"Κυβερνοασφάλεια σε ιατρικές συσκευές: Θεωρήσεις συστήματος ποιότητας και περιεχόμενο υποβολών πριν από την αγορά | FDA” είναι ένα νέο έγγραφο που παράγεται από τον FDA και παρέχει καθοδήγηση σχετικά με την ενσωμάτωση της κυβερνοασφάλειας στη διαχείριση του συστήματος ποιότητας και στη διαδικασία υποβολής πριν από την αγορά για ιατροτεχνολογικά προϊόντα.

Καλύπτει τη διαχείριση κινδύνου, τους ελέγχους σχεδιασμού, την επικύρωση λογισμικού και άλλα στοιχεία για τη διασφάλιση της ασφάλειας, της αποτελεσματικότητας και της ασφάλειας των ιατρικών συσκευών έναντι πιθανών απειλών στον κυβερνοχώρο.

Ο στόχος του εγγράφου είναι να μεταδώσει στους κατασκευαστές συσκευών την ανάγκη να λάβουν υπόψη την κυβερνοασφάλεια σε όλες τις πτυχές του λογισμικού συσκευών, συμπεριλαμβανομένου του σχεδιασμού, της ανάπτυξης, των δοκιμών, της παρακολούθησης και της συντήρησης. Βασική ιδέα του εγγράφου είναι ο σχεδιασμός για τον «Κύκλο Ζωής Συνολικού Προϊόντος». Ο FDA έχει προσελκύσει πολλές πτυχές της κυβερνοασφάλειας που κανονικά θα επαφίονταν στην HIPAA και στους πελάτες συσκευών. Είναι πλέον καθήκον των κατασκευαστών συσκευών να ενσωματώσουν πρακτικές ασφαλούς λογισμικού από την αρχή της φάσης ανάπτυξης και να δείξουν μέσω της τεκμηρίωσης πώς θα συνεχίσουν να διασφαλίζουν ότι η συσκευή παραμένει ασφαλής.

Τι είναι η Cybersecurity;

Το NIST (Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας) έχει μια ολόκληρη σελίδα αφιερωμένη στα διάφορα ορισμούς της κυβερνοασφάλειας.

Το NIST προσδιορίζει την κυβερνοασφάλεια ως συνώνυμο της ασφάλειας υπολογιστών[1]. Είναι τα «Μέτρα και οι έλεγχοι που διασφαλίζουν την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των πληροφοριών που επεξεργάζονται και αποθηκεύονται από υπολογιστή».[2] Είναι επίσης «η πρόληψη της ζημιάς, της μη εξουσιοδοτημένης χρήσης, της εκμετάλλευσης και —αν χρειαστεί— η αποκατάσταση των ηλεκτρονικών συστημάτων πληροφοριών και επικοινωνιών και των πληροφοριών που περιέχουν, προκειμένου να ενισχυθεί η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα αυτών των συστημάτων. .»[3]

Όταν επεκτείνεται σε ιατρικές συσκευές, η ασφάλεια στον κυβερνοχώρο περιλαμβάνει την ασφάλεια των χρηστών και των ασθενών. Όπως σημειώνεται στην Καθοδήγηση του FDA στη σελίδα 11: «Το εύρος και ο στόχος μιας διαδικασίας διαχείρισης κινδύνου ασφαλείας, σε συνδυασμό με άλλες διαδικασίες SPDF (π.χ. δοκιμές ασφαλείας), είναι να αποκαλύψει πώς οι απειλές, μέσω τρωτών σημείων, μπορούν να εκδηλώσουν βλάβη στον ασθενή και άλλα πιθανούς κινδύνους». Το σχήμα 1 παρακάτω δείχνει τη σχέση μεταξύ του Κινδύνου Κυβερνοασφάλειας και του Κινδύνου Ασφάλειας.

Πώς να διαχειριστείτε τους κινδύνους για την ασφάλεια στον κυβερνοχώρο

Η καθοδήγηση του FDA προτείνει ότι ένας τρόπος διαχείρισης του κινδύνου κυβερνοασφάλειας είναι μέσω αυτού που αποκαλεί «Πλαίσιο Ανάπτυξης Ασφαλούς Προϊόντος» ή SPDF. Ένα SPDF είναι ουσιαστικά ένα σχέδιο για τον εντοπισμό απειλών στον κυβερνοχώρο και μετριασμούς για όλη τη διάρκεια ζωής της συσκευής. Οι κατασκευαστές συσκευών θα πρέπει να εφαρμόσουν ένα SPDF ως μέρος του βασικού Συστήματος Διαχείρισης Ποιότητας (QMS) που διέπει τον τρόπο ανάπτυξης και συντήρησης μιας συσκευής με λογισμικό.

Η διαδικασία μπορεί να συνοψιστεί στα ακόλουθα βήματα:

• Προσδιορίστε τις απειλές
• Τεκμηρίωση και αξιολόγηση κινδύνων
• Τεκμηρίωση και εφαρμογή μετριασμού
• Δοκιμάστε και επαληθεύστε τους μετριασμούς
• και τέλος παρακολουθήστε τη συσκευή και το χώρο της συσκευής για νέες απειλές.

