An ninh mạng cho thiết bị y tế và thiết bị chẩn đoán In Vitro

Tiến hành thử nghiệm là một bước vô cùng quan trọng trong quy trình chuyển từ khâu thiết kế thành sản phẩm tin cậy và có thể bán ra thị trường

Tiến hành thử nghiệm là một bước vô cùng quan trọng trong quy trình chuyển từ khâu thiết kế thành sản phẩm tin cậy và có thể bán ra thị trường

TẠI SAO THỬ NGHIỆM AN NINH MẠNG CHO THIẾT BỊ Y TẾ / THIẾT BỊ CHẨN ĐOÁN IN VITRO (IVDS) LẠI QUAN TRỌNG?

Có nhiều quy định, vấn đề đạo đức và kinh doanh là lí do tại sao an ninh mạng cần phải được xem xét và đảm bảo trong các thiết bị y tế và phụ kiện đi kèm. Ví dụ như:

  • Tuân thủ các yêu cầu luật định là điều kiện tiên quyết để tiếp cận thị trường thiết bị y tế ở nhiều quốc gia chính như Hoa Kỳ, Châu Âu, Trung Quốc, Úc và Vương quốc Anh. Trong số đó phải kể đến Luật định về thiết bị y tế của Châu Âu (MDR) và Luật định về thiết bị y tế chẩn đoán In Vitro (IVDR) xác định một số các yêu cầu an ninh mạng tại phụ lục I của luật định dưới “các yêu cầu chung về an toàn và hiệu suất”. Mặt khác, Cục Quản lý Thực phẩm và Dược phẩm Hoa Kỳ (FDA) cung cấp các tài liệu hướng dẫn, chẳng hạn như “Quản lý sau bán hàng về an ninh mạng cho thiết bị y tế”, giải thích cách thực hiện các yêu cầu an ninh mạng tương ứng. 

  • Truy cập trái phép vào thiết bị y tế có thể dẫn đến hậu quả nghiệm trọng. Các cuộc tấn công nhằm vào thiết bị y tế có thể gây rủi ro cho sự an toàn của bệnh nhân, dẫn đến hậu quả chết người trong một số trường hợp nhất định. Nếu các rủi ro về an ninh mạng không được giảm thiểu hoặc quản lý một cách hiệu quả, nó có thể dẫn đến tổn hại cho bệnh nhân như thương tích hoặc tử vong, chẳng hạn như do cố ý làm hỏng thiết bị y tế hoặc gây ra sự không sẵn sàng của thiết bị và chậm trễ trong điều trị.
  • Các thiết bị y tế được kết nối mang lại cơ hội mới cho các thiết bị y tế, tuy nhiên, chúng cũng làm tăng thách thức về quyền riêng tư của dữ liệu theo các quy định bảo vệ dữ liệu toàn cầu. Các thiết bị này lưu trữ và truyền tải thông tin y tế rất nhạy cảm cần được bảo vệ, theo quy định của pháp luật và điều khoản của Châu Âu (GDPR), Hoa Kỳ (ví dụ: CFR 164.312) hoặc Vương quốc Anh (DPA18).
  • Các vi phạm có thể dẫn đến các hoạt động đề phòng tốn kém và các hành động an toàn hiện trường; việc công khai tiêu cực có thể đánh mất lòng tin và tốn hàng triệu đô la tiền phạt theo quy định.

HƯỚNG DẪN CỦA CƠ QUAN QUẢN LÝ

Trên toàn cầu, các cơ quan quản lý ngày càng có nhận thức về an ninh mạng đối với các thiết bị y tế. Ví dụ, FDA, Ủy ban Châu Âu và Bộ Y tế Canada đã xuất bản hướng dẫn về cách đáp ứng các quy định về an ninh mạng. Các hướng dẫn này nâng cao nhận thức về sự cần thiết của việc quét lỗ hổng bảo mật, thử nghiệm thâm nhập hoặc các kiểm tra bảo mật khác trong toàn bộ vòng đời của thiết bị y tế. Bảo mật thiết bị y tế bắt đầu từ giai đoạn thiết kế và bao gồm

  • bảo mật vòng đời quy trình phát triển ,
  • bảo mật quy trình quản lý rủi ro,
  • các thử nghiệm để xác minh và xác thực "bảo mật cấy ghép" và "các biện pháp giảm thiểu rủi ro bảo mật" và
  • một quy trình sau bán hàng bảo mật.

Các cách để xác minh và xác thực đó là thử nghiệm thâm nhập, quét lỗ hổng bảo mật và thử nghiệm mờ (fuzz), kiểm tra tính năng bảo mật và xem xét mã nguồn. Các bài thử nghiệm bổ sung có thể được thực hiện để xác định nhiều thành phần có các vấn đề đã biết.

