IMDRF בנושא אבטחת סייבר למכשירים מדור קודם (שלב תמיכה – תקשורת) - RegDesk

IMDRF בנושא אבטחת סייבר עבור מכשירים מדור קודם (שלב תמיכה – תקשורת) – RegDesk

חותמת זמן: 18 ביוני 2023 1:13
צומת המקור: 2750699

המאמר החדש מתאר בפירוט את הגישה שיש ליישם בהתייחס לנושאים הקשורים לתקשורת בשלב התמיכה של מחזור החיים הכולל של המוצר.

תוכן עניינים:

פורום הרגולטורים הבינלאומי של מכשירים רפואיים (IMDRF), איגוד רשויות רגולציה לאומיות המשתפות פעולה לשיפור נוסף של המסגרת הרגולטורית הקיימת, פרסם מסמך הנחיות המוקדש לעקרונות ופרקטיקות לאבטחת הסייבר של מכשירים רפואיים מדור קודם - אלה שאינם נתמך זמן רב יותר על ידי היצרנים הראשוניים שלהם - מכיוון שמוצרים כאלה עלולים להיות פגיעים במיוחד לאיומי אבטחת סייבר עקב אי קבלת עדכונים ותיקונים בזמן שהם עדיין בשימוש. המסמך מדגיש את נקודות המפתח שיש לקחת בחשבון על ידי יצרני מכשור רפואי, כמו גם אנשי מקצוע בתחום הבריאות, על מנת להבטיח את הביצועים התקינים של מכשור רפואי מדור קודם ואת בטיחות המטופלים. יחד עם זאת, הוראות ההדרכה אינן מחייבות במהותן המשפטית, ואינן נועדו להכניס כללים חדשים או להטיל חובות חדשות. ה-IMDRF גם מבטל את הזכות לתקן את ההנחיות וההמלצות הניתנות בהן, אם שינויים כאלה יהיו נחוצים באופן סביר כדי לשקף את התיקונים שהוכנסו לתקנות הבסיסיות או שהמידע החדש יהפוך לזמין. 

כמו כן, חשוב להזכיר כי ענייני אבטחת סייבר נמצאים באחריות המשותפת של כל הגורמים המעורבים בפעולות עם מכשור רפואי, ולכן שיתוף הפעולה היעיל ביניהם חשוב ביותר. 

המסמך מתאר בפירוט את השיקולים המרכזיים הקשורים לכל שלב ספציפי במחזור החיים הכולל של המוצר (TPLC). המאמר הנוכחי מוקדש לאלו הקשורים לשלב מחזור חיי התמיכה ומתאר את האחריות העיקרית של הצדדים המעורבים, כמו גם את הציפיות הרלוונטיות.

תקשורת: כללי

ראשית, המסמך מתאר את הגישה שיש ליישם ביחס לתקשורת. כפי שהוזכר קודם לכן, תקשורת חשובה ביותר כדי להבטיח אבטחת סייבר ולעמוד באיומים הרלוונטיים. המסמך מדגיש בנוסף את חשיבות ההבטחה שכל התקשורת בשלב התמיכה תהיה מקיפה. על פי ההנחיה, כשלב ראשון, כל גורם המעורב בפעולות עם מכשור רפואי צריך להתחיל בקביעת היקף התיעוד והמידע הנדרש לו, וכן את העיתוי הנכון לקבלתו. לאחר שנקבע, יש להעביר דרישות אלה לגורמים אחרים המעורבים ולהסכים אותם. ההנחיה מספקת המלצות כלליות שיש לקחת בחשבון, בעוד שהגישה הספציפית שיש ליישם צריכה להיקבע על בסיס כל מקרה לגופו.

המלצות: יצרני מכשור רפואי

ה-IMDRF מתחיל בהתוויית ההמלצות שעליהם לפעול על ידי יצרני מכשור רפואי. על פי ההנחיות, על האחרון:

