Zapewnienie cyberbezpieczeństwa wyrobów medycznych w Korei Południowej
5 min czytania

W miarę postępu technologicznego rozwijają się również wyroby medyczne, które są używane do podtrzymywania życia. Podczas gdy w Korei Południowej opracowano różne typy wyrobów medycznych zdolnych do komunikacji, rozwojowi towarzyszy ryzyko zagrożeń cyberbezpieczeństwa, takich jak włamania do wyrobów medycznych i wycieki informacji. Zagrożenia te dotyczą nie tylko strat materialnych, ale także życia pacjentów, dlatego ochrona cyberbezpieczeństwa wyrobów medycznych jest kluczową kwestią.

Aby rozwiać te obawy, rząd Korei Południowej ustanowił wytyczne dotyczące zatwierdzania cyberbezpieczeństwa (Guide-0995-03 2023.07.13) i przeglądu wyrobów medycznych. Koreańskie przepisy dotyczące wyrobów medycznych mają na celu zapewnienie zarządzania bezpieczeństwem wyrobów medycznych zdolnych do komunikacji, a tym samym podkreślają znaczenie cyberbezpieczeństwa dla wyrobów medycznych.

Dlaczego wytyczne dotyczące cyberbezpieczeństwa są wymagane?

Wyroby medyczne często są wszczepiane do ciał pacjentów, aby pełnić funkcje podtrzymujące życie, co oznacza, że każde zagrożenie cyberbezpieczeństwa może mieć poważne, a nawet śmiertelne konsekwencje. Wytyczne dotyczące cyberbezpieczeństwa wyrobów medycznych mają na celu zapobieganie takim zagrożeniom poprzez zapewnienie, że urządzenia są bezpieczne, a przesyłane przez nie dane są chronione.

Kluczowe kwestie dotyczące wprowadzania nowych wytycznych i przewodników

Kluczowe kwestie, które należy wziąć pod uwagę przy wprowadzaniu nowych wytycznych i przewodników dotyczących cyberbezpieczeństwa, to: ważne jest wyjaśnienie przeznaczenia wyrobu medycznego, stosowanie wyrobu zgodnie z jego charakterystyką oraz zapewnienie zarządzania bezpieczeństwem, jeśli wyrób jest zdolny do komunikacji. Wytyczne, mające na celu osiągnięcie międzynarodowej harmonizacji, zaczerpnęły i zastosowały uwagi z Zasad i Wytycznych Cyberbezpieczeństwa Wyrobów Medycznych (Medical Device Cybersecurity Principles and Guidelines) ustanowionych przez Międzynarodowe Forum Regulatorów Wyrobów Medycznych (IMDRF) (Principles and Practices for Medical Device Cybersecurity, IMDRF [2020]).

Podstawowe zasady cyberbezpieczeństwa wyrobów medycznych

Podstawowe zasady cyberbezpieczeństwa wyrobów medycznych obejmują zestaw wytycznych, które określają kluczowe kwestie dotyczące zapewnienia cyberbezpieczeństwa wyrobów medycznych. Obejmują one dostępność, poufność i integralność. Przyjrzyjmy się krótko tym trzem (03) zasadom:

  • Dostępność oznacza natychmiastowe udostępnianie danych uprawnionym użytkownikom.
  • Poufność odnosi się do ochrony danych przed nieuprawnionym dostępem.
  • Integralność oznacza zapewnienie, że dane są dokładne i nie zostały zmienione.

Zasady te są kluczowe dla zarządzania cyberbezpieczeństwem wyrobów medycznych, ponieważ pomagają zapewnić bezpieczeństwo urządzeń i przesyłanych przez nie danych.

Proces Zarządzania Ryzykiem w Zakresie Cyberbezpieczeństwa Wyrobów Medycznych

Wytyczne precyzują, że producenci muszą przeprowadzać odpowiednie procesy zarządzania ryzykiem cyberbezpieczeństwa dla wyrobów medycznych w Korei Południowej. Oto kilka kluczowych aspektów procesu zarządzania ryzykiem:

