סקירה כללית של הנחיות ה-FDA החדשות בנושא אבטחת סייבר

פרסומת
X-ray_Promo1


"אבטחת סייבר במכשירים רפואיים: שיקולי מערכת איכות ותוכן הגשות לפני השוק | ה-FDA” הוא מסמך חדש שהופק על ידי ה-FDA המספק הנחיות לשילוב אבטחת סייבר בתהליך ניהול מערכת האיכות ותהליך הגשת מכשור רפואי לפני השוק.
זה מכסה ניהול סיכונים, בקרות עיצוב, אימות תוכנה ואלמנטים אחרים כדי להבטיח את הבטיחות, האפקטיביות והאבטחה של מכשירים רפואיים מול איומי סייבר פוטנציאליים.

מטרת המסמך היא להקנות ליצרני המכשירים את הצורך להתחשב באבטחת סייבר בכל ההיבטים של תוכנת המכשיר לרבות תכנון, פיתוח, בדיקות, ניטור ותחזוקה. תפיסה מרכזית של המסמך היא תכנון עבור "מחזור החיים הכולל של המוצר". ה-FDA משך היבטים רבים של אבטחת סייבר שבדרך כלל היו משאירים ללקוחות HIPAA ומכשירים. כעת מוטלת החובה על יצרני המכשירים לשלב שיטות תוכנה מאובטחות מתחילת שלב הפיתוח ולהראות באמצעות תיעוד כיצד הם ימשיכו להבטיח שהמכשיר יישאר מאובטח.

פרסומת

מה זה אבטחת סייבר?

ל-NIST (המכון הלאומי לתקנים וטכנולוגיה) יש עמוד שלם המוקדש לשונות הגדרות של אבטחת סייבר.

NIST מזהה Cybersecurity כמילה נרדפת לאבטחת מחשבים[1]. זה "האמצעים והבקרות המבטיחים סודיות, שלמות וזמינות של המידע המעובד ומאוחסן על ידי מחשב".[2] זה גם "מניעת נזק, שימוש בלתי מורשה, ניצול, ובמידת הצורך – שחזור של מערכות מידע ותקשורת אלקטרוניות, והמידע שהן מכילות, על מנת לחזק את הסודיות, השלמות והזמינות של מערכות אלו. ."[3]

כאשר מורחבת למכשירים רפואיים, אבטחת סייבר כוללת את בטיחות המשתמש והמטופל. כפי שצוין בהנחיית ה-FDA בעמוד 11: "ההיקף והיעד של תהליך ניהול סיכוני אבטחה, בשילוב עם תהליכי SPDF אחרים (למשל, בדיקות אבטחה), הוא לחשוף כיצד איומים, דרך נקודות תורפה, יכולים לבוא לידי ביטוי בנזק למטופל ועוד. סיכונים אפשריים." איור 1 להלן מציג את הקשר בין סיכון אבטחת סייבר לסיכון בטיחות.

כיצד לנהל סיכוני אבטחת סייבר

הנחיות ה-FDA מציעות שאחת הדרכים לנהל את סיכוני אבטחת הסייבר היא באמצעות מה שהיא מכנה "מסגרת פיתוח מוצר מאובטח" או SPDF. SPDF הוא בעצם תוכנית לזיהוי איומי אבטחת סייבר והפחתה לאורך כל חיי המכשיר. יצרני התקנים צריכים ליישם SPDF כחלק ממערכת ניהול האיכות העיקרית (QMS) השולטת כיצד מכשיר עם תוכנה מפותח ומתוחזק.

את התהליך ניתן להצטמצם לשלבים הבאים:

  • זיהוי איומים
  • תיעוד והערכת סיכונים
  • תיעוד והטמעת אמצעים
  • בדוק ואמת את ההקלות
  • ולבסוף לנטר את שטח המכשיר והמכשיר לאיומים חדשים.