Τα αποτελέσματα αυτών των βημάτων και η εφαρμογή μελλοντικών διαδικασιών που αντιμετωπίζουν είναι τα στοιχεία που απαιτεί η FDA για όλες τις νέες ρυθμιστικές υποβολές. Ενώ τα βήματα της διαδικασίας εντοπίζονται εύκολα, η υλοποίηση ενός SPDF κάθε άλλο παρά εύκολη είναι.

Περισσότερα για το SPDF

Ένα Ασφαλές Πλαίσιο Ανάπτυξης Προϊόντων θα πρέπει να γίνει τυπικό μέρος οποιουδήποτε QMS που χρησιμοποιείται για την ανάπτυξη μιας ηλεκτρονικής ιατρικής συσκευής ή οποιασδήποτε ιατρικής συσκευής με λογισμικό. Είναι δελεαστικό να ισχυριστεί κανείς ότι μια συσκευή δεν απαιτεί SPDF ή ζητήματα ασφάλειας στον κυβερνοχώρο, αλλά αυτό θα ήταν λάθος. Δεν υπάρχει τρόπος να αποδείξετε στον FDA ότι η συσκευή σας ΔΕΝ παρουσιάζει κινδύνους για την ασφάλεια στον κυβερνοχώρο παρά μόνο αφού εκτελέσετε πολλά από τα αρχικά βήματα ενός SPDF, δηλαδή την Αναγνώριση απειλών και την Ανάλυση Κινδύνου Κυβερνοασφάλειας. Έχουμε ήδη ακούσει ιστορίες άλλων κατασκευαστών που υπέθεσαν ότι ήταν ασφαλείς μόνο για να δείξουν το FDA σε μια θύρα USB ή μια λανθάνουσα θύρα δικτύου (πίσω από έναν πίνακα όχι λιγότερο!) και απέρριψαν την αίτηση λόγω έλλειψης τεκμηρίωσης για την ασφάλεια στον κυβερνοχώρο. Ακριβώς επειδή η συσκευή δεν συνδέεται στο διαδίκτυο, δεν σημαίνει ότι ένας παράγοντας απειλής δεν θα μπορούσε να εκμεταλλευτεί ένα μέρος του συστήματός σας. Ο μόνος τρόπος για να αποδείξετε ότι η συσκευή σας είναι ασφαλής είναι να εφαρμόσετε ένα SPDF από την αρχή του κύκλου ζωής της συσκευής και να τεκμηριώσετε την έλλειψη απειλών ή κινδύνων.

Διαχείριση κινδύνων στον κυβερνοασφάλεια

Η ομάδα λογισμικού μας συνεργάζεται με έναν αριθμό επαγγελματιών κυβερνοασφάλειας, εταιρείες δοκιμών διείσδυσης και συμβούλους FDA για να διασφαλίσει ότι οι συσκευές που αναπτύσσουμε είναι σε θέση να πληρούν τις απαιτήσεις τεκμηρίωσης για την ασφάλεια στον κυβερνοχώρο του FDA για ιατρικές συσκευές. Οι προγραμματιστές συσκευών θα πρέπει να ενσωματώσουν τη νέα καθοδήγηση του FDA και να δημιουργήσουν νέες διαδικασίες για να βοηθήσουν στη συμμόρφωση και νέα εργαλεία για τη δημιουργία των αποτελεσμάτων που είναι απαραίτητα για την ικανοποίηση του FDA. Αυτό δεν είναι μικρό εγχείρημα. Έχουμε ξοδέψει πολύ χρόνο και προσπάθεια για να αναδείξουμε αυτά τα συστήματα. Η προσπάθεια έχει αποφέρει μερίσματα για τους πελάτες μας, επειδή διαθέτουμε αυτοματοποιημένο εντοπισμό και αναφορά ευπάθειας.

Εάν θέλετε να μάθετε περισσότερα σχετικά με τον τρόπο με τον οποίο το StarFish Medical μπορεί να σας βοηθήσει με τη συμμόρφωση με τους κανονισμούς για την ασφάλεια στον κυβερνοχώρο, παρακαλούμε επικοινωνήστε με την ομάδα Επιχειρηματικής Ανάπτυξης. Θα χαρούν να συζητήσουν πώς το Starfish μπορεί να σας βοηθήσει να πετύχετε στη δημιουργία ισχυρών, ασφαλών ιατρικών συσκευών.

[1] https://csrc.nist.gov/glossary/term/cybersecurity

[2] https://www.cnss.gov/CNSS/issuances/Instructions.cfm

[3] https://doi.org/10.6028/NIST.IR.8074v2

Εικόνα: FDA

Ο Russell Haley είναι StarFish Medical Ανώτερος Μηχανικός Λογισμικού. Είναι βετεράνος λογισμικού και πληροφορικής με πάνω από 20 χρόνια εμπειρίας εκκίνησης στο σχεδιασμό συστημάτων IoT που συλλέγουν δεδομένα μέσω Wi-Fi, Bluetooth και MICS (εμφυτεύσιμα) ραδιόφωνα και αποθηκεύουν ζωτικής σημασίας αρχεία στο cloud από ωκεανογραφικούς σημαντήρες, χρηματοπιστωτικά ιδρύματα, επιβατικά τρένα και πιο πρόσφατα, ιατροτεχνολογικά προϊόντα.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://starfishmedical.com/blog/fda-guidance-medical-device-cybersecurity/