คำแนะนำ IMDRF เกี่ยวกับความปลอดภัยทางไซเบอร์สำหรับอุปกรณ์รุ่นเก่า: การสนับสนุนที่จำกัด การสิ้นสุดบริการ และการประเมินความเสี่ยง | RegDesk

สารบัญ:

International Medical Device Regulators Forum (IMDRF) ซึ่งเป็นสมาคมโดยสมัครใจของหน่วยงานกำกับดูแลระดับประเทศในด้านอุปกรณ์การแพทย์ที่ร่วมมือกันปรับปรุงกรอบการกำกับดูแลที่มีอยู่ต่อไป ได้เผยแพร่เอกสารแนวทางที่อุทิศให้กับเรื่องความปลอดภัยทางไซเบอร์ในบริบทของอุปกรณ์รุ่นเก่า เอกสารนี้ให้ภาพรวมของประเด็นที่สำคัญที่สุดที่ทุกฝ่ายที่เกี่ยวข้องต้องนำมาพิจารณา และยังให้คำแนะนำเพิ่มเติมที่ต้องปฏิบัติตามเพื่อให้มั่นใจถึงประสิทธิภาพอย่างต่อเนื่องของอุปกรณ์ทางการแพทย์ตลอดจนความปลอดภัยของผู้ป่วย ในเวลาเดียวกัน เอกสารเองไม่มีผลผูกพันตามกฎหมาย และไม่ได้มีวัตถุประสงค์เพื่อแนะนำกฎใหม่หรือกำหนดภาระผูกพันใหม่ ยิ่งไปกว่านั้น คำแนะนำที่ให้ไว้ในนั้นอาจมีการเปลี่ยนแปลงได้ หากการเปลี่ยนแปลงดังกล่าวมีความจำเป็นตามสมควรเนื่องจากข้อมูลใหม่ที่มีให้สำหรับทางการและ IMDRF 

IMDRF รับทราบว่าอุปกรณ์ทางการแพทย์บางอย่างที่ได้รับอนุญาตให้วางตลาดและใช้งานได้จริงอาจใช้งานได้นานกว่าอายุการใช้งานที่คาดไว้ แม้จะไม่ได้รับการสนับสนุนจากผู้ผลิตรายแรกก็ตาม ในกรณีดังกล่าว พวกเขาไม่ได้รับการอัปเดตและแพตช์ความปลอดภัยที่มีไว้สำหรับจัดการกับภัยคุกคามความปลอดภัยทางไซเบอร์ใหม่ๆ ที่เกิดขึ้น ส่งผลให้ผู้ใช้อุปกรณ์ดังกล่าวมีความเสี่ยงด้านความปลอดภัยทางไซเบอร์เพิ่มเติม แนวทางปัจจุบันอธิบายถึงแนวทางที่ต้องปฏิบัติตามโดยทุกฝ่ายที่เกี่ยวข้องในการดำเนินงานกับอุปกรณ์ทางการแพทย์ รวมทั้งผู้ผลิตอุปกรณ์ทางการแพทย์และสถานพยาบาล เนื่องจากประเด็นที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์อยู่ในความรับผิดชอบร่วมกันของทุกฝ่าย 

โดยเฉพาะอย่างยิ่ง เอกสารอธิบายรายละเอียดเฉพาะขั้นตอนของ Total Product Life Cycle (TPLC) และเน้นเรื่องที่สำคัญที่สุดที่ต้องพิจารณาในแต่ละขั้นตอนจากมุมมองด้านความปลอดภัยทางไซเบอร์

การสนับสนุนที่จำกัด

ตามคำแนะนำ อุปกรณ์ที่อยู่ในระยะการสนับสนุนจำกัด ซึ่งเป็นขั้นที่สาม เป็นผลิตภัณฑ์ที่:

1. ใช้สำหรับให้การดูแลผู้ป่วยและ 
2. ได้รับการประกาศ EOL โดยผู้ผลิตอุปกรณ์การแพทย์ และขณะนี้ผู้ผลิตอุปกรณ์ทางการแพทย์ของตนไม่ได้ทำการตลาดหรือจำหน่าย หรือ
3. มีซอฟต์แวร์ เฟิร์มแวร์ หรือส่วนประกอบฮาร์ดแวร์ที่ตั้งโปรแกรมได้ (เช่น CPU) ซึ่ง (ก) นักพัฒนาไม่รองรับ และ (ข) มีความเสี่ยงต่อความปลอดภัยและประสิทธิภาพของอุปกรณ์ลดลง ส่งผลให้อุปกรณ์สามารถป้องกันภัยคุกคามความปลอดภัยทางไซเบอร์ในปัจจุบันได้อย่างสมเหตุสมผล . 

