Ochrona cyberbezpieczeństwa urządzeń medycznych w Korei Południowej

5 min read

Wraz z postępem technologicznym rozwijają się również urządzenia medyczne, które są wykorzystywane do podtrzymywania życia. Podczas gdy w Korei Południowej opracowano różne rodzaje urządzeń medycznych zdolnych do komunikacji, rozwojowi towarzyszy ryzyko zagrożeń cyberbezpieczeństwa, takich jak hakowanie urządzeń medycznych i wycieki informacji. Zagrożenia te dotyczą nie tylko utraty mienia, ale także życia pacjentów, dlatego ochrona cyberbezpieczeństwa urządzeń medycznych jest kwestią kluczową.

Aby rozwiać te obawy, rząd Korei Południowej ustanowił wytyczne dotyczące zatwierdzania cyberbezpieczeństwa (Guide-0995-03 2023.07.13) i przeglądu urządzeń medycznych. Południowokoreańskie przepisy dotyczące wyrobów medycznych mają na celu zabezpieczenie zarządzania bezpieczeństwem wyrobów medycznych zdolnych do komunikacji, a tym samym podkreślają znaczenie cyberbezpieczeństwa dla wyrobów medycznych.

Dlaczego wymagane są wytyczne dotyczące cyberbezpieczeństwa?

Urządzenia medyczne są często wszczepiane do ciał pacjentów w celu zapewnienia funkcji podtrzymujących życie, co oznacza, że każde zagrożenie cyberbezpieczeństwa może mieć tragiczne, a nawet śmiertelne konsekwencje. Wytyczne dotyczące cyberbezpieczeństwa urządzeń medycznych mają na celu zapobieganie takim zagrożeniom poprzez zapewnienie bezpieczeństwa urządzeń i ochrony przesyłanych przez nie danych.

Kluczowe kwestie związane z wprowadzaniem nowych wytycznych i wskazówek

Kluczowymi kwestiami, o których należy pamiętać przy uchwalaniu nowych wytycznych i przewodników dotyczących cyberbezpieczeństwa, jest wyjaśnienie celu urządzenia medycznego, zastosowanie urządzenia zgodnie z jego charakterystyką oraz bezpieczne zarządzanie bezpieczeństwem, jeśli urządzenie jest w stanie się komunikować. Wytyczne, mające na celu osiągnięcie międzynarodowej harmonizacji, zapożyczyły i zastosowały rozważania z zasad i wytycznych dotyczących cyberbezpieczeństwa wyrobów medycznych określonych przez Międzynarodowe Forum Regulatorów Wyrobów Medycznych (IMDRF) (Principles and Practices for Medical Device Cybersecurity, IMDRF [2020]).

Podstawowe zasady cyberbezpieczeństwa urządzeń medycznych

Podstawowe zasady cyberbezpieczeństwa urządzeń medycznych obejmują zestaw wytycznych, które określają kluczowe kwestie związane z zapewnieniem cyberbezpieczeństwa urządzeń medycznych. Obejmują one dostępność, poufność i integralność. Przyjrzyjmy się pokrótce tym trzem (03) zasadom:

Dostępność odnosi się do natychmiastowego udostępniania danych autoryzowanym użytkownikom.
Poufność odnosi się do ochrony danych przed nieautoryzowanym dostępem.
Integralność odnosi się do zapewnienia, że dane są dokładne i nie zostały naruszone.

Zasady te mają kluczowe znaczenie dla zarządzania cyberbezpieczeństwem urządzeń medycznych, ponieważ pomagają zapewnić bezpieczeństwo urządzeń i przesyłanych przez nie danych.

Proces zarządzania ryzykiem dla cyberbezpieczeństwa urządzeń medycznych

Wytyczne określają, że producenci muszą przeprowadzać odpowiednie procesy zarządzania ryzykiem w zakresie cyberbezpieczeństwa urządzeń medycznych w Korei Południowej. Oto kilka kluczowych aspektów procesu zarządzania ryzykiem:

Proces ten powinien obejmować identyfikację potencjalnych zagrożeń cyberbezpieczeństwa, ocenę ryzyka związanego z zagrożeniami oraz opracowanie strategii ograniczania ryzyka.
Producenci powinni odnotować ten proces w raporcie dotyczącym zarządzania ryzykiem.
Producenci muszą ustanowić i utrzymywać systematyczną procedurę przeglądu informacji dotyczących cyberbezpieczeństwa na etapie produkcji i postprodukcji.
Producenci powinni ustanowić cele cyberbezpieczeństwa z odpowiednimi funkcjami i poziomami. Ponadto muszą rozważyć konsekwencje oceny ryzyka i postępowania z nim.
Nacisk kładziony jest na ciągłe gromadzenie i analizowanie informacji na temat intencji klientów wewnętrznych i zewnętrznych w całym cyklu życia wyrobów medycznych. Ponadto ważne jest, aby informacje te znalazły odzwierciedlenie w zarządzaniu ryzykiem cyberbezpieczeństwa urządzeń medycznych.

Zastosowanie wymogów cyberbezpieczeństwa dla urządzeń medycznych

Wytyczne składają się z tabeli z przykładami rozważań dotyczących stosowania wymogów cyberbezpieczeństwa wyrobów medycznych w odniesieniu do zapewnienia jakości wyrobów medycznych i zgodności z przepisami. Tabela zawiera trzy (03) kategorie rozważań - główne, umiarkowane i drugorzędne - które zostały wyjaśnione poniżej:

Główne zagadnienie: Główną kwestią jest możliwość poważnych obrażeń u pacjentów, a nawet śmierci, trwałego upośledzenia funkcji organizmu i trwałego uszkodzenia struktury ciała w wyniku naruszenia cyberbezpieczeństwa wyrobów medycznych.
Umiarkowane zagrożenie: Umiarkowane znaczenie ma fakt, że naruszenia cyberbezpieczeństwa urządzeń medycznych mogą skutkować niewielkimi lub tymczasowymi obrażeniami u pacjentów, które mogą wymagać interwencji medycznej.
Nieistotna okoliczność: Niewielkie znaczenie ma to, że naruszenia cyberbezpieczeństwa wyrobów medycznych mogą powodować tymczasowe niedogodności lub odwracalne, niewielkie i krótkotrwałe niedogodności dla pacjentów, które nie wymagają interwencji medycznej.

Oprócz powyższych kategorii, tabela obejmuje również kwestie związane z komunikacją kablową, komunikacją bezprzewodową i zagrożeniami dla cyberbezpieczeństwa wynikającymi z naruszeń.

Dwie (02) kluczowe listy kontrolne dotyczące cyberbezpieczeństwa urządzeń medycznych

Lista kontrolna wymogów cyberbezpieczeństwa dla urządzeń medycznych:

Producenci powinni korzystać z tej listy kontrolnej podczas przeglądu swoich urządzeń medycznych pod kątem wymogów cyberbezpieczeństwa.
Powinni oni wypełnić formularz zgodnie z charakterystyką swoich urządzeń.
Formularz jest podstawą do potwierdzenia, że producenci spełnili wszystkie wymogi cyberbezpieczeństwa.
Lista kontrolna obejmuje "Dokument zarządzania ryzykiem cyberbezpieczeństwa" oraz "Dane weryfikacji i walidacji oprogramowania".

Poniższa tabela (Tabela 1) ilustruje listę kontrolną cyberbezpieczeństwa dla urządzeń medycznych w Korei Południowej.

Tabela 1: Lista kontrolna dotycząca cyberbezpieczeństwa urządzeń medycznych w Korei Południowej

	Wymagania dotyczące cyberbezpieczeństwa	Zastosowanie odpowiedniego urządzenia	Zastosowana metoda dowodu zgodności	Numer dokumentu lub odpowiadający mu załączony dokument
Komunikacja bezpieczeństwa	Producenci powinni wspomnieć o sposobie łączenia swoich urządzeń medycznych przez Internet, Bluetooth itp., a także o cechach konstrukcyjnych i bezpieczeństwie przetłumaczonych danych.	XXX	XXX	XXX
Ochrona danych urządzenia	Producenci muszą zdecydować, czy ich urządzenia wymagają szyfrowania lub chronionych wiadomości; muszą również ocenić architektura na poziomie systemu w celu określenia, czy cechy konstrukcyjne są wymagane do zapewnienia niezaprzeczalności danych.	XXX	XXX	XXX
Integralność urządzenia	Producenci powinni brać pod uwagę zagrożenia dla integralności urządzeń, takie jak nieautoryzowane zmiany. Powinni uważać na oprogramowanie, wirusy, programy szpiegujące itp.	XXX	XXX	XXX
Certyfikacja użytkownika	Kilka przykładów dostępu użytkownika Kontrola obejmuje hasła, klucze sprzętowe, surowe uwierzytelnianie łańcuchowe, itp.	XXX	XXX	XXX
Numer konserwacji oprogramowania	Producenci powinni rozważyć dostarczenie użytkownikom wszystkich szczegółów aktualizacji, harmonogramów i wymagań.	XXX	XXX	XXX

