您對網(wǎng)絡(luò)安全了解嗎？

文/ Anke Geipel-Kern

根 據(jù)《IT安 全法》，生產(chǎn)急救用止痛藥的企業(yè)可能會成為關(guān)鍵性保護基礎(chǔ)框架內(nèi)的一員

《IT安全法》對藥品生產(chǎn)意味著什么？——黑客攻擊對于每一家藥品生產(chǎn)企業(yè)而言都是噩夢般的存在：不僅破壞了企業(yè)形象，而且還會對藥品供應(yīng)鏈的安全造成威脅。因此，有關(guān)保護關(guān)鍵性產(chǎn)品的法律法規(guī)就要求了藥品生產(chǎn)企業(yè)在特定條件下需要承擔更多的責任和義務(wù)。

黑客攻擊是制藥企業(yè)所深惡痛絕的。美國知名制藥企業(yè)Merck公司在2017年6月就遇到了巨大的藥品供應(yīng)難題——受到了計算機勒索病毒“Not Petya”的攻擊，致使生產(chǎn)癱瘓。

勒索軟件給這家企業(yè)造成的經(jīng)濟損失估值為6.7億美元，這還不包括給企業(yè)形象帶來的污點。這家制藥巨頭受到的巨額損失絕不是孤立的個案，Deloitte公司的一項調(diào)查研究指出：制藥企業(yè)是黑客和惡意軟件首選的攻擊目標。因此，一般情況下存儲在海量數(shù)據(jù)中的“知識產(chǎn)權(quán)”對制藥企業(yè)來講有著至關(guān)重要的意義。任何竊取了競爭對手藥物有效成分的人都是一顆潛在的重磅炸彈，如果他能利用竊取到的知識產(chǎn)權(quán)將藥品順利投放到市場，就可以輕松地賺到一大筆錢。專家預(yù)估，全球的藥品市場規(guī)模約為一萬億美元。因此，這里蘊藏著豐厚的收獲。

針對物聯(lián)網(wǎng)的黑客

隨著工業(yè)4.0時代的到來，IT系統(tǒng)和生產(chǎn)系統(tǒng)更加趨向于自動化和網(wǎng)絡(luò)化，黑客攻擊制藥企業(yè)的趨勢也會延續(xù)下去。總部位于Wuppertal-Elberfeld市的拜耳公司的API活性藥物成分生產(chǎn)基地IT技術(shù)領(lǐng)導(dǎo)人Dirk Spingat博士表達了自己的看法，“在制藥行業(yè)領(lǐng)域中，我們看到了兩種完全相反的發(fā)展趨勢。數(shù)字化技術(shù)要求在各個自動化層次之間有著更大的開放性，一方面使得整個系統(tǒng)更易被入侵，另一方面也提高了IT安全保護的要求。”

AV測試研究所對不同惡意軟件發(fā)展狀況的研究結(jié)果也證實了這一點。犯罪分子在很早以前就開始關(guān)注物聯(lián)網(wǎng)，并且在2018年第一季度就開發(fā)出比以往任何時候都多的、專門攻擊網(wǎng)絡(luò)系統(tǒng)的惡意軟件。據(jù)AV測試研究所的專家介紹，經(jīng)典病毒“特洛伊木馬”的數(shù)量正在下降。據(jù)悉，AV測試研究所掌握著全球最大的惡意軟件數(shù)據(jù)庫。

在網(wǎng)絡(luò)安全方面，德國制藥業(yè)仍然處于相對比較寬松的法律法規(guī)框架內(nèi)運作。但立法機構(gòu)正在逐步完善相關(guān)的法律法規(guī)。自2017年6月開始，德國的《IT安全法》第二條中新增加了這樣一條規(guī)定：如果生產(chǎn)廠家進口到德國市場的處方藥以及血液和血漿制品的數(shù)量超過465萬件時，則被視為“關(guān)鍵性的基礎(chǔ)醫(yī)藥制品”。

主管部門的協(xié)調(diào)

這一限制性規(guī)定是為避免所有德國企業(yè)生產(chǎn)的藥品不會受到關(guān)鍵性產(chǎn)品保障法規(guī)的制約而制定的。即便是聯(lián)邦政府的聯(lián)邦信息安全辦公室（BSI）前來問詢，為保護相關(guān)企業(yè)的隱私也會拒絕為其提供數(shù)據(jù)和名稱。

受關(guān)鍵性產(chǎn)品保障法規(guī)監(jiān)管的制藥企業(yè)應(yīng)立即開始行動。時間在點點滴滴地流逝：2018年僅要求相關(guān)企業(yè)進行自查，確定自己是否屬于關(guān)鍵性企業(yè)。到2019年年中，信息安全系統(tǒng)審核的過渡期就已經(jīng)結(jié)束。從那之后，立法機構(gòu)對每家企業(yè)進行了仔細的審查，并有罰款的趨向，但是罰款的金額不高。