ตามที่ IMDRF อธิบายเพิ่มเติม ในขั้นตอนนี้ ผู้ผลิตอุปกรณ์การแพทย์ยังคงมีหน้าที่รับผิดชอบในการจัดการกับภัยคุกคามความปลอดภัยทางไซเบอร์ทุกครั้งที่ทำได้ ตัวอย่างเช่น ไม่ควรเป็นไปได้สำหรับผู้ผลิตรายแรกในการพัฒนาการอัปเดต อาจใช้ผลิตภัณฑ์ของบุคคลที่สามที่เข้ากันได้ 

ในขั้นตอนนี้ อุปกรณ์ต้องอาศัยมาตรการรักษาความปลอดภัยและการควบคุมที่ออกแบบโดยการออกแบบ ในเวลาเดียวกัน ผู้ผลิตผลิตภัณฑ์เริ่มต้นควรแจ้งให้ผู้ใช้ทราบอย่างถูกต้องเกี่ยวกับข้อจำกัดหรือภัยคุกคามใดๆ ที่อาจยังคงมีอยู่ และแจ้งข้อมูลเกี่ยวกับมาตรการป้องกันความปลอดภัยเพิ่มเติมที่ต้องดำเนินการ เมื่อเปรียบเทียบกับผลิตภัณฑ์ในขั้นตอนที่สอง อุปกรณ์ที่อยู่ในขั้นตอนที่สามมักจะต้องการการควบคุมการชดเชยเพิ่มเติม

สิ้นสุดการให้บริการ

ขั้นตอนที่สี่ – สิ้นสุดการบริการ (EOS) – ใช้กับอุปกรณ์ทางการแพทย์ที่:

• ใช้สำหรับให้การดูแลผู้ป่วยและ
• ได้รับการประกาศให้เป็น EOS โดยผู้ผลิตอุปกรณ์ทางการแพทย์ และขณะนี้ผู้ผลิตอุปกรณ์ทางการแพทย์ของตนไม่ได้ทำการตลาดหรือจำหน่าย หรือ
• มีซอฟต์แวร์ เฟิร์มแวร์ หรือส่วนประกอบฮาร์ดแวร์ที่ตั้งโปรแกรมได้ (เช่น CPU) ซึ่ง (ก) นักพัฒนาไม่รองรับ และ (ข) มีความเสี่ยงต่อความปลอดภัยและประสิทธิภาพของอุปกรณ์ไม่ลดลง ส่งผลให้อุปกรณ์ไม่สามารถป้องกันได้อย่างสมเหตุสมผลจากความปลอดภัยทางไซเบอร์ในปัจจุบัน ภัยคุกคาม 

นอกจากนี้ ยังระบุด้วยว่าผู้ผลิตอุปกรณ์ทางการแพทย์ควรแจ้งให้ผู้ใช้ทราบว่าอุปกรณ์ดังกล่าวจะไม่รองรับอีกต่อไป และแจ้งข้อมูลเกี่ยวกับความเสี่ยงที่อาจเกิดขึ้นและวิธีที่พวกเขาสามารถบรรเทาได้

