Cyberbezpieczeństwo wyrobów medycznych

Czy cyberprzestępcy mają wpływ na rynek wyrobów medycznych?

Żyjemy w czasach powszechnej cyfryzacji. Otaczają nas produkty i usługi narażone na ataki cyberprzestępców. Niestety wyroby służące naszemu zdrowiu nie są tu wyjątkiem. Jak najnowsze regulacje mierzą się z problemem cyberbezpieczeństwa? O tym przeczytacie w artykule mec. Błażeja Wągiela, przygotowanym w ramach projektu #MiesiącPartneraKlastra dla Klastra Life Science Kraków.

___________________________________________________________________________________________________

NOWE WYZWANIA DLA PRODUCENTÓW

Dwa rozporządzenia w sprawie wyrobów medycznych 745/2017 (MDR) i 746/2017 (IVDR) (zwane dalej: rozporządzeniami) weszły w życie 25 maja 2017 r. Oba rozporządzenia, które mają zastąpić trzy dyrektywy unijne, stosuje się je stopniowo od 26 maja 2021 r. dla wyrobów medycznych i od 26 maja 2022 r. dla wyrobów medycznych do diagnostyki in vitro.

Wśród wielu wprowadzonych zmian, rozporządzenia znacznie zwiększają nacisk prawodawców na zagwarantowanie, że wyroby wprowadzane do obrotu w UE stawią czoła nowym wyzwaniom technologicznym związanym z zagrożeniami bezpieczeństwa cybernetycznego.

Dlatego rozporządzenia ustanawiają zupełnie nowe wymagania dotyczące cyberbezpieczeństwa wyrobów medycznych, zawierających elektroniczne programowalne systemy i oprogramowanie będące same w sobie wyrobem medycznym.

Rozporządzenia stawiają producentom wymagania polegające na opracowaniu i wytwarzaniu wyrobów medycznych zgodnie z aktualnym stanem wiedzy technicznej, uwzględniającym zasady zarządzania ryzykiem, w tym bezpieczeństwem informacji, a także wskazują by określili oni minimalne wymagania dotyczące środków bezpieczeństwa informatycznego (w tym ochrony przed nieupoważnionym dostępem).

Wobec wielu pytań uczestników rynku Grupa Koordynacyjna ds. Wyrobów Medycznych (MDCG) wydała instrukcje wyjaśniające w zakresie interpretacji załącznika 1 do rozporządzenia 2017/745 w sprawie wyrobów medycznych (MDR) określających cyberbezpieczeństwo wyrobów medycznych.

MDCG składa się z przedstawicieli wszystkich państw członkowskich, a przewodniczy jej przedstawiciel Komisji Europejskiej. MDCG została ustanowiona na mocy art. 103 rozporządzenia MDR i ma służyć radą i pomocą Komisji i państwom członkowskim w zapewnieniu zharmonizowanego wdrażania rozporządzeń w sprawie wyrobów medycznych.

TRZY FILARY CYBERBEZPIECZEŃSTWA WEDŁUG MDCG

Załącznik nr 1 do rozporządzenia MDR stanowi, że producent powinien określić minimalne wymagania dotyczące sprzętu, właściwości sieci IT i środków bezpieczeństwa IT, w tym ochrony przed nieuprawnionym dostępem, które muszą spełniać producenci wyrobów medycznych.

Główną definicją mającą znaczenie dla wszystkich wymogów dotyczących bezpieczeństwa cybernetycznego jest definicja „ryzyka” oznaczającego połączenie prawdopodobieństwa wystąpienia szkody oraz stopnia jej ciężkości. Mimo to MDCG wskazuje, że Załącznik nr 1 do rozporządzeń określa również trzy podstawowe filary, które stanowią podstawę tych wymogów. (sekcja 17.4, 18.8 i 23.4b w MDR oraz sekcja 16.4 i 20.4.1(c) w IVDR).

Filar „bezpieczeństwo IT” w odniesieniu do wyrobów medycznych rozumiany jest jako ochrona oprogramowania przed negatywnymi potencjalnymi interakcjami między tym oprogramowaniem a środowiskiem informatycznym, w którym to oprogramowanie działa i z którym oddziałuje. MDCG wskazuje, że wymagania jakim powinno odpowiadać bezpieczeństwo IT powinny uwzględniać:

  • obowiązek zachowania poufności informacji posiadanych przez producenta,
  • wymagania dotyczące integralności zapewniającej autentyczność i dokładność informacji,
  • oraz dostępności procesów, urządzeń, danych i połączonych systemów.

Filar „Bezpieczeństwo operacyjne” MDCG za Agencją Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) definiuje jako ochronę przed zamierzonym złamaniem procedur lub wadliwym przepływie informacji, których skutki będą niezamierzone przez ich właścicieli, projektantów lub użytkowników. Tą kwestię uwzględniono w sekcji 17.4 i 18.8 załącznika I do MDR oraz w sekcji 16.4 załącznika I do IVDR.

Filar „Bezpieczeństwo informacji” MDCG wskazuje, że zgodnie z definicją ENISA należy rozumieć jako ochronę przed zagrożeniem kradzieży, usunięcia lub zmiany przechowywanych lub przekazywanych danych w ramach systemu informatycznego. Filar ten znajduje odzwierciedlenie w sekcji 17.2 (MDR) lub 16.2 (IVDR).

BEZPIECZEŃSTWO I EFEKTYWNOŚĆ

Rozporządzenia wymagają, aby wyroby medyczne były bezpieczne i efektywne oraz by nie zagrażały stanowi klinicznemu lub bezpieczeństwu pacjentów. Dlatego już na etapie projektowania wyrobu medycznego, producenci muszą uwzględniać wymogi związane z cyberbezpieczeństwem.

Producenci wyrobów medycznych muszą zapewnić, aby wyrób medyczny był projektowany i wytwarzany w sposób całkowicie eliminujący lub przynajmniej minimalizujący ryzyko związane z tzw. racjonalnie przewidywalnymi warunkami środowiskowymi.

MDCG wskazuje, że kwestie bezpieczeństwa muszą być dobrze zaplanowane, a problemy mogą dotyczyć zarówno zbyt słabych jak i zbyt silnych zabezpieczeń:

  • w przypadku słabej kontroli dostępu możliwa będzie np. szkodliwa modyfikacja działania wszczepionego urządzenia,
  • w przypadku zbyt silnych środków bezpieczeństwa zapewniających w normalnych warunkach wysoki poziom ochrony (zwłaszcza jeśli jest niewłaściwie zaprojektowane) może spowodować, że w sytuacji kryzysowej personel medyczny będzie np. mieć ograniczony dostęp do urządzenia wszczepionego pacjentowi.

Dlatego też przy ocenie ryzyka ważne jest uwzględnienie kwestii cyberbezpieczeństwa, nawet w przypadkach, gdy cyberbezpieczeństwo to nie jest bezpośrednio określone w samych rozporządzeniach.

PROJEKTOWANIE I PRODUKCJA

Bezpieczeństwo, ochrona i skuteczność to kluczowe aspekty przy projektowaniu mechanizmów zabezpieczających dla wyrobów medycznych. Dlatego też producenci są zobowiązani do uwzględnienia tych aspektów na wczesnym etapie rozwoju wyrobu i procesu produkcyjnego, a także przez cały cykl życia wyrobu medycznego.

Należy przeprowadzić ocenę ryzyka, identyfikując i oceniając ryzyko związane z bezpieczeństwem i wydajnością wyrobu wynikające z zamierzonego lub przewidywalnego niewłaściwego użycia wyrobu. Następnie ryzyka te muszą być w miarę możliwości zredukowane do akceptowalnego poziomu.

Analiza ryzyka wyrobu pod kątem cyberbezpieczeństwa powinna zatem uwzględniać wpływ luk w zabezpieczeniu na podstawowe funkcjonowanie produktu. Ocena ryzyka może zawierać listę ogólnych zagrożeń cybernetycznych zidentyfikowanych dla wyrobu, takich jak np.: odmowa dostępu, uszkodzenie pamięci, nieautoryzowany dostęp itp.