過程模型

如何避免重復(fù)工作

在2018年的智能制造工藝流程大會上，Excyte公司的安全技術(shù)專家Robert Geiger提出了規(guī)劃設(shè)計和實施信息安全管理系統(tǒng)（ISMS）的過程模型。構(gòu)建這一模型的出發(fā)點是專門針對自動化的生產(chǎn)系統(tǒng)創(chuàng)建一套滿足企業(yè)自動化生產(chǎn)網(wǎng)絡(luò)要求的網(wǎng)絡(luò)安全保護策略。利用這一過程模型可以幫助企業(yè)規(guī)避遇到的風險，保護自己關(guān)鍵性的工業(yè)控制系統(tǒng)（ICS）。在此基礎(chǔ)上，企業(yè)可以通過查詢在制藥行業(yè)中通常已經(jīng)使用了一段時間的所有與IT系統(tǒng)安全措施、指南、標準操作程序（SOPs）和組織措施等有關(guān)的信息和資料，豐富其使用的信息安全保護系統(tǒng)，以滿足現(xiàn)代化的、符合法律法規(guī)的信息安全管理系統(tǒng)的要求。過程模型滿足了生產(chǎn)領(lǐng)域的技術(shù)要求和企業(yè)組織工作方面的安全保護措施的要求，例如，ISO27001標準中有關(guān)制藥企業(yè)典型的質(zhì)量保證要求、法律法規(guī)方面電子記錄/電子簽名技術(shù)標準Part 11、計算機系統(tǒng)驗證和ISPE GAMP 5以及企業(yè)組織管理方面IEC 62443標準對基礎(chǔ)設(shè)施進行認證的要求。這一過程模型顯示了制藥企業(yè)藥品質(zhì)量保證體系的協(xié)同保障作用，并將自動化的藥品生產(chǎn)納入到了信息安全管理之中，集成了更多的技術(shù)標準。

Spingat博士對BSI的工作方式給予了高度贊譽，畢竟這是在處理一個復(fù)雜程度很高的技術(shù)問題。他說道，“IT安全是一個非常現(xiàn)實的話題，而且是與法律規(guī)定無關(guān)的話題。但每一家企業(yè)都應(yīng)在保障自身利益的前提下保護好自己的IT資產(chǎn)。如果您對法規(guī)的適用尚不明晰，可以前往主管當局以獲得支持和建議。”那些本身沒有IT安全保護部門的中小型企業(yè)對主管當局的政策非常認可。Spingat博士繼續(xù)說道，“即使您的生產(chǎn)基地不屬于關(guān)鍵性保護的類別，但關(guān)鍵性檢查的風險分析能夠更好地說明其安全可靠性，并不會帶來任何損失。”

許多受到關(guān)鍵性保護的企業(yè)已經(jīng)做足了功課，至少在2018年12月GAMP 5良好自動化生產(chǎn)實踐指南（第五版）的技術(shù)論壇中獲得了自己所需的咨詢結(jié)果——Spingat博士的專家團隊針對關(guān)鍵性保護法規(guī)的實施情況進行了專業(yè)的討論。

如這項法規(guī)一樣，這項工作僅僅是建立起了一個總體框架。BPI、BAH、Vfa和 Pro Generika等醫(yī)藥協(xié)會與藥品批發(fā)商協(xié)會Phagro共同制定了針對醫(yī)藥產(chǎn)品的實施細則，正在等待BSI的審批。拜耳公司的專家就是這些細則的制定者之一。

基于風險控制的分析

履行立法者規(guī)定的義務(wù)似乎并不難：

●明確一個聯(lián)絡(luò)點；

●報告IT安全方面的事故；

●采用符合當代技術(shù)水平的保護措施；

●每2年進行1次驗證。

借助于藥品生產(chǎn)質(zhì)量管理規(guī)范（GMP）、計算機系統(tǒng)驗證、ISPE GAMP 5和電子記錄/電子簽名技術(shù)標準Part 11等法規(guī)，制藥行業(yè)在風險管理方面更加得心應(yīng)手了。“但法律法規(guī)的制定者在此基礎(chǔ)之上又增加了一點：IT安全由系統(tǒng)各部分的完整性、可用性和保密性組成。GMP規(guī)范要求進行的風險分析的著眼點是數(shù)據(jù)的完整性。到目前為止，可用性還一直處于一種‘幕后’的狀態(tài)。相信在關(guān)鍵性保證規(guī)范問世之后，可用性會變得更加重要。”Spingat博士強調(diào)道。

那么，藥品生產(chǎn)企業(yè)需要做哪些準備呢？專家指出，制藥企業(yè)需要注重下列兩個問題：

●僅僅按照GMP規(guī)范落實工作的企業(yè)也可以使用這一管理系統(tǒng)來貫徹關(guān)鍵性保護的有關(guān)措施，但必須有進一步的擴展（利用其風險管理中的可用性），以滿足關(guān)鍵性保護法規(guī)的有關(guān)要求。

●已經(jīng)通過了ISO 27001標準認證的企業(yè)當然可以繼續(xù)使用這些認證證書，但要審查所有的認證檢查因素是否滿足關(guān)鍵性保護法規(guī)的要求。

因此，未來將會繼續(xù)保留風險管理系統(tǒng)。GMP專家卻在擔心將來不得不建立多個平行的相鄰系統(tǒng)。