Lääkinnällisten laitteiden kyberturvallisuus | Ilmoitetun laitoksen näkökanta
Kyberturvallisuusasiat ovat puhuttaneet lääkintälaitekentällä jo pidemmän aikaa – MDR:n tulon myötä kyberturvallisuuteen liittyvät vaatimukset ovat kasvaneet merkittävästi ja näitä vaatimuksia täyttämään on pulpahdellut (vihdoin!) jo kättä pidempää erilaisten ohjeistusten ja standardien muodossa.
MDCG-ohjeistuksia käytännössä tulkitaan Ilmoitetun laitoksen puolelta vaatimuksina – näin ollen esimerkiksi kyberturvallisuuteen tuotettu ohjeistus MDCG 2019-16 Guidance on Cybersecurity for medical devices luo perustan valmistajan prosesseille sekä tuotteen vaatimuksille. Ohjeistuksen kylkeen saimme vuoden 2021 lopussa uuden standardin helpottamaan kyberturvallisuusvaatimusten täyttämistä – IEC 81001-5-1:2021 Health software and health IT systems safety, effectiveness and security. Tämä standardi toi laadunhallintajärjestelmäprosesseihin uusia vaatimuksia paitsi mm. riskienhallintaan, ohjelmistokehitykseen, testaukseen mutta myös asiakaskommunikaatioon sekä toimittajahallintaan.
Suhteellisen tuore standardi on tuonut muutoksia myös Ilmoitetun laitoksen arviointikriteereihin. IEC 81001-5-1:2021 standardin täyttä implementointia valmistajan laadunhallintajärjestelmään ja prosesseihin odotetaan vasta toukokuussa 2024. Kuitenkin jo tällä hetkellä Ilmoitettu laitos (esim. TüV SüD) vaatii, että standardi vähintään tunnistetaan Johdon katselmuksessa (ISO 13485 kpl 5.6.2) ja että standardia vasten on tehty kattava gap-analyysi. Analyysin tuloksena valmistajan tulisi vähintään tunnistaa ne vaatimukset, joihin ei vielä täysin vastata ja näiden asioiden täydentämiseen tai korjaamiseen on jo hyvä löytyä aikataulutettu suunnitelma.
Muita vaatimuksia Ilmoitetun laitoksen puolelta ovat mm. seuraavat hyvät käytännöt, jotka valmistajan tulisi ottaa huomioon laadunhallintajärjestelmässään. Mikäli lääkinnällinen laite on osana tietoverkkoa, tulisi huomioida ohjeistus IEC TR 60601-4-5:2021 Medical electrical equipment – Part 4-5: Guidance and interpretation – Safety-related technical security specifications. Tuotekehityksen puolella toimintaa tulisi kehittää SDL:n suuntaan (Secure Development Lifecycle). Näin ollen pelkkä penetraatiotestaus tuotteen kehityksen loppupuolella ei riitä vaatimuksiin vastaamiseen. Ilmoitettu laitos painottaa myös, ettei erillistä riskienhallintaprosessia tulisi luoda kyberturvallisuuteen liittyville riskeille, vaan riskienhallintaprosessin tulisi kattaa kaikki riskit – myös mm. käytettävyysriskit.
Kyberturvallisuuden hanskaamiseksi Ilmoitettu laitos suosittelee STRIDE:en pohjautuvaa uhkamallinnusta. STRIDE:n voi halutessaan implementoida myös osaksi FMEA-tyyppistä arviointia, mikäli valmistajalla tällainen on jo käytössä. On hyvä huomata, että tässäkin asiassa dokumentaation taso on kattava – ei riitä, että valmistaja tunnistaa mitkä asiat pitää kyberturvallisuudessa ottaa huomioon vaan valmistajan on myös perusteltava miksi jotkin asiat eivät ole implementoituna tai eivät valmistajan tuotetta koske. Teknisen tiedostoon odotetaan dokumentaatiota uhkamallinnuksesta sekä penetraatio – ja haavoittuvuustestauksesta.
Myös markkinoille saattamisen jälkeiseen valvontaan tulisi kiinnittää huomiota – valmistajan on toiminnallaan osoitettava proaktiivista haavoittuvuuksien tunnistamista ja näihin tilanteisiin varautumista. Pelkästään oman tuotteen ja koodin puhtaanapitäminen ei tässäkään riitä, vaan myös SOUPit on otettava hallintaan.
Team NB julkaisi kyberturvallisuusvaatimuksiin liittyvän kannanoton lokakuussa 2022. Tämä kaivattu julkaisu pyrkii osoittamaan mitä lääkinnällisten laitteiden valmistajilta odotetaan “state-of-the-art”-tasoiseen kyberturvallisuuteen – tässäkin asiassa kannattaa siis pysyä hereillä ja alkaa päivittämään jo omaa toimintaansa vastaamaan vaatimuksia!
Kasve tukee mielellään yritystäsi kyberturvallisuusvaatimusten huomioimisessa sekä laadunhallintajärjestelmän prosesseissa, että tuotteesi teknisessä tiedostossa. Meiltä saat apua vaatimuksia vastaavaan tuotekehitykseen, riskienhallintaan sekä prosessien päivitykseen.
Ota rohkeasti yhteyttä – katsotaan miten voimme parhaiten auttaa!