הדרישות הרגולטוריות לאבטחת מוצרים דיגיטליים רפואיים

בשנים האחרונות גדל היישום של פלטפורמות מוביליות ויישומים מבוססי ענן במכשירים רפואיים בצורה אקספוננציאלית. מימוש הטכנולוגיות הללו, כרוך בסיכונים פוטנציאליים הקשורים לפרטיות ולאבטחת מידע ולכן פועל הרגולטור ומציב סטנדרטים אותם נדרש היצרן ליישם. על כן, הבנה של הדרישות הרגולטוריות הללו הכרחית לפיתוח ורישוי אפקטיבי של מוצרים אלה. מורכבות הדרישות הרגולטוריות וההבדלים בין הגישות בשווקים העיקריים דורשות גישה משוכללת ומושכלת שתבטיח עמידה בדרישות HIPAA ו-FDA (ארה”ב), והאיחוד האירופאי.

הרגולציה האמריקאית בתחום הרפואי עדכנית וקונקרטית בהשוואה לדרישות האיחוד הארופאי. תקנות האבטחה של ארה”ב (45 CFR חלקים 160, 164, 162/ HIPAA) מגדירות דרישות אבטחה לארגוני בריאות, מכשירים רפואיים וליצרנים שלהם. הנחיות FDA המתייחסות לתוכנן של הגישות הרגולטוריות דורשת מיצרנים של מוצרים רלוונטיים לפתח מערכת בקרת אבטחת סייבר בכדי להבטיח את תפקודו ובטיחותו של המכשיר הרפואי. תקנות האבטחה של האיחוד האירופי כוללות את תקן IEC 62304, ומחייבות את היצרנים להגדיר וליישם אמצעי אבטחה. אירועי סייבר, מכשלים טכניים ועד להתקפות אלימות, מתרבים בקצב מדאיג ומסכנים את פרטיותם ובטיחותם של החולים. בתגובה כונן הרגולטור תקנות המחייבות יצרנים וארגוני בריאות להגן על המערכות והמידע שלהם מהתקפות סייבר. אבטחת מידע אישי חשובה לכולם, לתאגידים, למוסדות ולממשלות ולכל צרכן או יצרן באשר הוא, אך יש להן משנה חשיבות בתחום הבריאות על מנת להבטיח את הסודיות, השלמות והזמינות של מידע אישי רפואי תומך חיים. חשוב להבטיח שהמידע מוגן לכל מחזור חייו וזמין על מנת לאפשר אספקת שירותי בריאות יעילים. מערכות המכילות מידע רפואי חייבות איפוא לעמוד בדרישות ייחודיות על מנת להבטיח את זמינותן גם במצבים של אסונות טבע, תאונות וכשלים והתקפות מכוונות. מסיבה זאת הדרישות הרגולטוריות לסקטור הרפואי הינן יחודיות. דרישות רגולטוריות באירופה לא קיימת התייחסות רגולטורית משמעותית לאבטחת סייבר בדרישות הרגלטוריות המתייחסות לתכנון מכשירים רפואיים. תקני האבטחה של האיחוד האירופי כוללים את ההתקנים העיקריים הבאים:
• IEC 62304 (תוכנת מכשור רפואי – תהליכי מחזור חיי התוכנה) המחייב יצרנים לכלול את דרישות האבטחה בדרישות התוכנה.
• ISO 14971 (מכשירים רפואיים – יישום ניהול סיכונים למכשירים רפואיים) שנובע ממנו שכאשר ביצועי המכשיר חשופים לסכנה, במקרה זה באמצעות פריצה למחשבים, יש ליישם אמצעי אבטחה כדי למנוע זאת.
• ISO 27799 (ניהול אבטחת מידע ברפואה באמצעות ISO/IEC 27002) המספק הדרכה לארגוני בריאות ומוסדות שונים האחראים על מידע רפואי אישי, על הדרך הטובה ביותר להגן על הסודיות, השלמות וזמינותו של מידע כזה על ידי יישום תקן ISO/IEC 27002 (טכנולוגיית מידע – טכניקות אבטחה – תקנות לבקרת אבטחת מידע).
התקן IEC 62304 מגדיר את הדרישות בצורה כללית, 14971 ISO אינו מציין רגישויות אבטחה כגורם פוטנציאלי למצבים מסוכנים, אלא מפרש כי כל הנזקים אפשריים, המצבים המסוכנים והסיבות לכך יילקחו בחשבון. EN ISO 27799 מגדיר ניהול אבטחת מידע אך כיום נחשב לתקן הרמוני לא פורמלי. תקנים אחרים של האיחוד האירופי אינם מכוונים למכשירים רפואיים. תקן IEC 80001 (יישום ניהול סיכונים לרשתות IT בשילוב מכשירים רפואיים) מופנה למוסדות קליניים בלבד. IEC 62443 (רשתות תקשורת תעשייתית – אבטחת רשת ומערכת) ומשפחת מערכת ניהול אבטחת המידע (ISMS) של תקני IEC (משפחת 27xxx: מידע טכנולוגי – טכניקות אבטחה) הן כלליות וישימות לכלל תחומי התעשייה.
דירקטיבה 95/46/EC (דירקטיבת הגנת המידע) של האיחוד האירופי הגם שהיישום שלה לא הרמוני, דורשת מהיצרנים ליישם אמצעי בטיחות טכניים וארגוניים בצורה הטובה ביותר על מנת להגן על פרטיות המידע הרפואי. ברם למדינות שונות בתוך האיחוד יש ראייה שונה של מה נדרש מבחינת אבטחה ולכן יישומם אינו ברור ומוסכם. תקנה כללית חדשה נמצאת כיום בתהליך חקיקה על מנת להגדיר דרישות סודיות ואת סטנדרט האבטחה. למרות שאין התייחסות קונקרטית לדרישות אבטחת הסייבר בנספח I בדירקטיבה של המכשור הרפואי (MDD), עדיין ניתן לגזור ממנה באופן סביר כי יצרנים צריכים להתחשב בסיכונים להבטחת מידע ולכן יש להתייחס אליהם גם על מנת לעמוד בדרישות הדירקטיבה.

דרישות רגולטוריות – ארה”ב
45 CFR (חלקים 160, 162 ו-164) – רגולציה אמריקאית הידועה כ- (Health Insurance Portability and Accountability of 1996 Act), מוכוונת לארגוני בריאות, מכשירים רפואיים ויצרניהם. רגולציה זאת מגדירה דרישות לכל תחומי אבטחת סייבר. בנוסף, כדי לחזק את בטיחות ההתקנים הרפואיים, ה-FDA פרסם המלצות ליצרנים לניהול סיכוני אבטחת סייבר (“תוכן של הגשות לפני שיווק לניהול אבטחת סייבר בהתקן רפואי”) בה הם נקראים לבקר סיכוני אבטחת סייבר כחלק מתכנון ופיתוח המכשיר הרפואי, ולהגיש תיעוד ל-FDA. המלצות אלו מקושרות לרגולציה 21 CFR (חלק 820, סעיף 820.30).

המשמעות המעשית של הדרישות הרגולטוריות:
בכדי להבטיח ציות (קומפליינס) לדרישות הרגולטוריות להגנת אבטחת סייבר, ארגוני הבריאות ויצרני מכשור רפואיים צריכים ליישם אמצעי הגנה בשלושה רבדים: מנהלתיים, פיזיים וטכניים.

אמצעי ההגנה המנהלתיים כוללים אך לא מוגבלים ל:
הקמה ויישום של מדיניות אבטחה
תכנון הגנת אבטחת הסייבר ופעילויות נלוות
הגדרה של תפקידי אבטחה ואחריות
בידול תפקידים
תקשורת עם הרשויות וקבוצות מיקוד מיוחדות
ניהול נכסים הכולל זיהוי נכסי ההתקן וסיווג מידע רגיש
ניהול סיכונים
תכנון גיבוי והתאוששות מאסון.

אמצעי הגנה פיזית כוללים אך לא מוגבלים ל:
בקרה באבטחה פיזית וסביבתית בכדי למנוע גישה פיזית של בלתי מורשים, נזק והפרעה למידע רגיש ולמכשירים היוצרים / מאחסנים מידע.
אבטחה מפקחת על מנת למנוע אובדן, נזק, גניבה או פשרה של נכסים והפרעה לפעילות ההתקן,
כללים להשלכת מדיה ושימוש חוזר,
גיבוי ואחסון נתונים.

אמצעי הגנה טכניים כוללים אך לא מוגבלים ל:
בקרת גישה בכדי להגביל את הגישה למידע רגיש ולמכשירים היוצרים/ מעבדים / מאחסנים מידע
מדיה מתאימה למניעת חשיפה בלתי מורשת, שינוי, הסרה או הרס של מידע המאוחסן במדיה
שימוש בהצפנה כדי להגן על הסודיות, על האותנטיות ועל שלמות המידע
ביקורות

סיכום
התקינה למוצרי רפואה דיגטלית מונעת על ידי האיומים והסיכונים הנשקפים לפרטיותו ולבריאותו של החולה. התקינה מסועפת ומורכבת. יישום אפקטיבי של הדרישות הרגולטוריות באופן שיבטיחו את קבלת האישורים הרגולטוריים לשיווק מוצרים אלה והלימה עם דרישות הרגולטור, דורש הבנה מתקדמת רגולטורית וטכנית כאחד.

הכותב הינו מומחה לאיכות ותקינה, רפואה דיגיטלית, פיזיו-לוג’יק בע”מ המספקת פתרונות הבטחת איכות, רגולציה ומקרים קליניים למכשור רפואי.

ולדימיר זוטוב, פיזיו-לוג'יק בע"מ

תגובות סגורות