"الأمن السيبراني في الأجهزة الطبية: اعتبارات نظام الجودة ومحتوى التقديمات قبل التسويق | ادارة الاغذية والعقاقير"هي وثيقة جديدة أصدرتها إدارة الأغذية والعقاقير (FDA) توفر إرشادات حول دمج الأمن السيبراني في إدارة نظام الجودة وعملية تقديم الأجهزة الطبية قبل التسويق.

ويغطي إدارة المخاطر، وضوابط التصميم، والتحقق من صحة البرامج، وعناصر أخرى لضمان سلامة وفعالية وأمن الأجهزة الطبية في مواجهة التهديدات السيبرانية المحتملة.

الهدف من الوثيقة هو توعية الشركات المصنعة للأجهزة بضرورة مراعاة الأمن السيبراني في جميع جوانب برامج الجهاز بما في ذلك التصميم والتطوير والاختبار والمراقبة والصيانة. أحد المفاهيم الأساسية للوثيقة هو التخطيط لـ "دورة حياة المنتج الإجمالية". لقد قامت إدارة الغذاء والدواء الأمريكية (FDA) بسحب العديد من جوانب الأمن السيبراني التي عادةً ما تُترك لـ HIPAA وعملاء الأجهزة. يتعين على الشركات المصنعة للأجهزة الآن دمج ممارسات البرامج الآمنة منذ بداية مرحلة التطوير وإظهار كيفية الاستمرار في ضمان بقاء الجهاز آمنًا من خلال الوثائق.

ما هو الأمن السيبراني؟

يحتوي NIST (المعهد الوطني للمعايير والتكنولوجيا) على صفحة كاملة مخصصة لمختلف المجالات تعريفات الأمن السيبراني.

يحدد NIST الأمن السيبراني كمرادف لأمن الكمبيوتر[1]. هي "الإجراءات والضوابط التي تضمن سرية وسلامة وتوافر المعلومات التي تتم معالجتها وتخزينها بواسطة الكمبيوتر".[2] كما أنه "منع الإضرار بأنظمة المعلومات والاتصالات الإلكترونية والاستخدام غير المصرح به واستغلالها، وإذا لزم الأمر، استعادتها، والمعلومات التي تحتوي عليها، وذلك من أجل تعزيز سرية هذه الأنظمة وسلامتها وتوافرها". ".[3]

عند توسيع نطاق الأمن السيبراني ليشمل الأجهزة الطبية، فإنه يشمل سلامة المستخدم والمرضى. كما هو مذكور في إرشادات إدارة الغذاء والدواء الأمريكية (FDA) في الصفحة 11: "إن نطاق وهدف عملية إدارة المخاطر الأمنية، جنبًا إلى جنب مع عمليات SPDF الأخرى (على سبيل المثال، اختبار الأمان)، هو كشف كيف يمكن للتهديدات، من خلال نقاط الضعف، أن تظهر ضررًا للمريض وأشياء أخرى المخاطر المحتملة." يوضح الشكل 1 أدناه العلاقة بين مخاطر الأمن السيبراني ومخاطر السلامة.

كيفية إدارة مخاطر الأمن السيبراني

تقترح إرشادات إدارة الغذاء والدواء (FDA) أن إحدى طرق إدارة مخاطر الأمن السيبراني هي من خلال ما تسميه "إطار تطوير المنتجات الآمنة" أو SPDF. يعد SPDF في الأساس خطة لتحديد تهديدات الأمن السيبراني وعمليات التخفيف منها طوال عمر الجهاز بالكامل. يجب على الشركات المصنعة للأجهزة تنفيذ SPDF كجزء من نظام إدارة الجودة الرئيسي (QMS) الذي يحكم كيفية تطوير الجهاز المزود بالبرنامج وصيانته.

يمكن تلخيص العملية في الخطوات التالية:

• تحديد التهديدات
• توثيق وتقييم المخاطر
• توثيق وتنفيذ عمليات التخفيف
• اختبار والتحقق من عمليات التخفيف
• وأخيرًا مراقبة الجهاز ومساحة الجهاز بحثًا عن التهديدات الجديدة.