การประเมินความเสี่ยง

เอกสารยังอธิบายแนวทางที่จะนำไปใช้เกี่ยวกับการประเมินความเสี่ยงเพื่อกระตุ้นการเปลี่ยนแปลงไปสู่ระยะวงจรชีวิตที่แตกต่างกัน โดยเฉพาะอย่างยิ่ง IMDRF ระบุว่าวันที่ EOS มาถึงสำหรับอุปกรณ์ทางการแพทย์และส่วนประกอบซอฟต์แวร์อาจแตกต่างกัน เช่น ส่วนประกอบซอฟต์แวร์ของบุคคลที่สามโดยรู้เท่าทันอาจมีอายุการใช้งานที่รองรับสั้นลงเมื่อขายอุปกรณ์ หรืออาจประกาศไม่รองรับกะทันหันเป็นเวลาหลายปีก่อนที่ผู้ผลิตอุปกรณ์ทางการแพทย์จะประกาศวันที่สิ้นสุดบริการ ดังนั้น ในกรณีที่ทราบการสนับสนุนส่วนประกอบซอฟต์แวร์ที่พัฒนาโดยบุคคลที่สามล่วงหน้า ผู้ผลิตควรจัดทำแผนครอบคลุมความเสี่ยงที่เกิดขึ้นในส่วนนี้ นอกจากนี้ IMDRF ยังเน้นย้ำถึงความสำคัญของการจัดการความเสี่ยงที่เกี่ยวข้องกับการประกาศ EOS อย่างกะทันหันที่อาจเกิดขึ้นโดยไม่ซิงโครไนซ์กับตัวอุปกรณ์เอง ในแง่นี้ควรพิจารณาแนวทางต่อไปนี้:

• หากความคิดเห็นเดียวภายในอุปกรณ์กลายเป็น EOL/EOS สิ่งนี้จะทำหน้าที่เป็นตัวกระตุ้นให้ MDM ทำการประเมินความเสี่ยงเพื่อพิจารณาว่าความเสี่ยงด้านความปลอดภัยของผู้ป่วยเกิดขึ้นหรือไม่ และหากเกิดขึ้น จะเป็นประเภทใด 
• หากมีผลกระทบต่อความปลอดภัยของผู้ป่วยและอุปกรณ์อยู่ในขั้นการสนับสนุน MDM ควรพยายามลดความเสี่ยงของส่วนประกอบที่ไม่รองรับผ่านการอัปเดตหรือการเปลี่ยนแปลงการออกแบบอื่นๆ 
• หากมีผลกระทบต่อความปลอดภัยของผู้ป่วยและอุปกรณ์อยู่ในขั้นการสนับสนุนที่จำกัด MDM ควรพยายามลดความเสี่ยงของส่วนประกอบที่ไม่ได้รับการสนับสนุน (เช่น ผ่านการเปลี่ยนแปลงการออกแบบหรือการควบคุมการชดเชย) 

โดยสรุป เอกสารคำแนะนำของ IMDRF ฉบับปัจจุบันอธิบายรายละเอียดแนวทางที่จะนำไปใช้ในบริบทของการประเมินความเสี่ยง และยังให้คำชี้แจงเพิ่มเติมเกี่ยวกับขั้นตอน "การสนับสนุนแบบจำกัด" และ "สิ้นสุดการบริการ" ของวงจรชีวิตผลิตภัณฑ์ทั้งหมด เอกสารนี้เน้นย้ำถึงความสำคัญของการแนะนำมาตรการเพิ่มเติมที่จำเป็นเพื่อให้มั่นใจในความปลอดภัยและประสิทธิภาพที่เหมาะสมของอุปกรณ์ทางการแพทย์ เมื่อผู้ผลิตไม่ได้รับการสนับสนุนอีกต่อไป

แหล่งที่มา:

https://www.imdrf.org/documents/principles-and-practices-cybersecurity-legacy-medical-devices

RegDesk สามารถช่วยได้อย่างไร?

RegDesk เป็นระบบการจัดการข้อมูลกฎระเบียบแบบองค์รวมที่จัดหาอุปกรณ์การแพทย์และบริษัทยาด้วยข่าวกรองด้านกฎระเบียบสำหรับตลาดกว่า 120 แห่งทั่วโลก สามารถช่วยคุณจัดเตรียมและเผยแพร่แอปพลิเคชันทั่วโลก จัดการมาตรฐาน ดำเนินการประเมินการเปลี่ยนแปลง และรับการแจ้งเตือนตามเวลาจริงเกี่ยวกับการเปลี่ยนแปลงกฎระเบียบผ่านแพลตฟอร์มส่วนกลาง ลูกค้าของเรายังสามารถเข้าถึงเครือข่ายผู้เชี่ยวชาญด้านการปฏิบัติตามกฎระเบียบกว่า 4000 แห่งทั่วโลกเพื่อรับการยืนยันสำหรับคำถามที่สำคัญ การขยายตัวทั่วโลกไม่เคยง่ายอย่างนี้มาก่อน