2 min read
Wraz z rozwojem postępu technologicznego wzrasta wykorzystanie technologii połączeń sieciowych dla urządzeń medycznych. Podłączone urządzenia medyczne przechowują i przesyłają dane pacjentów i wymagają zarówno prywatności, jak i dokładności. Dlatego też cyberbezpieczeństwo urządzeń medycznych będzie nadal w centrum uwagi organów regulacyjnych i producentów.
Opracowując urządzenie, producenci muszą być świadomi, że będzie ono odporne na wszelkiego rodzaju cyberzagrożenia i łagodzić takie zdarzenia prowadzące do konsekwencji w zakresie integralności danych i prywatności pacjentów. W związku z tym globalne agencje regulacyjne opracowały szereg standardów i wymagań, aby pomóc producentom w tworzeniu bezpiecznych i wydajnych urządzeń medycznych. Na tym blogu poznamy niektóre z najlepszych praktyk w zakresie cyberbezpieczeństwa urządzeń medycznych, które można znaleźć w normach IEC 62304 i ISO 14971.
Norma IEC 62304 dla całego cyklu życia oprogramowania urządzeń medycznych
Znana jako norma bezpieczeństwa funkcjonalnego, norma IEC 62304 obejmuje projektowanie oprogramowania urządzeń medycznych i praktyki konserwacyjne w całym cyklu życia produktu. Ma ona zastosowanie zarówno do SaMD (Software as a Medical Device), jak i urządzeń medycznych z wbudowanym oprogramowaniem jako częścią ich funkcjonalności. Jedną z najlepszych praktyk tej normy jest budowanie środków bezpieczeństwa na początku rozwoju. Procesy związane z bezpieczeństwem są określane na podstawie wytycznych normy dotyczących klasyfikacji bezpieczeństwa oprogramowania, wpływając na wymagania całego cyklu oprogramowania. Trzy (03) klasy bezpieczeństwa dla urządzeń medycznych związanych z oprogramowaniem to:
- Klasa A: Nie są możliwe żadne obrażenia ani uszczerbek na zdrowiu.
- Klasa B: Możliwe obrażenia, ale nie poważne.
- Klasa C: Prawdopodobna śmierć lub poważne obrażenia.
Istnieje dziewięć (09) części normy IEC 62304, które przedstawiają różne aspekty urządzenia medycznego, jak wyszczególniono poniżej:
- Część 1: Zakres
- Część 2: Odniesienia normatywne
- Część 3: Terminy i definicje
- Część 4: Wymagania ogólne
- Część 5: Proces tworzenia oprogramowania
- Część 6: Proces utrzymania oprogramowania
- Część 7: Proces zarządzania ryzykiem związanym z oprogramowaniem
- Część 8: Proces zarządzania konfiguracją oprogramowania
- Część 9: Proces rozwiązywania problemów z oprogramowaniem
Norma ISO 14971 dotycząca zarządzania ryzykiem związanym z wyrobami medycznymi
Ten międzynarodowy standard koncentruje się przede wszystkim na zarządzaniu ryzykiem związanym z urządzeniami medycznymi i ma zastosowanie do bezpieczeństwa pacjentów oraz zapewnia bezpieczny kontakt między urządzeniem a pacjentem lub użytkownikiem końcowym. Procedury związane z bezpieczeństwem na różnych etapach cyklu życia produktu muszą być przedstawione w dokumentacji i odpowiednio wdrożone. Zasadniczymi elementami wytycznych dotyczących zarządzania ryzykiem są analiza i ograniczanie ryzyka. Należy przewidzieć, w jaki sposób podłączone urządzenia mogą zawieść i jakie mogą być konsekwencje awarii. Pomoże to wbudować niezbędne zabezpieczenia przed awarią, aby złagodzić potencjalne zagrożenie. AAMI (Association for the Advancement of Medical Instrumentation) opublikowało raport techniczny znany jako TIR57:2016, który jest powiązany z normą ISO 14971 i przedstawia zasady bezpieczeństwa urządzeń medycznych. Raport ten stanowi pomost między zagrożeniami bezpieczeństwa (w tym naruszeniami bezpieczeństwa danych i systemu oraz zmniejszeniem skuteczności) a praktykami zarządzania ryzykiem związanym z bezpieczeństwem, które można znaleźć w normie ISO 14971.
TIR57:2016 zawiera wytyczne dotyczące przeprowadzania ocen ryzyka cyberbezpieczeństwa wyrobów medycznych i zarządzania ryzykiem związanym z zagrożeniami bezpieczeństwa, wpływającymi na poufność, integralność i dostępność urządzenia lub informacji przetwarzanych przez urządzenie. Ponadto norma IEC 80002-1:2009 dla oprogramowania urządzeń medycznych zawiera wytyczne dotyczące stosowania normy ISO 14971 do oprogramowania urządzeń medycznych i koncentruje się na analizie ryzyka, zarządzaniu ryzykiem, ocenie ryzyka i kontroli ryzyka w odniesieniu do oprogramowania urządzeń medycznych.
Wreszcie, wraz ze wzrostem liczby urządzeń medycznych podłączonych do sieci, producenci muszą przestrzegać proponowanych norm regulacyjnych, aby uniknąć lub złagodzić ryzyko cyberbezpieczeństwa. Aby uzyskać najlepsze rozwiązania do pełnego zarządzania cyklem życia podłączonych urządzeń medycznych, skonsultuj się z Freyr - sprawdzonym ekspertem ds. regulacji w tej dziedzinie. Bądź na bieżąco. Zachowaj zgodność z przepisami.
