Кібербезпека медичних виробів: новий виклик для українських виробників

Чому це важливо?

Сучасні медичні вироби дедалі частіше мають у складі програмне забезпечення, можливість підключення до мережі, обмін даними з іншими системами. Це відкриває нові можливості — автоматизація процесів, інтеграція з ЛІС, дистанційний моніторинг — але й створює нові ризики, пов’язані з кібербезпекою.

У Європейському Союзі питання кіберзахисту вже давно є частиною нормативної бази — відповідні вимоги містяться в Регламентах MDR (2017/745) і IVDR (2017/746), а також у численних рекомендаціях (MDCG, IMDRF) та стандартах (наприклад, ISO/IEC 81001-5-1).

Це означає, що виробники мають враховувати кіберзагрози вже на етапі проєктування виробу (принцип security-by-design) і документувати всі дії з управління такими ризиками.

До яких виробів це відноситься?

Кібербезпека не обмежується складними інформаційними системами. Найбільше ризиків виникає щодо виробів, які:

• містять програмне забезпечення або мікропроцесорні блоки управління;
• передають або отримують дані через мережу;
• мають можливість дистанційного доступу чи оновлення;
• зберігають чутливу інформацію (наприклад, результати аналізів).

У практиці українських виробників це може стосуватися:

• автоматизованих гематологічних аналізаторів із ПЗ;
• цифрових ендоскопів із можливістю підключення до ЛІС;
• приладів телемедицини;
• діагностичних платформ, що обробляють ПІБ пацієнтів або медичні дані.

Що роблять європейські виробники?

Відповідно до MDR/IVDR, європейські виробники зобов’язані:

• ідентифікувати кіберзагрози в межах аналізу ризиків;
• оцінити рівень небезпеки та впровадити технічні й організаційні заходи контролю;
• враховувати потенційні уразливості (vulnerabilities), у тому числі пов’язані з користувацькими помилками або взаємодією з іншими системами;
• задокументувати заходи в таких розділах технічного файлу, як:
  • файл управління ризиками (Risk Management File),
  • інструкція із застосування (ІЗЗ),
  • публічний звіт про безпеку та клінічну ефективність (SSCP);
• надати чіткі обмеження використання (наприклад, вимоги до мережі або режиму доступу);
• планувати післяреєстраційний моніторинг кіберзагроз: відстеження інцидентів, оновлення ПЗ, моніторинг національних реєстрів уразливостей.

Вони також користуються такими джерелами:

• IEC 81001-5-1:2021 — стандарт з вимогами до безпеки ПЗ;
• MDCG 2019-16, MDCG 2020-1, IMDRF guidance — детальні вказівки щодо кібербезпеки.

Яка ситуація в Україні?

Поточні технічні регламенти (№753, №754, №755) ще не містять прямих вимог щодо кібербезпеки. Але ситуація швидко змінюється:

• призначені органи вже зараз звертають увагу на наявність функцій безпеки в ПЗ та на обґрунтування їх у технічному файлі;
• файл управління ризиками, валідація ПЗ, інструкції з описом мережевих вимог — усе це стало звичною частиною перевірок під час оцінки відповідності виробів 2а/2б класів;
• питання кібербезпеки передбачено в найближчих планах гармонізації регламентів із MDR/IVDR — отже, в майбутньому ці вимоги стануть обов’язковими.

Наразі немає окремого державного документа чи стандарту, який регламентує підходи до кіберзахисту медичних виробів в Україні. Проте цей блок обов’язково буде врахований у процесі оновлення нормативної бази.

Що варто врахувати українському виробнику?

Якщо ваш виріб:

• містить вбудоване або автономне ПЗ;
• підключається до мережі;
• взаємодіє з іншими системами;
• працює з персональними або медичними даними —

кіберзахист має бути інтегрований у загальну систему управління ризиками.

Рекомендуємо:

• описати можливі загрози й уразливості у файлі управління ризиками;
• задокументувати технічні обмеження використання, пов’язані з мережею, хмарними сервісами, зовнішніми пристроями;
• надати користувачеві чіткі інструкції, як уникати небезпечних сценаріїв (наприклад, підключення до публічних Wi-Fi);
• підготувати технічний файл із врахуванням майбутніх вимог MDR/IVDR, навіть якщо наразі ви не плануєте вихід на ринок ЄС.

Це не лише зменшить ризики на стадії перевірки технічної документації, а й підвищить довіру з боку лікарень, дистриб’юторів і кінцевих споживачів.

Підсумки

Кібербезпека вже стала невід’ємною частиною технічних вимог у ЄС — і неминуче стане такою в Україні. Це не тимчасова рекомендація, а довгостроковий тренд, що випливає з цифровізації медичних виробів.

Виробники, які почнуть впроваджувати ці практики вже зараз, отримають реальні переваги — як при проходженні оцінки відповідності, так і на етапі виходу на міжнародні ринки.

  Потрібна допомога з аналізом ризиків, внесенням змін до інструкції із застосування або підготовкою технічного файлу? Команда ukraine-raa.com консультує українських виробників щодо вимог MDR/IVDR і готова супроводжувати вас на кожному етапі.