Cập nhật những phát triển mới nhất thông qua các câu hỏi thường gặp của chúng tôi

DỊCH VỤ THỬ NGHIỆM VÀ ĐÁNH GIÁ AN NINH MẠNG CHO THIẾT BỊ Y TẾ CỦA CHÚNG TÔI

Các phòng thử nghiệm của chúng tôi, được hỗ trợ bởi một nhóm toàn cầu gồm hơn 750 chuyên gia về chăm sóc sức khỏe và thử nghiệm thiết bị y tế, cung cấp một loạt các dịch vụ để thử nghiệm và đánh giá an ninh mạng của các thiết bị y tế. Các thử nghiệm bảo mật do TÜV SÜD thực hiện được công nhận theo tiêu chuẩn IEC/TR 60601-4-5 để đảm bảo năng lực và chuyên môn thử nghiệm thâm nhập thiết bị y tế cao nhất. Các dịch vụ này bao gồm: 

  • Đào tạo về an ninh mạng

    Các khóa đào tạo được cung cấp để nâng cao nhận thức và hiểu biết về an ninh mạng trong các thiết bị y tế. Mục tiêu của khóa đào tạo là để hiểu các yêu cầu được xác định trong các khuôn khổ quy định như:

    • Các yêu cầu của Châu Âu như MDCG 2019-16
    • Các yêu cầu của FDA Hoa Kỳ như
      • FDA QSR
      • Quản lý an ninh mạng trước bán hàng

      • Quản lý an ninh mạng sau bán hàng

      • An ninh mạng cho các thiết bị y tế được kết nối mạng

    • NMPA Trung Quốc
    • Đào tạo theo yêu cầu địa phương như Nhật Bản, Singapore, Brazil Hàn Quốc

    Hơn nữa, các khóa đào tạo có thể giúp tìm hiểu việc thực hiện an ninh mạng trong các thiết bị y tế theo các tiêu chuẩn quốc tế như:

    • IEC TR 60601-4-5 An ninh mạng thiết bị y tế
    • ISO 14971:2019 Quản lý rủi ro thiết bị y tế
    • ISO 62443-3-2 An ninh cho tự động hóa công nghiệp

  • Đánh giá khái niệm

    Các đánh giá khái niệm nhằm xác định lỗ hổng về an ninh mạng thông qua việc đánh giá theo các tiêu chuẩn quốc tế/hài hòa, hiện đại về an ninh mạng và các yêu cầu quy định như:

    • IEC TR 60601-4-5 An ninh mạng thiết bị y tế
    • IEC 81001-5-1 Bảo mật - Các hoạt động trong vòng đời sản phẩm
    • ISO 62443-3-2 An ninh cho tự động hóa công nghiệp
    • MDCG 2019-16 An ninh mạng cho thiết bị y tế 
    • Quản lý an ninh mạng trước bán hàng

    • Quản lý an ninh mạng sau bán hàng

    • An ninh mạng cho các thiết bị y tế có kết nối mạng

     

  • Quét / đánh giá lỗ hổng bảo mật và phân tích mã tĩnh / động

    Mục tiêu của việc quét lỗ hổng là xác định và phát hiện các điểm yếu đã biết trong máy tính, mạng hoặc ứng dụng (chương trình). Mục đích là thực hiện các hoạt động khắc phục sau khi nhà sản xuất xác định được các lỗ hổng nghiêm trọng. Lợi ích của phương pháp này là đóng các lỗ hổng bảo mật và duy trì bảo mật mạnh mẽ trong các thiết bị y tế

    Dịch vụ bao gồm:

    • Quét lỗ hổng bảo mật (ví dụ: Quét mạng, Quét ứng dụng web, quét chương trình cơ sở/phần mềm) với việc tài liệu hóa và phân loại các lỗ hổng đã xác định trong báo cáo đánh giá lỗ hổng.
    • Phân tích mã tĩnh và động bao gồm báo cáo thử nghiệm chuyên dụng với phân loại các lỗ hổng

  • Thử nghiệm thâm nhập và thử nghiệm mờ

    Mục tiêu của thử nghiệm thâm nhập là mô phỏng một cuộc tấn công mạng để đánh giá tình trạng bảo mật của thiết bị/phần mềm y tế. Mục đích là để xác định các điểm yếu chưa biết được tìm thấy trong quá trình kiểm tra thủ công. Kết quả báo cáo thử nghiệm có thể được sử dụng làm bằng chứng khách quan cho tính hiệu quả của an ninh mạng trong trang thiết bị y tế (tương tự như báo cáo 60601-1 đang được sử dụng làm bằng chứng khách quan cho sự an toàn của trang thiết bị y tế).

    Dịch vụ bao gồm:

    • Các bài thử nghiệm thâm nhập tại TÜV SÜD được thực hiện theo thông lệ tốt nhất từ tất cả các khuôn khổ chính (như OSSTM, PTES, NIST 800-115, ISSAF và OWSAP)

    • Thử nghiệm thâm nhậpthử nghiệm mờ được thực hiện dưới sự công nhận của DAkkS về an ninh mạng thiết bị y tế theo IEC/TR 60601-4-5 xem xét tính an toàn cơ bảnhiệu suất thiết yếu của thiết bị y tế.

    • Xác định các yêu cầu thử nghiệm bổ sung không nằm trong các tiêu chuẩn được liệt kê ở trên

    • Phát triển các phương pháp thử nghiệm sản phẩm cụ thể

    • Đánh giá các giải pháp bảo mật dành riêng cho nhà cung cấp

Khám phá

Cyber security for medical devices
Buổi chia sẻ trực tuyến

Cyber security of medical devices

Managing the challenges and risks relating to cyber security

Learn more

IEC 81001-5-1 cybersecurity for medical device
Sách trắng

IEC 81001-5-1 for Medical Device Cybersecurity

Understand the state of medical device cybersecurity and requirements of IEC 81001-5-1, and how TÜV SÜD can support manufacturers in product development activities.

Learn More

AI in medical devices

Artificial Intelligence in Medical Devices

Verifying and validating AI-based medical devices

Learn More

Các thông tin khác

Bước tiếp theo

Chọn vị trí