随着互联网和信息使用愈发频繁,制药和生物技术行业的网络安全威胁也越来越受到重视。近期网络安全专家Holger Mettler介绍了制药行业网络安全话题。 Mettler的研究领域为:通信技术、仿生学和计算机科学。
是的,变革已经到来。许多制药公司,特别是那些需要对现有设施和机器进行再投资的公司,已经了解到他们的供应商在很大程度上依赖于数字化和信息技术系统。医药行业日益青睐无纸化生产的概念,但仍不乏有厂商十分依赖于传统的纸制模式。Mettler认为,数字化和信息技术系统完全融入制药生产领域仍需时日。
没错。制药公司的工厂在整个制药过程中扮演着至关重要的角色。首先,工厂必须安全运营,它是由传统的机电一体化(机械、电子和计算机技术的结合)实现的。信息技术和网络安全不仅关乎单个工厂,更包含包装、灌装或原料供应系统相互连接并共享数据的整个网络空间。当前,医药数据是存储在分散式的数据中心,例如云数据中心,而不是储存在单个计算机。如果互联网或内联网以某种方式与制造过程相连,那么信息技术和网络安全威胁势必也将影响到制造过程。
数据完整性已经成为一个监管重点,这关系到患者的安全和产品质量,特别是在模拟处理日益被数字化替代的趋势下。对运行和IT系统的篡改,已经带来了一些不良后果,甚至导致一些产品不得不从市场中下架。分析和制造结果已被电子伪造,这就是为什么检查员倾向于强调数据完整性,就分析层面而言,网络威胁可能导致更大的问题。
类似的威胁已经开始影响到了制药公司。如果制药公司的电脑系统防范网络攻击能力不足,则会很容易遭受入侵。更有一些过时的计算机系统,容易感染病毒或木马。
是的,针对制药行业的网络攻击其实由来已久。如果网络罪犯能够窃取研发和制造数据,那么丢失数据的制药公司就很有可能成为被勒索的目标。例如,突然发难的WannaCry病毒不仅传播到了制药公司的办公电脑上,还迅速蔓延到生产电脑上。受此影响,一些公司陷入了瘫痪,甚至被迫停产数日。
为了解析网络攻击威力巨大的原因,就得先了解基于GMP(药品生产质量管理规范)药物生产流程的工业控制系统(ICS)管理,这也是制药生产设施的核心。虽然通常来说,旧的系统仍是独立的,但越来越多的现代化系统是由相互通信的自动化系统组成的。
药品制造企业使用的IT系统服务的远程监控和维护也可能存在安全漏洞。当维护服务提供商在公司的计算机上安装远程IT工具时,他们可以直接访问一个网络,由于进行维护的人员是匿名的,因此也可能会受到潜在的攻击。远程监控和维护提供商会使用来自运营计算中心的IT服务提供商的云解决方案。就GMP(药品生产质量管理规范)而言,依靠外部服务提供商可能会造成GMP要求任何关键活动都可追溯,这些威胁都可能是致命的。同时,当系统在外部进行监控时,数据会与公司外部的人员共享。例如Stuxnet(一种以IC为目标的计算机蠕虫)的案例表明,通过感染的共享打印机能破坏整个工业控制系统。
IT和网络安全方法有很多种,将这些方法结合起来,可以构成一套整体方案。从技术上讲,根据GMP的要求,在程序上诸如病毒保护或防火墙措施,建立一个严格限制对某些设备访问权限的身份管理系统来实现一整套的信息安全管理系统。ISO27001是最广泛使用的标准之一,而BSI(编者注:德国联邦信息安全办公室)有自己的标准,也被称为IT-Grundschutz,通过评估特定基础设施的安全状态,帮助公司实现各类信息所适用的安全级别。这是一个复杂的过程,且可以通过认证。
上图展现了自动化制药制造的不同流程,以及药物制造过程的不同层次和节点需要如何免遭网络攻击。
从良好的制造实践和IT安全性的角度来看,制造参数是影响药品质量的关键工艺步骤,必须在它们周围建造良好的保护。尚未连接到互联网的传统设施是建立在信任的基础上的。但是,这也是非常危险的,因为需要规范数据访问的层次结构。关键数据(如与药物配方有关的数据)只能由训练有素的人员修改,并符合相关质量保证和控制要求。就IT系统而言,情况同样如此,制药公司须为各级别制定所适用的安全标准。
为了保护组织内的网络环境和加密数据, 制药行业已经制定了ICS安全(ICE62443)的新标准。另一标准则是ISO27001中的信息安全管理理念,这一标准也可以应用于药品制造中。
重要的是,我们得明白诸如病毒防护软件这样的技术工具并不适用于制造系统,因为机器长时间运行、反病毒软件在后台运行都可能会导致制造过程中断。因此,有必要尽可能地限制对制造系统的访问。
2017年,药品供应以及制药业的某些部门都被纳入到了关键基础设施中。这涉及到德国的120至150家公司。德国联邦信息技术安全强化法案(BSIG)指出,关键基础设施运营商必须保护他们的关键IT系统免受可行性、机密性、真实性和完整性的破坏。此外它们必须向BSI提供一个联络点并报告重大的IT中断事件。涉及关键基础设施的制药公司目前也在与BSI合作共同制定行业标准。
其实,数据完整性的概念由来已久,它也是GMP监管的一部分。但最新的情况是,立法者要求公司采取行动,并证明他们正在以实际行动实现IT安全。这是一个认证的过程。虽然目前ISO27001证书还不是强制性要求的,各组织仍然必须证明他们已经建立了一个模拟的信息安全管理模型,从而保障产品质量和公共安全。
没错,公司必须应对的挑战数量将随着检查数量的增加而增加,其中数据完整性始终是一个主要问题。美国食品和药物管理局一再提醒避免违反数据完整性,并且还向没有适当记录新药安全性的德国公司发出了警告信。数据和信息安全原则上与数据完整性几乎相同,因为公司必须能够证明在制造过程中的某些数据尚未被篡改。未来的目标必须是整合IT安全和GMP要求,而这也有助于降低成本。
来源:美施威尔
参考资料:
1.《BSI Kritis规例修订条例》,2017年6月21日,经KRITIS health修订:
https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl117s1903.pdf#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s1903.pdf%27%5D__1543301401959
2. 与制药行业的全面互联:
https://ispe.org/initiatives/pharma-4.0#
随著互联网、云计算、人工智能、大数据、5G等技术的快速发展,提高了各行业用户对信息化的安全意识及重视程度,从而加速了市场对「信息安全」的需求。
「2019企业信息安全展览会」(InfoSec)以承载行业发展,精准地针对CIO、IT主管、运维主管、系统集成商及不同IT领域的伙伴朋友们提供一站式信息安全解决方案平台,更与知名品牌展览会「CDCE国际数据中心展」和「EP China国际电力展」同期举办,强强联合发挥协同效应!
主办方之一雅式集团于1978年在香港创立,总部设于香港,并于北京、上海、深圳及新加坡设有办事处,员工超过300名。雅式已被业界公认为中国展览业的佼佼者,过去40年积极扶持中国多个产业的发展。
「InfoSec企业网络信息安全展览会」于上海、北京两地轮流举办,希望与您相约2019年11月6-8日,上海见!网站: www.infosec-expo.com
| 留言与评论(共有 0 条评论) |