  • Proces powinien obejmować identyfikację potencjalnych zagrożeń cyberbezpieczeństwa, ocenę ryzyka związanego z tymi zagrożeniami oraz opracowanie strategii łagodzenia tego ryzyka.
  • Producenci powinni udokumentować ten proces w raporcie z zarządzania ryzykiem.
  • Producenci muszą ustanowić i utrzymywać systematyczną procedurę przeglądania informacji dotyczących cyberbezpieczeństwa w fazach produkcji i po produkcji.
  • Producenci powinni ustanowić cele cyberbezpieczeństwa z odpowiednimi funkcjami i poziomami. Ponadto muszą wziąć pod uwagę konsekwencje oceny i zarządzania ryzykiem.
  • Kładzie się nacisk na ciągłe gromadzenie i analizę informacji dotyczących intencji klientów wewnętrznych i zewnętrznych przez cały cykl życia wyrobów medycznych. Ponadto ważne jest, aby te informacje były odzwierciedlone w zarządzaniu ryzykiem cyberbezpieczeństwa wyrobów medycznych.

Zastosowanie wymogów cyberbezpieczeństwa dla wyrobów medycznych

Wytyczne zawierają tabelę z przykładami uwag dotyczących stosowania wymagań w zakresie cyberbezpieczeństwa wyrobów medycznych w odniesieniu do zapewnienia jakości wyrobów medycznych i zgodności regulacyjnej. Tabela zawiera trzy (03) kategorie uwag – główne, umiarkowane i drobne – które zostały wyjaśnione poniżej:

  • Główna kwestia: Główną kwestią jest możliwość poważnego uszczerbku na zdrowiu pacjentów, a nawet śmierci, trwałego upośledzenia funkcji organizmu i trwałego uszkodzenia struktury ciała z powodu naruszeń bezpieczeństwa cybernetycznego wyrobów medycznych.
  • Umiarkowana kwestia: Umiarkowana kwestia polega na tym, że naruszenia bezpieczeństwa cybernetycznego wyrobów medycznych mogą skutkować niewielkim lub tymczasowym uszczerbkiem na zdrowiu pacjentów, co może wymagać interwencji medycznej.
  • Niewielka kwestia: Niewielka kwestia polega na tym, że naruszenia bezpieczeństwa cybernetycznego wyrobów medycznych mogą spowodować tymczasowe niedogodności lub odwracalne, niewielkie i krótkotrwałe niedogodności dla pacjentów, które nie wymagają interwencji medycznej.

Oprócz powyższych kategorii, tabela zawiera również uwagi dotyczące komunikacji kablowej, komunikacji bezprzewodowej oraz ryzyka cyberbezpieczeństwa wynikającego z naruszenia.

Dwie (02) kluczowe listy kontrolne dotyczące cyberbezpieczeństwa wyrobów medycznych

Lista kontrolna wymagań dotyczących cyberbezpieczeństwa wyrobów medycznych:

  • Producenci muszą korzystać z tej listy kontrolnej podczas przeglądu swoich wyrobów medycznych pod kątem wymagań dotyczących cyberbezpieczeństwa.
  • Powinni wypełnić formularz zgodnie z charakterystyką swoich urządzeń.
  • Formularz stanowi podstawę do potwierdzenia, że producenci spełnili wszystkie wymagania dotyczące cyberbezpieczeństwa.
  • Lista kontrolna zawiera „Dokument Zarządzania Ryzykiem Cyberbezpieczeństwa” oraz „Dane Weryfikacji i Walidacji Oprogramowania”.

Poniższa tabela (Tabela 1) przedstawia listę kontrolną cyberbezpieczeństwa wyrobów medycznych dla wyrobów medycznych w Korei Południowej.

Tabela 1: Lista kontrolna cyberbezpieczeństwa wyrobów medycznych w Korei Południowej

 Wymagania dotyczące cyberbezpieczeństwaZastosowanie odpowiedniego urządzeniaZastosowana metoda dowodu kompatybilnościNumer dokumentu lub odpowiadający mu załączony dokument
Komunikacja w zakresie bezpieczeństwaProducenci powinni wskazać, jak podłączyć swoje wyroby medyczne za pośrednictwem Internetu, Bluetooth itp., a także cechy konstrukcyjne i bezpieczeństwo przesyłanych danych.XXXXXXXXX
Ochrona danych wyrobów medycznych

Producenci muszą zdecydować, czy ich urządzenia wymagają szyfrowania lub chronionej komunikacji; muszą również ocenić

architektura na poziomie systemu w celu określenia, czy funkcje projektowe są wymagane do zapewnienia niezaprzeczalności danych.

