طبی آلات کے خلاف حملوں کے بڑھتے ہوئے حجم کی وجہ سے، یورپی یونین کے ریگولیٹرز نے سائبر واقعے کے نتیجے میں مریض کو پہنچنے والے نقصان کے خطرے کو کم کرنے کے لیے طبی آلات اور ان وٹرو تشخیصی طبی آلات کے لیے مارکیٹ میں داخلے کی ضروریات کا ایک نیا سیٹ پیش کیا ہے۔ قومی صحت کے نظام کی حفاظت کریں۔
یورپی یونین کے ریگولیٹرز سائبرسیکیوریٹی کی ضروریات پر پابندی کو بڑھا رہے ہیں۔ یورپی یونین میڈیکل ڈیوائس ریگولیشن (MDR) اور یورپی یونین ان وٹرو ڈائیگنوسٹک ریگولیشن (IVDR)، جو 26 مئی 2021 سے نافذ العمل ہوا۔ ضوابط کا مقصد "ایک مضبوط، شفاف، قابل پیش گوئی اور پائیدار ریگولیٹری فریم ورک قائم کرنا ہے … جو جدت کی حمایت کرتے ہوئے اعلیٰ سطح کی حفاظت اور صحت کو یقینی بناتا ہے۔"
تنظیموں کے پاس 26 مئی 2024 تک، یا جب ڈیوائسز کے ذریعے استعمال ہونے والے ڈیجیٹل سرٹیفکیٹس کی میعاد ختم ہو جاتی ہے، اپنے کوالٹی مینجمنٹ سسٹمز اور نئی تقاضوں کی تعمیل کرنے کے لیے تکنیکی دستاویزات میں ضروری تبدیلیاں کریں۔ تشخیصی عمل اور معیارات اور رہنمائی کے دستاویزات کی تعداد کے باوجود جو طبی آلات کے مینوفیکچررز، فراہم کنندگان، اور سرٹیفیکیشن خدمات وقت پر تیار نہیں ہوسکتے ہیں۔
فی الحال 90% سے زیادہ درست AIMDD/MDD سرٹیفکیٹس 2024 تک ختم ہو جائیں گے، اس لیے مارکیٹ میں داخل ہونے والے نئے آلات کے علاوہ موجودہ آلات کی ایک قابل ذکر تعداد کو دوبارہ منظور کرنے کی ضرورت ہے۔ یہ اندازہ لگایا گیا ہے کہ آج مارکیٹ میں 85% مصنوعات موجود ہیں۔ ابھی بھی MDR.IVDR کے تحت نئے سرٹیفیکیشن کی ضرورت ہے۔. اس بات کو مدنظر رکھتے ہوئے کہ اس عمل میں 13 سے 18 ماہ لگتے ہیں، کمپنیوں کو 2024 کی آخری تاریخ کو پورا کرنے کے لیے ابھی عمل شروع کرنے کی ضرورت ہے۔
استعمال کے لیے ہدایات ترتیب دینا
عام طور پر، سائبرسیکیوریٹی کے عمل عام ڈیوائس کی کارکردگی اور حفاظتی عمل سے اتنے مختلف نہیں ہوتے ہیں۔ اس کا مقصد یقین دہانی (تصدیق اور توثیق کے ذریعے) اور (دستاویزات کے ذریعے) ڈیوائس کی کارکردگی، خطرے میں کمی اور کنٹرول، اور خطرے کے انتظام کے ذریعے ممکنہ خطرات اور ناپسندیدہ ضمنی اثرات کو کم سے کم کرنا ہے۔ امتزاج پروڈکٹس یا آپس میں جڑے ہوئے آلات/سسٹم کو بھی ان خطرات کے انتظام کی ضرورت ہوتی ہے جو سافٹ ویئر اور IT ماحول کے درمیان تعامل کے نتیجے میں ہوتے ہیں۔
