An ninh mạng cho thiết bị y tế và thiết bị chẩn đoán In Vitro

TẠI SAO THỬ NGHIỆM AN NINH MẠNG CHO THIẾT BỊ Y TẾ / THIẾT BỊ CHẨN ĐOÁN IN VITRO (IVDS) LẠI QUAN TRỌNG?

Có nhiều quy định, vấn đề đạo đức và kinh doanh là lí do tại sao an ninh mạng cần phải được xem xét và đảm bảo trong các thiết bị y tế và phụ kiện đi kèm. Ví dụ như:

• Tuân thủ các yêu cầu luật định là điều kiện tiên quyết để tiếp cận thị trường thiết bị y tế ở nhiều quốc gia chính như Hoa Kỳ, Châu Âu, Trung Quốc, Úc và Vương quốc Anh. Trong số đó phải kể đến Luật định về thiết bị y tế của Châu Âu (MDR) và Luật định về thiết bị y tế chẩn đoán In Vitro (IVDR) xác định một số các yêu cầu an ninh mạng tại phụ lục I của luật định dưới “các yêu cầu chung về an toàn và hiệu suất”. Mặt khác, Cục Quản lý Thực phẩm và Dược phẩm Hoa Kỳ (FDA) cung cấp các tài liệu hướng dẫn, chẳng hạn như “Quản lý sau bán hàng về an ninh mạng cho thiết bị y tế”, giải thích cách thực hiện các yêu cầu an ninh mạng tương ứng. 
  

• Truy cập trái phép vào thiết bị y tế có thể dẫn đến hậu quả nghiệm trọng. Các cuộc tấn công nhằm vào thiết bị y tế có thể gây rủi ro cho sự an toàn của bệnh nhân, dẫn đến hậu quả chết người trong một số trường hợp nhất định. Nếu các rủi ro về an ninh mạng không được giảm thiểu hoặc quản lý một cách hiệu quả, nó có thể dẫn đến tổn hại cho bệnh nhân như thương tích hoặc tử vong, chẳng hạn như do cố ý làm hỏng thiết bị y tế hoặc gây ra sự không sẵn sàng của thiết bị và chậm trễ trong điều trị.
  
• Các thiết bị y tế được kết nối mang lại cơ hội mới cho các thiết bị y tế, tuy nhiên, chúng cũng làm tăng thách thức về quyền riêng tư của dữ liệu theo các quy định bảo vệ dữ liệu toàn cầu. Các thiết bị này lưu trữ và truyền tải thông tin y tế rất nhạy cảm cần được bảo vệ, theo quy định của pháp luật và điều khoản của Châu Âu (GDPR), Hoa Kỳ (ví dụ: CFR 164.312) hoặc Vương quốc Anh (DPA18).
  
• Các vi phạm có thể dẫn đến các hoạt động đề phòng tốn kém và các hành động an toàn hiện trường; việc công khai tiêu cực có thể đánh mất lòng tin và tốn hàng triệu đô la tiền phạt theo quy định.

HƯỚNG DẪN CỦA CƠ QUAN QUẢN LÝ

Trên toàn cầu, các cơ quan quản lý ngày càng có nhận thức về an ninh mạng đối với các thiết bị y tế. Ví dụ, FDA, Ủy ban Châu Âu và Bộ Y tế Canada đã xuất bản hướng dẫn về cách đáp ứng các quy định về an ninh mạng. Các hướng dẫn này nâng cao nhận thức về sự cần thiết của việc quét lỗ hổng bảo mật, thử nghiệm thâm nhập hoặc các kiểm tra bảo mật khác trong toàn bộ vòng đời của thiết bị y tế. Bảo mật thiết bị y tế bắt đầu từ giai đoạn thiết kế và bao gồm

• bảo mật vòng đời quy trình phát triển ,
• bảo mật quy trình quản lý rủi ro,
• các thử nghiệm để xác minh và xác thực "bảo mật cấy ghép" và "các biện pháp giảm thiểu rủi ro bảo mật" và
• một quy trình sau bán hàng bảo mật.

Các cách để xác minh và xác thực đó là thử nghiệm thâm nhập, quét lỗ hổng bảo mật và thử nghiệm mờ (fuzz), kiểm tra tính năng bảo mật và xem xét mã nguồn. Các bài thử nghiệm bổ sung có thể được thực hiện để xác định nhiều thành phần có các vấn đề đã biết.

Cập nhật những phát triển mới nhất thông qua các câu hỏi thường gặp của chúng tôi. 

DỊCH VỤ THỬ NGHIỆM VÀ ĐÁNH GIÁ AN NINH MẠNG CHO THIẾT BỊ Y TẾ CỦA CHÚNG TÔI

Các phòng thử nghiệm của chúng tôi, được hỗ trợ bởi một nhóm toàn cầu gồm hơn 750 chuyên gia về chăm sóc sức khỏe và thử nghiệm thiết bị y tế, cung cấp một loạt các dịch vụ để thử nghiệm và đánh giá an ninh mạng của các thiết bị y tế. Các thử nghiệm bảo mật do TÜV SÜD thực hiện được công nhận theo tiêu chuẩn IEC/TR 60601-4-5 để đảm bảo năng lực và chuyên môn thử nghiệm thâm nhập thiết bị y tế cao nhất. Các dịch vụ này bao gồm: