого циклу пристрою. Пристрої мають відповідати базовому рівню безпеки залежно від типу пристрою та сценарію використання, і виробники мають підтримувати цей базовий рівень протягом усього терміну експлуатації пристрою.