إن مخرجات هذه الخطوات وتنفيذ إجراءات المواجهة المستقبلية هي المدخلات التي تحتاجها إدارة الغذاء والدواء لجميع التقديمات التنظيمية الجديدة. على الرغم من سهولة تحديد خطوات العملية، إلا أن تنفيذ SPDF ليس بالأمر السهل على الإطلاق.

المزيد عن قوات الدفاع الشعبي

يجب أن يصبح إطار تطوير المنتج الآمن جزءًا قياسيًا من أي نظام إدارة جودة يستخدم لتطوير جهاز طبي إلكتروني أو أي جهاز طبي مزود ببرنامج. من المغري الادعاء بأن الجهاز لا يتطلب SPDF أو اعتبارات الأمن السيبراني، ولكن هذا سيكون خطأً. لا توجد طريقة لإثبات إدارة الغذاء والدواء (FDA) أن جهازك لا يمثل مخاطر تتعلق بالأمن السيبراني إلا بعد تنفيذ العديد من الخطوات الأولية لـ SPDF، وهي تحديد التهديدات وتحليل مخاطر الأمن السيبراني. لقد سمعنا بالفعل قصصًا عن شركات مصنعة أخرى افترضت أنها آمنة فقط لكي تقوم إدارة الغذاء والدواء الأمريكية بالإشارة إلى منفذ USB أو منفذ شبكة كامن (خلف اللوحة على الأقل!) ورفض الطلب بسبب نقص وثائق الأمن السيبراني. لا يعني مجرد عدم اتصال الجهاز بالإنترنت أن جهة التهديد لا يمكنها استغلال جزء من نظامك. الطريقة الوحيدة لإثبات أن جهازك آمن هي تنفيذ SPDF منذ بداية دورة حياة الجهاز وتوثيق عدم وجود تهديدات أو مخاطر.

إدارة مخاطر الأمن السيبراني

يعمل فريق البرامج لدينا مع عدد من متخصصي الأمن السيبراني وشركات اختبار الاختراق ومستشاري إدارة الغذاء والدواء (FDA) للتأكد من أن الأجهزة التي نقوم بتطويرها قادرة على تلبية متطلبات وثائق الأمن السيبراني الخاصة بإدارة الغذاء والدواء (FDA) للأجهزة الطبية. يجب على مطوري الأجهزة استيعاب إرشادات إدارة الغذاء والدواء الجديدة وإنشاء عمليات جديدة للمساعدة في الامتثال وأدوات جديدة لتوليد المخرجات اللازمة لإرضاء إدارة الغذاء والدواء. هذه ليست مهمة صغيرة. لقد أمضينا وقتًا وجهدًا كبيرًا في تطوير هذه الأنظمة. وقد أتى هذا الجهد بثماره بالنسبة لعملائنا لأننا قمنا تلقائيًا باكتشاف الثغرات الأمنية والإبلاغ عنها.

إذا كنت ترغب في معرفة المزيد حول كيف يمكن لشركة StarFish Medical مساعدتك في الامتثال التنظيمي للأمن السيبراني، من فضلك اتصل بمجموعة تطوير الأعمال لدينا. سيكون من دواعي سرورهم مناقشة كيف يمكن لـ Starfish مساعدتك على النجاح في إنشاء أجهزة طبية قوية وآمنة.

[1] https://csrc.nist.gov/glossary/term/cybersecurity

[2] https://www.cnss.gov/CNSS/issuances/Instructions.cfm

[3] https://doi.org/10.6028/NIST.IR.8074v2

صورة: ادارة الاغذية والعقاقير

راسل هالي هو طبيب StarFish مهندس البرمجيات. وهو خبير في البرمجيات وتكنولوجيا المعلومات يتمتع بخبرة تزيد عن 20 عامًا في تصميم أنظمة إنترنت الأشياء التي تجمع البيانات من خلال شبكات Wi-Fi والبلوتوث وأجهزة الراديو MICS (القابلة للزرع) وتخزين السجلات الحيوية في السحابة من العوامات الأوقيانوغرافية والمؤسسات المالية وقطارات الركاب. ومؤخرا الأجهزة الطبية.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://starfishmedical.com/blog/fda-guidance-medical-device-cybersecurity/