《IT安全法》对药品生产意味着什么?——黑客攻击对于每一家药品生产企业而言都是噩梦般的存在:不仅破坏了企业形象,而且还会对药品供应链的安全造成威胁。因此,有关保护关键性产品的法律法规就要求了药品生产企业在特定条件下需要承担更多的责任和义务。
文/ Anke Geipel-Kern
本文作者系本刊德文版杂志副主编。
黑客攻击是制药企业所深恶痛绝的。美国知名制药企业Merck公司在2017年6月就遇到了巨大的药品供应难题——受到了计算机勒索病毒“Not Petya”的攻击,致使生产瘫痪。
勒索软件给这家企业造成的经济损失估值为6.7亿美元,这还不包括给企业形象带来的污点。这家制药巨头受到的巨额损失绝不是孤立的个案,Deloitte公司的一项调查研究指出:制药企业是黑客和恶意软件首选的攻击目标。因此,一般情况下存储在海量数据中的“知识产权”对制药企业来讲有着至关重要的意义。任何窃取了竞争对手药物有效成分的人都是一颗潜在的重磅炸弹,如果他能利用窃取到的知识产权将药品顺利投放到市场,就可以轻松地赚到一大笔钱。专家预估,全球的药品市场规模约为一万亿美元。因此,这里蕴藏着丰厚的收获。
针对物联网的黑客
随着工业4.0时代的到来,IT系统和生产系统更加趋向于自动化和网络化,黑客攻击制药企业的趋势也会延续下去。总部位于Wuppertal-Elberfeld市的拜耳公司的API活性药物成分生产基地IT技术领导人Dirk Spingat博士表达了自己的看法,“在制药行业领域中,我们看到了两种完全相反的发展趋势。数字化技术要求在各个自动化层次之间有着更大的开放性,一方面使得整个系统更易被入侵,另一方面也提高了IT安全保护的要求。”
AV测试研究所对不同恶意软件发展状况的研究结果也证实了这一点。犯罪分子在很早以前就开始关注物联网,并且在2018年第一季度就开发出比以往任何时候都多的、专门攻击网络系统的恶意软件。据AV测试研究所的专家介绍,经典病毒“特洛伊木马”的数量正在下降。据悉,AV测试研究所掌握着全球最大的恶意软件数据库。
在网络安全方面,德国制药业仍然处于相对比较宽松的法律法规框架内运作。但立法机构正在逐步完善相关的法律法规。自2017年6月开始,德国的《IT安全法》第二条中新增加了这样一条规定:如果生产厂家进口到德国市场的处方药以及血液和血浆制品的数量超过465万件时,则被视为“关键性的基础医药制品”。
主管部门的协调
这一限制性规定是为避免所有德国企业生产的药品不会受到关键性产品保障法规的制约而制定的。即便是联邦政府的联邦信息安全办公室(BSI)前来问询,为保护相关企业的隐私也会拒绝为其提供数据和名称。
受关键性产品保障法规监管的制药企业应立即开始行动。时间在点点滴滴地流逝:2018年仅要求相关企业进行自查,确定自己是否属于关键性企业。到2019年年中,信息安全系统审核的过渡期就已经结束。从那之后,立法机构对每家企业进行了仔细的审查,并有罚款的趋向,但是罚款的金额不高。
Spingat博士对BSI的工作方式给予了高度赞誉,毕竟这是在处理一个复杂程度很高的技术问题。他说道,“IT安全是一个非常现实的话题,而且是与法律规定无关的话题。但每一家企业都应在保障自身利益的前提下保护好自己的IT资产。如果您对法规的适用尚不明晰,可以前往主管当局以获得支持和建议。”那些本身没有IT安全保护部门的中小型企业对主管当局的政策非常认可。Spingat博士继续说道,“即使您的生产基地不属于关键性保护的类别,但关键性检查的风险分析能够更好地说明其安全可靠性,并不会带来任何损失。”
许多受到关键性保护的企业已经做足了功课,至少在2018年12月GAMP 5良好自动化生产实践指南(第五版)的技术论坛中获得了自己所需的咨询结果——Spingat博士的专家团队针对关键性保护法规的实施情况进行了专业的讨论。
如这项法规一样,这项工作仅仅是建立起了一个总体框架。BPI、BAH、Vfa和Pro Generika等医药协会与药品批发商协会Phagro共同制定了针对医药产品的实施细则,正在等待BSI的审批。拜耳公司的专家就是这些细则的制定者之一。
基于风险控制的分析
履行立法者规定的义务似乎并不难:
明确一个联络点;
报告IT安全方面的事故;
采用符合当代技术水平的保护措施;
每2年进行1次验证。
借助于药品生产质量管理规范(GMP)、计算机系统验证、ISPE GAMP 5和电子记录/电子签名技术标准Part 11等法规,制药行业在风险管理方面更加得心应手了。“但法律法规的制定者在此基础之上又增加了一点:IT安全由系统各部分的完整性、可用性和保密性组成。GMP规范要求进行的风险分析的着眼点是数据的完整性。到目前为止,可用性还一直处于一种‘幕后’的状态。相信在关键性保证规范问世之后,可用性会变得更加重要。”Spingat博士强调道。
那么,药品生产企业需要做哪些准备呢?专家指出,制药企业需要注重下列两个问题:
仅仅按照GMP规范落实工作的企业也可以使用这一管理系统来贯彻关键性保护的有关措施,但必须有进一步的扩展(利用其风险管理中的可用性),以满足关键性保护法规的有关要求。
已经通过了ISO 27001标准认证的企业当然可以继续使用这些认证证书,但要审查所有的认证检查因素是否满足关键性保护法规的要求。
因此,未来将会继续保留风险管理系统。GMP专家却在担心将来不得不建立多个平行的相邻系统。