התפוקות של שלבים אלה והטמעת נהלים עתידיים הם התשומות שה-FDA דורש עבור כל ההגשות הרגולטוריות החדשות. בעוד שלבי התהליך מזוהים בקלות, היישום של SPDF הוא הכל מלבד קל.

עוד על SPDF

מסגרת פיתוח מוצר מאובטח צריכה להפוך לחלק סטנדרטי מכל QMS המשמש לפיתוח מכשיר רפואי אלקטרוני או כל מכשיר רפואי עם תוכנה. מפתה לטעון שמכשיר אינו דורש SPDF או שיקולי אבטחת סייבר, אך זו תהיה טעות. אין דרך להוכיח ל-FDA שהמכשיר שלך אינו מציג סיכוני אבטחת סייבר עד לאחר שביצעת רבים מהשלבים הראשוניים של SPDF, כלומר זיהוי איומים וניתוח סיכוני אבטחת סייבר. כבר שמענו סיפורים של יצרנים אחרים שהניחו שהם מאובטחים רק כדי שה-FDA יפנה ליציאת USB או יציאת רשת סמויה (מאחורי פאנל לא פחות!) ודחו את הבקשה בגלל היעדר תיעוד אבטחת סייבר. זה שהמכשיר לא מתחבר לאינטרנט, לא אומר ששחקן איום לא יכול היה לנצל חלק מהמערכת שלך. הדרך היחידה להוכיח שהמכשיר שלך בטוח היא ליישם SPDF מתחילת מחזור החיים של המכשיר ולתעד את היעדר איומים או סיכונים.

ניהול סיכוני אבטחת סייבר

צוות התוכנה שלנו עובד עם מספר אנשי מקצוע בתחום אבטחת הסייבר, חברות בדיקות חדירה ויועצי ה-FDA כדי להבטיח שהמכשירים שאנו מפתחים מסוגלים לעמוד בדרישות תיעוד אבטחת הסייבר של ה-FDA עבור מכשירים רפואיים. מפתחי מכשירים צריכים להפנים את הנחיות ה-FDA החדשות וליצור תהליכים חדשים שיסייעו בתאימות וכלים חדשים להפקת התפוקות הנחוצות כדי לספק את ה-FDA. זו לא התחייבות קטנה. השקענו זמן ומאמץ רב בהעלאת המערכות הללו. המאמץ שילם דיבידנדים ללקוחות שלנו מכיוון שיש לנו זיהוי ודיווח אוטומטיים של פגיעות.

אם תרצה לדעת יותר על האופן שבו StarFish Medical יכולה לעזור בעמידה בתקנות אבטחת הסייבר שלך, בבקשה צור קשר עם קבוצת הפיתוח העסקי שלנו. הם ישמחו לדון כיצד Starfish יכול לעזור לך להצליח ליצור מכשירים רפואיים חזקים ומאובטחים.

[1] https://csrc.nist.gov/glossary/term/cybersecurity

[2] https://www.cnss.gov/CNSS/issuances/Instructions.cfm

[3] https://doi.org/10.6028/NIST.IR.8074v2

תמונה: ה-FDA

ראסל היילי הוא רופא דג כוכבים מהנדס תוכנה בכיר. הוא ותיק תוכנה ו-IT עם ניסיון של למעלה מ-20 שנה בתכנון מערכות IoT שאוספות נתונים באמצעות מכשירי רדיו Wi-Fi, בלוטות' ו-MICS (מושתלים) ומאחסנות רשומות חיוניות בענן ממצופים אוקיאנוגרפיים, מוסדות פיננסיים, רכבות נוסעים. ולאחרונה, מכשור רפואי.

טיוטת הנחיית אבטחת סייבר של ה-FDA




קישור לכתבת המקור – 2024-04-06 00:46:42

Facebook
Twitter
LinkedIn
Telegram
WhatsApp
Email
פרסומת
X-ray_Promo1

עוד מתחומי האתר

בדוק את המבנה הפנטסטי הזה מבית היוצר ארנוב שארמה.שלום לתושבי הכספת, וחזרתי עם פרויקט שעון…