IMDRF về an ninh mạng cho các thiết bị cũ (giai đoạn hỗ trợ – giao tiếp) – RegDesk

Mục lục:

Diễn đàn quản lý thiết bị y tế quốc tế (IMDRF), một hiệp hội gồm các cơ quan quản lý quốc gia hợp tác để cải thiện hơn nữa khung pháp lý hiện hành, đã xuất bản một tài liệu hướng dẫn dành riêng cho các nguyên tắc và thực hành về an ninh mạng của các thiết bị y tế cũ – những thiết bị không còn tồn tại. được các nhà sản xuất ban đầu hỗ trợ lâu hơn – vì những sản phẩm như vậy có thể đặc biệt dễ bị đe dọa an ninh mạng do không nhận được bản cập nhật và bản vá khi vẫn đang được sử dụng. Tài liệu nêu bật những điểm chính cần được các nhà sản xuất thiết bị y tế cũng như các chuyên gia chăm sóc sức khỏe cân nhắc để đảm bảo hoạt động phù hợp của các thiết bị y tế cũ và sự an toàn của bệnh nhân. Đồng thời, các quy định trong hướng dẫn này không có tính chất ràng buộc về mặt pháp lý và cũng không nhằm mục đích đưa ra các quy định mới hoặc áp đặt các nghĩa vụ mới. IMDRF cũng đảo ngược quyền sửa đổi hướng dẫn và khuyến nghị được cung cấp trong đó, nếu những thay đổi đó là cần thiết một cách hợp lý để phản ánh những sửa đổi được đưa ra đối với các quy định cơ bản hoặc có thông tin mới. 

Điều quan trọng cần đề cập là các vấn đề an ninh mạng thuộc trách nhiệm chung của tất cả các bên liên quan đến hoạt động với các thiết bị y tế, vì vậy sự hợp tác hiệu quả của họ là cực kỳ quan trọng. 

Tài liệu mô tả chi tiết những cân nhắc chính liên quan đến từng giai đoạn cụ thể của toàn bộ vòng đời sản phẩm (TPLC). Bài viết hiện tại dành riêng cho những vấn đề liên quan đến Giai đoạn Vòng đời Hỗ trợ và nêu ra các trách nhiệm chính của các bên liên quan cũng như những kỳ vọng liên quan.

Truyền thông: Chung

Trước hết, tài liệu này mô tả cách tiếp cận được áp dụng trong lĩnh vực truyền thông. Như đã đề cập trước đó, thông tin liên lạc là cực kỳ quan trọng để đảm bảo an ninh mạng và chống lại các mối đe dọa liên quan. Tài liệu này cũng nhấn mạnh thêm tầm quan trọng của việc đảm bảo rằng tất cả thông tin liên lạc trong giai đoạn Hỗ trợ đều toàn diện. Theo hướng dẫn, bước đầu tiên là mỗi bên tham gia vận hành thiết bị y tế nên bắt đầu bằng việc xác định phạm vi tài liệu và thông tin mà mình yêu cầu, cũng như thời điểm thích hợp để có được tài liệu và thông tin đó. Sau khi được xác định, những yêu cầu này phải được truyền đạt và thống nhất với các bên liên quan khác. Hướng dẫn đưa ra các khuyến nghị chung cần được xem xét, trong khi phương pháp tiếp cận cụ thể được áp dụng phải được xác định tùy theo từng trường hợp cụ thể.

Khuyến nghị: Nhà sản xuất thiết bị y tế

IMDRF bắt đầu bằng việc phác thảo các khuyến nghị mà các nhà sản xuất thiết bị y tế phải tuân theo. Theo hướng dẫn, sau này nên:

1. Cung cấp tài liệu bảo mật sản phẩm mà các bên khác cần một cách hợp lý để đảm bảo sự an toàn và hoạt động phù hợp của thiết bị y tế được đề cập khi sử dụng đúng mục đích đã định, bao gồm cả các vấn đề liên quan đến rủi ro. Theo hướng dẫn, tài liệu phù hợp có thể bao gồm:
1. Tuyên bố Tiết lộ của Nhà sản xuất về Bảo mật Thiết bị Y tế (MDS2);
2. Hóa đơn Vật liệu Phần mềm (SBOM);
3. Tóm tắt báo cáo kiểm tra bảo mật, chứng nhận bảo mật của bên thứ ba hoặc tương tự;
4. Tài liệu Bảo mật Khách hàng (ví dụ: hướng dẫn kỹ thuật để đảm bảo triển khai, vận hành và cung cấp dịch vụ an toàn bao gồm thông tin về giao diện, giao thức truyền thông và mạng, Đám mây hoặc các phụ thuộc truyền thông cho hệ thống).  
2. Cung cấp Tài liệu về Vòng đời Sản phẩm – tài liệu liên quan đến các mốc quan trọng ảnh hưởng đến trạng thái của thiết bị (ví dụ: ngày ngừng hỗ trợ hiện tại), cũng như thông tin chi tiết về quy trình cài đặt. Hướng dẫn này cũng nhấn mạnh tầm quan trọng của việc cung cấp thông tin trước càng sớm càng tốt - khoảng thời gian 2 năm được cung cấp làm tài liệu tham khảo dựa trên thực tiễn hiện tại. Đặc biệt, các nhà sản xuất thiết bị y tế dự kiến ​​​​sẽ cung cấp thông tin liên quan đến:

• Thiết bị bị ảnh hưởng,

• (Các) hệ điều hành của thiết bị,

• Phiên bản của thiết bị được triển khai,

• Xác định các thành phần phần mềm,

• Ngày dự kiến ​​thay đổi dịch vụ,

• Mức độ bảo trì có sẵn sau những thay đổi đó,

• Kiểm soát bù đắp bổ sung. 