Lista kontrolna dotycząca tworzenia/rewizji wytycznych/podręczników:

Producenci powinni korzystać z tej listy kontrolnej podczas ustanawiania lub zmiany wytycznych lub przewodników.
Muszą sprawdzić, czy treść odbiega od wyższych przepisów i czy ustanawia/wzmacnia nowe regulacje lub ogranicza wrażliwe skargi cywilne.
Jeśli odpowiedź brzmi "tak" na pytanie, czy ustanawia ona/wzmacnia nowe regulacje, powinni oni usunąć treść, która odbiega od górnego statutu i kontynuować proces ustanawiania i rewizji wytycznych i przewodników.
Lista kontrolna obejmuje oznaczenie wytycznych lub przewodników oraz sprawdzenie elementów związanych z rozważaniami dotyczącymi aplikacji.

Przekazywanie danych na potrzeby cyberbezpieczeństwa urządzeń medycznych

Wytyczne określają szczegółowe wymagania dotyczące przekazywania danych związanych z cyberbezpieczeństwem urządzeń medycznych. Przedłożone dane muszą spełniać następujące kryteria zatwierdzenia wyrobu medycznego:

Dane muszą być związane z urządzeniami medycznymi zdolnymi do komunikacji bezprzewodowej lub posiadającymi ścieżkę komunikacyjną.
Wśród danych dotyczących wydajności połączeń producenci muszą przedłożyć "Dane weryfikacji i walidacji oprogramowania" oraz "Raport weryfikacji zgodności oprogramowania urządzenia medycznego".
Przekazane informacje nie mogą być sfałszowane, nieprawidłowe lub zatwierdzone dla wyrobów medycznych.
Producenci muszą stosować wymogi cyberbezpieczeństwa jako środek zaradczy, aby zapobiec nieautoryzowanemu dostępowi do wyrobów medycznych.
Producenci muszą potwierdzić zgodność z wymogami cyberbezpieczeństwa urządzeń medycznych, przedkładając "Listę kontrolną wymogów cyberbezpieczeństwa urządzeń medycznych" oraz materiały weryfikujące wymogi listy kontrolnej.
Producenci mogą ubiegać się o wyłączenie lub modyfikację niektórych wymogów poprzez analizę ryzyka; odpowiednie dane należy przedłożyć wraz z "Dokumentem zarządzania ryzykiem cyberbezpieczeństwa", zgodnie z art. 26 wytycznych.

Ogólnie rzecz biorąc, wytyczne dotyczące zatwierdzania i przeglądu cyberbezpieczeństwa wyrobów medycznych stanowią cenne źródło informacji dla producentów, użytkowników i organów regulacyjnych, ponieważ pomagają zapewnić bezpieczeństwo i ochronę wyrobów medycznych. Jeśli jesteś producentem, który chce sprzedawać swoje urządzenia medyczne w Korei Południowej, musisz upewnić się, że Twoje urządzenia spełniają wymogi cyberbezpieczeństwa określone w wytycznych. Nasz zespół ekspertów może pomóc w poruszaniu się po południowokoreańskich przepisach dotyczących urządzeń medycznych; zapewni, że Twoje urządzenia spełniają wymogi cyberbezpieczeństwa i że przekażesz niezbędne dane do zatwierdzenia i przeglądu. Skontaktuj się z Freyr, aby dowiedzieć się więcej o tym, jak możemy pomóc Ci zabezpieczyć cyberbezpieczeństwo Twoich urządzeń medycznych w Korei Południowej. Bądź na bieżąco! Zachowaj zgodność z przepisami!