  1. ספק תיעוד אבטחת המוצר הנחוץ באופן סביר על ידי צדדים אחרים כדי להבטיח את הבטיחות והביצועים התקינים של המכשיר הרפואי הנדון כאשר נעשה בו שימוש למטרה המיועדת לו, המכסה גם את העניינים הקשורים לסיכונים. על פי ההנחיות, תיעוד מתאים עשוי לכלול:
    1. הצהרת גילוי יצרן לאבטחת מכשיר רפואי (MDS2);
    2. חוק תוכנה (SBOM);
    3. סיכומים של דוחות בדיקות אבטחה, אישורי אבטחה של צד שלישי או דומה;
    4. תיעוד אבטחת לקוחות (למשל, הוראות טכניות להבטחת פריסה, תפעול ושירות מאובטחים, כולל מידע על הממשקים, פרוטוקולי התקשורת והרשת, ענן או תלות בתקשורת עבור המערכת).  
  2. ספק תיעוד מחזור חיים של המוצר - זה הקשור לאבני דרך מרכזיות המשפיעות על מצב המכשיר (למשל, התאריך שבו תופסק התמיכה הנוכחית), כמו גם פרטים על הליכי ההתקנה. ההנחיות מדגישות בנוסף את החשיבות של מתן מידע מוקדם ככל האפשר - מספר השנתיים ניתן כהתייחסות בהתבסס על הנהלים הקיימים. בפרט, יצרני מכשור רפואי צפויים לספק מידע הקשור ל:
  • מכשיר מושפע,
  • מערכות ההפעלה של המכשיר,
  • גרסת המכשיר שנפרסה,
  • זיהוי רכיבי תוכנה,
  • התאריך הצפוי לשינויים בשירות,
  • היקף התחזוקה הזמינה לאחר שינויים אלו,
  • בקרות מפצות נוספות. 
    1. ספק תיעוד רלוונטי מעודכן לאבטחת המוצר ומחזור החיים. ה-IMDRF מכיר בכך שתיעוד הקשור לאבטחה עשוי להיות נתון לשינויים לאורך מחזור החיים של המוצר. על מנת להבטיח שהשינויים החשובים מועברים כראוי לכל הצדדים המעורבים, יצרן המכשור הרפואי אחראי על הנפקה והפצה של העדכונים (יכולים להיות בצורה אלקטרונית) המתארים את הגישה שיש ליישם לטיפול בסיכונים החדשים שזוהו. 
    2. ספק מידע על פגיעות ותיקון. על פי ההנחיה, ברגע שמתגלה פגיעות חדשה, אחראי יצרן מכשור רפואי לספק את המידע הרלוונטי, כמו גם את הפרטים על הדרך בה ניתן יהיה לצמצם את הפגיעות האמורה בהצלחה. כפי שהוסבר עוד על ידי IMDRF, מצופה שיש לתת עדיפות גבוהה לפגיעויות בסיכון גבוה שבהן נדרשת תקשורת בזמן כדי למנוע נזק למטופל או הפרעה למכשיר; בנוסף, יש לספק למפעילי המכשירים את שיטת ההפחתה (למשל, עדכון באוויר, פריסת צוות שירות להתקנה) ומכשירי יישום. 
    3. לספק תקשורת יזומה עבור רכיבי צד שלישי. לפעמים הרכיבים המשמשים למכשיר יגיעו לסוף התמיכה לפני המכשירים הכוללים, ויצרו סיכונים נוספים עקב היעדר תמיכה ברכיבים כאלה. על מנת להתמודד עם סיכונים כאלה, יצרני מכשור רפואי צריכים:
  • עקוב אחר מצב התמיכה של רכיבי הצד השלישי המשמשים במכשיר שלהם;
  • להעריך את הסיכונים העשויים להתקיים אם וכאשר רכיבי צד שלישי אלה יהפכו ללא תמיכה;
  • מסור לספקי שירותי בריאות סיכונים חדשים וכל אמצעי מניעה זמינים. 

מלבד ההיבטים האמורים לעיל, יצרני מכשור רפואי אחראים גם להעברת מידע חשוב על שלבי מחזור החיים של המוצר למטופלים. 

המלצות: ספקי שירותי בריאות

המסמך גם מתאר את ההמלצות שעליהם לפעול על ידי ספקי שירותי בריאות המשתמשים במכשירים רפואיים במהלך ואחרי תום תקופת השימוש המיועדת שלהם. על פי ההנחיות, לגבי שלב התמיכה, ספקי שירותי בריאות צריכים:

  1. זיהוי צורכי מידע עבור כל המוצרים שבהם הם משתמשים. 
  2. תקשורת טרום רכש - בקשת מידע חשוב ליצרני המכשור הרפואי מראש, לפני רכישת המכשיר. 

לסיכום, הנחיות IMDRF הנוכחיות מתארות את השיקולים המרכזיים הקשורים לשלב התמיכה של מחזור החיים הכולל של המוצר. המסמך מדגיש את ההיבטים החשובים ביותר ומתאר גם את תחומי האחריות של כל הצדדים המעורבים.

מקורות:

https://www.imdrf.org/documents/principles-and-practices-cybersecurity-legacy-medical-devices

כיצד RegDesk יכול לעזור?

RegDesk היא מערכת הוליסטית לניהול מידע רגולטורי המספקת לחברות מכשור רפואי ופארמה אינטליגנציה רגולטורית עבור למעלה מ-120 שווקים ברחבי העולם. זה יכול לעזור לך להכין ולפרסם יישומים גלובליים, לנהל תקנים, להפעיל הערכות שינויים ולקבל התראות בזמן אמת על שינויים רגולטוריים באמצעות פלטפורמה מרכזית. ללקוחות שלנו יש גם גישה לרשת שלנו של למעלה מ-4000 מומחי תאימות ברחבי העולם כדי לקבל אימות בשאלות קריטיות. התרחבות גלובלית מעולם לא הייתה פשוטה כל כך.

<!–

רוצים לדעת עוד על הפתרונות שלנו? דבר עם מומחה RegDesk עוד היום!

->

בול זמן:

עוד מ Reg Desk