میڈیکل ڈیوائس کوآرڈینیشن گروپ MDCG-16 طبی آلات کے لیے سائبرسیکیوریٹی پر رہنمائی MDR اور IVDR کے تحت سائبر سیکیورٹی کے تقاضوں کی تشریح اور تکمیل کرنے کا طریقہ بتاتا ہے۔ مینوفیکچررز سے توقع کی جاتی ہے کہ وہ محفوظ ترقیاتی لائف سائیکل، سیکیورٹی رسک مینجمنٹ، اور تصدیق اور توثیق کے اصولوں کو مدنظر رکھیں۔ مزید، انہیں سائبرسیکیوریٹی کے عمل کے لیے کم از کم IT تقاضے اور توقعات فراہم کرنی چاہئیں، جیسے کہ استعمال کے لیے اپنے آلے کی ہدایات میں تنصیب اور دیکھ بھال۔ "استعمال کے لیے ہدایات" سرٹیفیکیشن ایپلیکیشن مینوفیکچررز کا ایک انتہائی منظم مطلوبہ سیکشن ہے جسے فائل کرنا ضروری ہے۔
سائبرسیکیوریٹی کے اقدامات کو طبی آلات کے آپریشن سے وابستہ کسی بھی خطرے کو کم کرنا چاہیے، بشمول سائبرسیکیوریٹی سے متاثرہ حفاظتی خطرات، صحت اور حفاظت کے لیے اعلیٰ سطح کا تحفظ فراہم کرنے کے لیے۔ بین الاقوامی الیکٹرو ٹیکنیکل کمیشن (IEC) اعلیٰ سطحی حفاظتی خصوصیات، بہترین طریقوں اور حفاظتی سطحوں کی وضاحت کرتا ہے۔ IEC/TIR 60601-4-5. آئی ای سی کی ایک اور تکنیکی رپورٹ، آئی سی ای ایکس اینم ایکس ایکس ایکس این ایم ایکس ایکس ایکس این ایم ایکس۔، مخصوص ڈیزائن اور آرکیٹیکچر کی حفاظتی صلاحیتوں کو شمار کرتا ہے، جیسے خودکار لاگ آف، آڈٹ کنٹرول، ڈیٹا بیک اپ اور ڈیزاسٹر ریکوری، مالویئر کا پتہ لگانے/تحفظ، اور سسٹم اور OS کو سخت کرنا۔
آئی ایس او کے رہنما خطوط کو پورا کرنے کے لیے (ISO 14971)، ایسوسی ایشن فار دی ایڈوانسمنٹ آف میڈیکل انسٹرومینٹیشن توازن برقرار رکھنے کا مشورہ دیتی ہے۔ حفاظت اور سلامتی کے درمیان. حفاظتی اقدامات کو حفاظتی اور حفاظتی اقدامات سے سمجھوتہ کرنے سے بچانے کے لیے احتیاط سے تجزیہ کرنے کی ضرورت ہے۔ سیکورٹی کو صحیح سائز کا ہونا چاہئے اور نہ تو بہت کمزور ہونا چاہئے اور نہ ہی بہت زیادہ پابندیاں۔
سائبرسیکیوریٹی کے لیے ذمہ داری کا اشتراک کرنا
سائبرسیکیوریٹی ایک ذمہ داری ہے جو ڈیوائس بنانے والے اور تعینات کرنے والی تنظیم (عام طور پر کسٹمر/آپریٹر) کے درمیان مشترکہ ہے۔ اس طرح، مخصوص کردار جو سائبر سیکیورٹی کے اہم افعال فراہم کرتے ہیں — جیسے انٹیگریٹر، آپریٹر، صحت کی دیکھ بھال اور طبی پیشہ ور افراد، اور مریض اور صارفین — کو محتاط تربیت اور دستاویزات کی ضرورت ہوتی ہے۔