1. Cung cấp Tài liệu về vòng đời và bảo mật sản phẩm được cập nhật có liên quan. IMDRF thừa nhận rằng tài liệu liên quan đến bảo mật có thể thay đổi trong suốt vòng đời của sản phẩm. Để đảm bảo những thay đổi quan trọng được truyền đạt hợp lệ tới tất cả các bên liên quan, nhà sản xuất thiết bị y tế chịu trách nhiệm phát hành và phân phối các bản cập nhật (có thể ở dạng điện tử) mô tả phương pháp được áp dụng để giải quyết các rủi ro mới được xác định. 
2. Cung cấp thông tin về lỗ hổng và bản vá. Theo hướng dẫn, khi phát hiện ra lỗ hổng mới, nhà sản xuất thiết bị y tế có trách nhiệm cung cấp thông tin liên quan cũng như các chi tiết về cách giảm thiểu thành công lỗ hổng nói trên. Như IMDRF giải thích thêm, dự kiến ​​rằng nên đặt ưu tiên cao cho các lỗ hổng có nguy cơ cao, trong đó cần phải liên lạc kịp thời để ngăn ngừa tổn hại cho bệnh nhân hoặc làm gián đoạn thiết bị; Ngoài ra, phương pháp giảm thiểu (ví dụ: cập nhật qua mạng, triển khai nhân viên dịch vụ để cài đặt) và các công cụ triển khai cần được cung cấp cho người vận hành thiết bị. 
3. Cung cấp thông tin liên lạc chủ động cho các thành phần của bên thứ ba. Đôi khi các thành phần được sử dụng cho thiết bị sẽ hết hỗ trợ trước các thiết bị tổng thể, tạo ra thêm rủi ro do không được hỗ trợ cho các thành phần đó. Để giải quyết những rủi ro như vậy, các nhà sản xuất thiết bị y tế nên:

• Theo dõi trạng thái hỗ trợ của các thành phần bên thứ ba được sử dụng trong thiết bị của họ;

• Đánh giá những rủi ro có thể tồn tại nếu và khi các thành phần của bên thứ ba đó không được hỗ trợ;

• Truyền đạt những rủi ro mới và mọi biện pháp giảm thiểu có sẵn cho các nhà cung cấp dịch vụ chăm sóc sức khỏe. 

Ngoài các khía cạnh nêu trên, các nhà sản xuất thiết bị y tế còn chịu trách nhiệm truyền đạt thông tin quan trọng về các giai đoạn trong vòng đời sản phẩm tới bệnh nhân. 

Khuyến nghị: Nhà cung cấp dịch vụ chăm sóc sức khỏe

Tài liệu cũng nêu ra các khuyến nghị mà các nhà cung cấp dịch vụ chăm sóc sức khỏe phải tuân theo khi sử dụng các thiết bị y tế trong và sau khi hết thời gian sử dụng dự kiến. Theo hướng dẫn, đối với giai đoạn hỗ trợ, nhà cung cấp dịch vụ chăm sóc sức khỏe nên:

1. Xác định nhu cầu thông tin cho tất cả các sản phẩm họ đang sử dụng. 
2. Liên lạc trước khi mua sắm – yêu cầu trước thông tin quan trọng cho các nhà sản xuất thiết bị y tế trước khi mua sắm thiết bị. 

Tóm lại, hướng dẫn IMDRF hiện tại nêu ra những cân nhắc chính liên quan đến giai đoạn hỗ trợ trong tổng vòng đời sản phẩm. Tài liệu nêu bật những khía cạnh quan trọng nhất và cũng mô tả trách nhiệm của tất cả các bên liên quan.

Nguồn:

https://www.imdrf.org/documents/principles-and-practices-cybersecurity-legacy-medical-devices

RegDesk có thể trợ giúp như thế nào?

RegDesk là một Hệ thống quản lý thông tin quy định toàn diện, cung cấp cho các công ty dược phẩm và thiết bị y tế thông tin tình báo về quy định cho hơn 120 thị trường trên toàn thế giới. Nó có thể giúp bạn chuẩn bị và xuất bản các ứng dụng toàn cầu, quản lý các tiêu chuẩn, chạy các đánh giá thay đổi và nhận các cảnh báo theo thời gian thực về các thay đổi quy định thông qua một nền tảng tập trung. Khách hàng của chúng tôi cũng có quyền truy cập vào mạng lưới hơn 4000 chuyên gia tuân thủ trên toàn thế giới của chúng tôi để xác minh các câu hỏi quan trọng. Việc mở rộng toàn cầu chưa bao giờ đơn giản đến thế.