Przepisy dotyczące wyrobów medycznych wymagają od producentów uwzględnienia najnowszego stanu wiedzy podczas projektowania, opracowywania i unowocześniania wyrobów medycznych w całym cyklu ich życia. Producenci powinni wykazać, że w swoich decyzjach kierują się najnowszym stanem wiedzy (w oparciu o obowiązujące normy, wytyczne, własną wiedzę i publicznie dostępne informacje naukowe/techniczne), jednocześnie wykazując adekwatność do proporcjonalnego uwzględnienia ryzyka w zakresie bezpieczeństwa.

MINIMALNE WYMAGANIA

Załącznik 1 do rozporządzeń zawiera minimalne wymagania stawiane producentom wyrobów medycznych w zakresie cyberbezpieczeństwa. Ryzyko związane z bezpieczeństwem danych i systemów powinno być wyraźnie wymienione w ramach procesu zarządzania ryzykiem, aby uniknąć wątpliwości, że do zarządzania tym obszarem potrzebny byłby odrębny proces. W odniesieniu do ryzyk związanych z bezpieczeństwem powinno stosować się jednak specjalne metody i wymagania.

Elementami tego procesu będą: analiza ryzyka, ocena ryzyka, kontrola ryzyka, ocena szczątkowego ryzyka oraz raportowanie.

Jeżeli ryzyko lub środki kontroli mogą wpływać na bezpieczeństwo i skuteczność, należy je uwzględnić w ocenie ryzyka. Podobnie jak wszelkie kontrole lub rozważania dotyczące ryzyka, które mogą mieć wpływ na bezpieczeństwo, również powinny być włączone do analizy ryzyka.

Dokładne wymagania co do bezpieczeństwa IT powinny być określone w zależności od konkretnego wyrobu medycznego, niemniej producent musi szczególną uwagę zwrócić na elementy takie jak:

  • zapewnienie w środowisku operacyjnemu fizycznego bezpieczeństwa wyrobu medycznego,
  • uwzględnienie w środowisku operacyjnym odpowiednich kontroli bezpieczeństwa.

Producent musi też określić minimalne wymagania dotyczące charakterystyki sieci informatycznych oraz środków dotyczących cyberbezpieczeństwa, w tym ochrony przed nieuprawnionym dostępem, których nie można było zaimplementować w projekcie wyrobu medycznego.

Ponadto producenci muszą dostarczyć przejrzystą instrukcję obsługi z uwzględnieniem zasad cyberbezpieczeństwa oraz wytyczne dotyczące kontroli bezpieczeństwa IT związane ze środowiskiem operacyjnym.

Wszystkie minimalne wymagania dotyczące środowiska operacyjnego dotyczące cyberbezpieczeństwa muszą być również określone w oparciu o szereg zasad wymienionych w wytycznych. Przykładowo: wszystkie sugerowane wymagania dotyczące bezpieczeństwa środowiska operacyjnego muszą opierać się na ocenie ryzyka przeprowadzonej dla danego wyrobu medycznego.

Wyroby medyczne muszą być też jak najbardziej niezależne od innych czynników cyberbezpieczeństwa. Wreszcie, domniemania producenta dotyczące cyberbezpieczeństwa środowiska operacyjnego muszą być jasno określone w instrukcjach i zgodne z najlepszymi praktycznymi standardami bezpieczeństwa.

INNE WYMAGANIA

Istnieje jeszcze szereg innych wymagań dotyczących cyberbezpieczeństwa, które nie są wymienione w załączniku 1 do rozporządzenia MDR, a które producenci muszą uwzględnić.

To na przykład wymagania dotyczące ochrony prywatności i danych, nadzoru po wprowadzeniu do obrotu oraz zgłaszania poważnych incydentów z udziałem wyrobu.

Jednak wymogi te należy interpretować w odniesieniu do konkretnego wyrobu medycznego.

Masz pytania dotyczące nowych regulacji związanych z wyrobami medycznymi? Chętnie odpowiemy na Twoje pytania. Odezwij się do nas na office@ipsolegal.pl lub bezpośrednio z Błażejem Wągielem.

CYBERBEZPIECZEŃSTWO WYROBÓW MEDYCZNYC
Share
Polish