مینوفیکچرر کی سرٹیفیکیشن ایپلی کیشن کے "استعمال کے لیے ہدایات" سیکشن میں سائبر سیکیورٹی کے عمل کو فراہم کرنا چاہیے جس میں سیکیورٹی کنفیگریشن کے اختیارات، پروڈکٹ کی انسٹالیشن، کنفیگریشن کے ابتدائی رہنما خطوط (مثلاً، ڈیفالٹ پاس ورڈ کی تبدیلی)، سیکیورٹی اپ ڈیٹس کو تعینات کرنے کی ہدایات، طبی ڈیوائس کو فیل سیف میں استعمال کرنے کے طریقہ کار شامل ہیں۔ موڈ (مثال کے طور پر، فیل سیف موڈ میں داخل/باہر نکلنا، فیل سیف موڈ میں کارکردگی کی پابندیاں، اور عام آپریشن کو دوبارہ شروع کرنے پر ڈیٹا ریکوری فنکشن)، اور انتباہی پیغام کی صورت میں صارف کے لیے ایکشن پلان۔
اس حصے کو تربیت کے لیے صارف کی ضروریات بھی فراہم کرنی چاہیے اور مطلوبہ مہارتوں کی گنتی کرنا چاہیے، بشمول IT کی مہارتیں جو طبی آلات کی تنصیب، ترتیب، اور آپریشن کے لیے درکار ہیں۔ اس کے علاوہ، اسے آپریٹنگ ماحول (ہارڈ ویئر، نیٹ ورک کی خصوصیات، سیکورٹی کنٹرولز، وغیرہ) کے لیے تقاضوں کی وضاحت کرنی چاہیے جو استعمال کے ماحول سے متعلق مفروضوں، مطلوبہ آپریٹنگ ماحول سے باہر ڈیوائس کے آپریشن کے خطرات، منسلک میڈیکل ڈیوائس کے لیے کم از کم پلیٹ فارم کی ضروریات کا احاطہ کرتی ہے۔ ، ڈیٹا اور کنفیگریشن سیٹنگز دونوں کے لیے آئی ٹی سیکیورٹی کنٹرولز، اور بیک اپ اور ریسٹور فیچرز کی سفارش کی گئی ہے۔
مخصوص حفاظتی معلومات کو استعمال کے لیے ہدایات کے علاوہ دستاویزات کے ذریعے شیئر کیا جا سکتا ہے، جیسے کہ منتظمین کے لیے ہدایات یا سیکیورٹی آپریشن مینوئل۔ اس طرح کی معلومات میں میڈیکل ڈیوائس میں شامل آئی ٹی سیکیورٹی کنٹرولز کی فہرست، سافٹ ویئر اپ ڈیٹس اور سیکیورٹی پیچ کی سالمیت/توثیق کو یقینی بنانے کے انتظامات، ہارڈ ویئر کے اجزاء کی تکنیکی خصوصیات، مواد کا سافٹ ویئر بل، صارف کے کردار اور ڈیوائس پر متعلقہ رسائی کی مراعات/اجازتیں، لاگنگ فنکشن، حفاظتی سفارشات پر رہنما خطوط، میڈیکل ڈیوائس کو ہیلتھ انفارمیشن سسٹم میں ضم کرنے کے تقاضے، اور نیٹ ورک ڈیٹا اسٹریمز کی فہرست (پروٹوکول کی اقسام، ڈیٹا کی اصل/منزل اسٹریمز، ایڈریسنگ اسکیم وغیرہ)۔
اگر آپریٹنگ ماحول خاص طور پر مقامی نہیں ہے لیکن اس میں بیرونی میزبانی فراہم کرنے والے شامل ہیں، تو دستاویزات میں واضح طور پر یہ بتانا چاہیے کہ کیا، کہاں (ڈیٹا ریذیڈنسی قوانین کو مدنظر رکھتے ہوئے)، اور ڈیٹا کو کیسے اسٹور کیا جاتا ہے، نیز ڈیٹا کی حفاظت کے لیے کوئی سیکیورٹی کنٹرول۔ کلاؤڈ ماحول (مثال کے طور پر، خفیہ کاری)۔ دستاویزات کے استعمال کے سیکشن کے لیے ہدایات کو آپریٹنگ ماحول کے لیے مخصوص کنفیگریشن کی ضروریات فراہم کرنے کی ضرورت ہے، جیسے کہ فائر وال کے اصول (پورٹس، انٹرفیس، پروٹوکول، ایڈریسنگ اسکیم وغیرہ)۔
