החידושים הדיגיטליים בעולם הרפואה מציבים סיכונים רבים למגזר הבריאות – פריצות, גניבת מידע מרשומות רפואיות, שינוי מינוני תרופות, שיבוש מכשור רפואי מוסדי ואישי ועד השבתת מערכות מצילות חיים. היום, כדי לקבל אישור רגולטורי מFDA או/ו CE, יצרנים מחויבים לבצע תהליך ניהול סיכוני אבטחת מידע ובקרה אחת לתקופה ולהציג דוח מסכם. על מנת להיכנס אל השוק עם פיתוחים חדשים בתחום הבריאות והמכשור הרפואי – חשוב להכיר את דרישות הרגולציה לכל אורך מחזור החיים של המוצר.
המהפכה הדיגיטלית המכונה Internet of Things (IoT)פורצת גם אל תוך עולם הרפואה ושירותי הבריאות, כך שהיום כבר מדברים על Internet of Medical Things (IoMT) ועל (Software as a Medical Device (SaMD . החדשנות הדיגיטלית במכשור רפואי, הן בבית והן בבית חולים מעשירה את תחום שירותי הבריאות, אך בו בזמן גם מגדילה את האיום של התקפות סייבר ופריצות מכשור רפואי והרשת שאליה מחובר מכשור כזה.
ההשלכות של התקפות אלו באיחוד האירופי, הן דרישות MDR והן דרישות IVDR, מחייבות התייחסות מפורטת לאבטחת סייבר של מכשור רפואי, ומנחה את היצרנים כיצד למלא את כל הדרישות החיוניות הרלוונטיות לגבי אבטחת סייבר.
ה-FDA שואף אף הוא לשפר את אבטחת הסייבר של מכשירים רפואיים, ובהתאם יצאה לאחרונה טיוטת הנחיה המנחה לאבטחה לאורך כל מחזור החיים של המוצר (TPLC). טיוטת ההנחיות של ה-FDA בנושא אבטחת סייבר של מכשור רפואי מפרטת את ישום הדרישות הרגולטוריות הקיימות.
מהו תהליך מבוקר של אבטחת מידע?
ה-FDA פרסם שתי סוגי הנחיות בנוגע לאבטחת סייבר –
האחת בשלב התכנון והפיתוח של המערכת (PREMARKETING)
והשנייה לשלב בו המוצר נמכר בשוק (POSTMARKETING).
על מנת לקבל אישור רגולטורי על היצרנים להוכיח שכל הדרישות מיושמות.
גם בשוק האירופאי MDR, פרסמו MDCG 2019-16 GUIDANCE הכולל הנחיות לכל חיי המוצר.
תהליך סייבר בדומה לרוב התהליכים של מערכות רפואיות מורכב ממיפוי הסיכונים הפוטנציאליים, ביצוע פעולות מנע במטרה להפחית את הסיכון, אימות שהפעולות האלו אכן מורידות את הסיכון, ובקרה ושיפור מתמיד.
אחת הדרכים לאמת את אבטחת המידע שלנו במערכת לאחר המימוש, הוא ביצוע מבחני חדירה – penetration test .כל מערכת שנמצאת ברמת סיכון גבוה לפריצת סייבר, מחויבת לעבור מבחני חדירה באופן שוטף, התדירות נקבעת לפי רמת הסיכון ויש להגיש את הדוח לרגולטור כהוכחה לביצוע.
בנוסף, הרי אי אפשר למנוע לגמרי את הפריצות, על היצרן להציג מה הוא עושה במידה וכן מתרחשת פריצה, כיצד ממזערים את הנזקים, וכל זה בהתחשב בסיכונים פוטנציאליים ללקוח ולשמירה על פרטיות.
הנחיות ה-FDA:
הנחיית ה-FDA מציגה את מסגרת פיתוח מוצר מאובטח (SPDF), המקיפה את כל ההיבטים של מחזור החיים של המוצר, כולל פיתוח, שחרור, תמיכה והשבתה כדי לעמוד בתקנות מערכת האיכות (QSR):
1. אבטחת סייבר היא חלק בלתי נפרד מבטיחות המכשירים ומה-QSR
2. אבטחה בתכנון
3. שקיפות
4. ניהול סיכוני אבטחה
5. ארכיטקטורת אבטחה
6. בדיקות אובייקטיביות
הנחיית אבטחת הסייבר של ה-FDA תחייב את היצרנים לגבי התוכנה, הקושחה, לוגיקת התכנות – תוכנה כמכשיר רפואי (SaMD), מזעור סיכוני אבטחת הסייבר הקשורים לתכנון, לבטיחות ולשימוש של מכשירים אלו.
היצרנים יהיו מחויבים ליצור ולתחזק מערכות ניהול איכות וניהול סיכונים המשמשות לניהול אבטחת סייבר של מכשור רפואי כדי להוכיח תאימות. ה-FDA דורש ניטור מתמיד ופעולות מתקנות ומניעתיות מיצרני מכשור רפואי, לצד תקשורת עם משתמשי מיכשור רפואי כדי לבסס את המודעות שלהם לאיומי אבטחת סייבר.
קבלת אישור רגולטורי, אם כן, מחייבת הכרות עם הדרישות וביצוע כלל ההנחיות לאורך מחזור החיים של המוצר והתייחסות מתמדת לאיומי אבטחת המידע.