XXXXXXXXX
Integralność wyrobu medycznegoProducenci powinni brać pod uwagę ryzyko dla integralności urządzeń, takie jak nieautoryzowane zmiany. Powinni zachować ostrożność w odniesieniu do oprogramowania, wirusów, programów szpiegujących itp.XXXXXXXXX
Certyfikacja użytkownika

Przykłady dostępu użytkownika

kontrola to hasła, klucze sprzętowe, uwierzytelnianie surowego łańcucha,

itd.

XXXXXXXXX
Numer utrzymania oprogramowaniaProducenci powinni rozważyć dostarczanie użytkownikom wszystkich szczegółów aktualizacji, harmonogramów i wymagań.XXXXXXXXX

 

Lista kontrolna dla ustanawiania/rewizji wytycznych/przewodników:

  • Producenci muszą korzystać z tej listy kontrolnej podczas tworzenia lub rewizji wytycznych lub podręczników.
  • Muszą sprawdzić, czy treść odbiega od nadrzędnych przepisów i czy ustanawia/wzmacnia nowe regulacje, czy też ogranicza wrażliwe skargi cywilne.
  • Jeśli odpowiedź na pytanie, czy ustanawia/wzmacnia nowe przepisy, brzmi „tak”, należy usunąć treść, która odbiega od nadrzędnej ustawy i kontynuować proces ustanawiania i rewizji wytycznych i przewodników.
  • Lista kontrolna zawiera wskazanie wytycznych lub podręczników oraz sprawdzenie pozycji związanych z kwestiami aplikacyjnymi.

Składanie danych dla cyberbezpieczeństwa wyrobów medycznych

Wytyczne określają szczegółowe wymagania dotyczące składania danych związanych z cyberbezpieczeństwem wyrobów medycznych. Przesłane dane muszą spełniać następujące kryteria w celu uzyskania zatwierdzenia wyrobu medycznego:

  • Dane muszą dotyczyć wyrobów medycznych zdolnych do komunikacji bezprzewodowej lub posiadających ścieżkę komunikacji.
  • Wśród danych dotyczących działania, producenci muszą przedłożyć „Dane z weryfikacji i walidacji oprogramowania” oraz „Raport z weryfikacji zgodności oprogramowania wyrobu medycznego”.
  • Przedłożone informacje nie mogą być sfałszowane, wadliwe ani zatwierdzone dla wyrobów medycznych.
  • Producenci muszą stosować wymogi cyberbezpieczeństwa jako środek zaradczy zapobiegający nieautoryzowanemu dostępowi do wyrobów medycznych.
  • Producenci muszą potwierdzić zgodność z wymaganiami cyberbezpieczeństwa wyrobów medycznych poprzez złożenie „Listy kontrolnej wymagań cyberbezpieczeństwa wyrobów medycznych” oraz materiałów weryfikujących wymagania tej listy.
  • Producenci mogą ubiegać się o wyłączenie lub modyfikację niektórych wymagań poprzez analizę ryzyka; odpowiednie dane muszą zostać złożone wraz z „Dokumentem Zarządzania Ryzykiem Cyberbezpieczeństwa”, zgodnie z artykułem 26 wytycznych.

Ogólnie rzecz biorąc, wytyczne dotyczące zatwierdzania i przeglądu cyberbezpieczeństwa wyrobów medycznych stanowią cenne źródło informacji dla producentów, użytkowników i organów regulacyjnych, ponieważ pomagają zapewnić bezpieczeństwo i ochronę wyrobów medycznych. Jeśli są Państwo producentem, który chce sprzedawać swoje wyroby medyczne w Korei Południowej, muszą Państwo upewnić się, że Państwa wyroby spełniają wymagania cyberbezpieczeństwa określone w wytycznych. Nasz zespół ekspertów może pomóc Państwu w poruszaniu się po koreańskich przepisach dotyczących wyrobów medycznych; zapewnią, że Państwa wyroby spełniają wymagania cyberbezpieczeństwa oraz że złożą Państwo niezbędne dane do zatwierdzenia i przeglądu. Skontaktuj się z Freyr, aby dowiedzieć się więcej o tym, jak możemy pomóc Państwu w zabezpieczeniu cyberbezpieczeństwa Państwa wyrobów medycznych w Korei Południowej. Bądź na bieżąco! Zachowaj zgodność!

Subskrybuj blog Freyr