پری مارکیٹ کی سرگرمیوں کے دوران لاگو کیے گئے حفاظتی کنٹرول ڈیوائس کی آپریشنل زندگی کے دوران قابل قبول فائدہ رسک کی سطح کو برقرار رکھنے کے لیے ناکافی ہو سکتے ہیں۔ لہذا، ضوابط کارخانہ دار سے مارکیٹ کے بعد سائبرسیکیوریٹی سرویلنس پروگرام قائم کرنے کا تقاضا کرتے ہیں تاکہ مطلوبہ ماحول میں ڈیوائس کے آپریشن کی نگرانی کی جا سکے۔ سائبرسیکیوریٹی کی معلومات اور سائبرسیکیوریٹی کے خطرات اور خطرات کے بارے میں علم کو ایک سے زیادہ شعبوں میں بانٹنا اور پھیلانا؛ کمزوری کا تدارک کرنے کے لیے؛ اور واقعے کے ردعمل کے لیے منصوبہ بندی کرنا۔
مینوفیکچرر سنگین واقعات کی تحقیقات اور رپورٹ کرنے اور حفاظتی اصلاحی اقدامات کو فیلڈ کرنے کے لیے مزید ذمہ دار ہے۔ خاص طور پر، ایسے واقعات جن کی سائبرسیکیوریٹی سے متعلق بنیادی وجوہات ہیں رجحان کی رپورٹنگ کے تابع ہیں، بشمول واقعات کی تعدد یا شدت میں اعدادوشمار کے لحاظ سے کوئی اہم اضافہ۔
تمام منظرناموں کے لیے منصوبہ بندی کرنا
آج کے طبی آلات انتہائی مربوط ہیں اور آلات اور سسٹمز کے ایک پیچیدہ نیٹ ورک میں کام کرتے ہیں، جن میں سے اکثر ڈیوائس آپریٹر کے کنٹرول میں نہیں ہوتے ہیں۔ لہذا، مینوفیکچررز کو آلہ کے مطلوبہ استعمال اور مطلوبہ آپریشنل ماحول کو احتیاط سے دستاویز کرنا چاہیے، نیز سائبر اٹیک جیسے معقول حد تک غلط استعمال کا منصوبہ بنانا چاہیے۔
سائبر سیکیورٹی سے پہلے اور مارکیٹ کے بعد کے خطرے کے انتظام کے تقاضے اور معاون سرگرمیاں ضروری نہیں کہ روایتی حفاظتی پروگراموں سے مختلف ہوں۔ تاہم، وہ پیچیدگی کی ایک اضافی سطح کا اضافہ کرتے ہیں جیسے:
- غور کرنے کے لیے خطرات کی حد زیادہ پیچیدہ ہے (حفاظت، رازداری، آپریشنز، کاروبار)۔
- انہیں سرگرمیوں کے ایک مخصوص سیٹ کی ضرورت ہوتی ہے جو آلہ کی ترقی کے لائف سائیکل کے ساتھ سیکیور پروڈکٹ ڈویلپمنٹ فریم ورک (SPDF) کے ذریعے انجام دینے کی ضرورت ہوتی ہے۔
عالمی ریگولیٹرز، بشمول MDR/IVDR، طبی آلات کے لیے اعلیٰ سطح کی سیکیورٹی کو نافذ کرنا شروع کر رہے ہیں اور خاص طور پر بڑے ڈیوائس لائف سائیکل کے حصے کے طور پر قابلِ حفاظت سیکیورٹی کی ضرورت ہے۔ ڈیوائسز کو، ڈیوائس کی قسم اور استعمال کے کیس کی بنیاد پر، ایک سیکیورٹی بیس لائن کو پورا کرنا چاہیے، اور مینوفیکچررز کو ڈیوائس کی پوری زندگی میں اس بیس لائن کو برقرار رکھنے کی ضرورت ہے۔