Aspekt	USA	UE	Australia	Chiny	ZJEDNOCZONE EMIRATY ARABSKIE
Organ regulacyjny	FDA	EFSA i władze państw członkowskich	FSANZ	SAMR I NHC	ESMA I MOHAP
Główne przepisy dotyczące zgodności	Federalna ustawa o żywności, lekach i kosmetykach (FFDCA); 21 CFR część 110 (bieżące dobre praktyki produkcyjne)	Rozporządzenie (WE) nr 178/2002 (ogólne prawo żywnościowe); rozporządzenie (UE) nr 1169/2011 w sprawie przekazywania konsumentom informacji na temat żywności.	Kodeks standardów żywności (Australia New Zealand Food Standards Code)	Ustawa o bezpieczeństwie żywności Chińskiej Republiki Ludowej (zmieniona w 2015 r.); Normy GB dotyczące bezpieczeństwa żywności	ZEA.S GSO 9:2017 (Ogólne wymagania GCC dotyczące żywności paczkowanej)
Wymagane zatwierdzenie przed wprowadzeniem na rynek?	Brak zatwierdzenia przed wprowadzeniem do obrotu, z wyjątkiem nowych składników, dodatków barwiących lub określonych oświadczeń.	Brak zatwierdzenia przed wprowadzeniem do obrotu dla ogólnej żywności, ale nowa żywność lub oświadczenia zdrowotne wymagają zatwierdzenia przez EFSA.	Brak zatwierdzenia przed wprowadzeniem do obrotu, chyba że jest to nowa żywność lub zawiera oświadczenia zdrowotne.	Rejestracja przed wprowadzeniem do obrotu jest wymagana w przypadku nowej żywności, zdrowej żywności lub produktów zawierających nowe składniki.	Zatwierdzenie przed wprowadzeniem do obrotu jest wymagane w przypadku niektórych produktów spożywczych, produktów zdrowotnych i produktów zawierających nowe składniki.
Zgodność z wymogami dotyczącymi etykietowania przetworzonej żywności	Obowiązkowe etykietowanie zgodnie z wytycznymi FDA (informacje o wartościach odżywczych, deklaracja składników, alergeny)	Musi być zgodny z rozporządzeniem UE w sprawie informacji na temat żywności (1169/2011); obejmuje alergeny, wartości odżywcze i pochodzenie.	Muszą być zgodne z kodeksem standardów żywności FSANZ w zakresie etykietowania; wymagane są panele wartości odżywczych, alergeny i listy składników.	Muszą być zgodne z GB 7718-2011 (krajowe normy bezpieczeństwa żywności) w zakresie etykietowania; obowiązkowe informacje o wartościach odżywczych, alergenach i okresie przydatności do spożycia.	Musi przestrzegać GSO 9:2017 w zakresie etykietowania żywności paczkowanej; wymagane są etykiety arabskie, alergeny i fakty żywieniowe.
Harmonogram rejestracji	Brak ustalonego harmonogramu: produkty mogą wejść na rynek po spełnieniu wymogów.	Brak formalnej rejestracji, chyba że nowa żywność; zatwierdzenie oświadczeń zdrowotnych przez EFSA zajmuje 12-18 miesięcy.	Brak formalnej rejestracji, chyba że jest to nowa żywność lub zawiera oświadczenia zdrowotne.	Zazwyczaj 12-24 miesięcy w przypadku nowej żywności, krócej w przypadku zwykłej żywności przetworzonej.	Zatwierdzenie niektórych produktów może zająć 6-12 miesięcy. Zwykła przetworzona żywność może wejść na rynek po uzyskaniu zatwierdzenia etykiety

Usługi regulacyjne dotyczące produktów leczniczych

Usługi regulacyjne dotyczące urządzeń medycznych

Usługi regulacyjne dotyczące kosmetyków

Usługi regulacyjne dotyczące suplementów diety

Serwis produktów spożywczych

Zgodność z przepisami dotyczącymi produktów spożywczych

Rejestracja nowej żywności

Usługi regulacyjne w zakresie chemikaliów

Usługi regulacyjne dotyczące produktów leczniczych

Usługi regulacyjne dotyczące urządzeń medycznych

Konsumenci

Freyr Digital

Wyprzedzaj konkurencję dzięki naszym innowacyjnym rozwiązaniom w zakresie oprogramowania regulacyjnego

Dlaczego wymagane są wytyczne dotyczące cyberbezpieczeństwa?

Kluczowe kwestie związane z wprowadzaniem nowych wytycznych i wskazówek

Podstawowe zasady cyberbezpieczeństwa urządzeń medycznych

Proces zarządzania ryzykiem dla cyberbezpieczeństwa urządzeń medycznych

Zastosowanie wymogów cyberbezpieczeństwa dla urządzeń medycznych

Dwie (02) kluczowe listy kontrolne dotyczące cyberbezpieczeństwa urządzeń medycznych

Lista kontrolna wymogów cyberbezpieczeństwa dla urządzeń medycznych:

Tabela 1: Lista kontrolna dotycząca cyberbezpieczeństwa urządzeń medycznych w Korei Południowej

Lista kontrolna dotycząca tworzenia/rewizji wytycznych/podręczników:

Przekazywanie danych na potrzeby cyberbezpieczeństwa urządzeń medycznych

Subskrybuj blog Freyr

Najnowszy blog

Tagi bloga

Powiązane blogi

Jak możemy Ci pomóc?

Poinformuj nas o swoich wymaganiach, a my skontaktujemy się z Tobą.