临床试验发起人的路线图，以避免EMA(网络)的毁灭

通过约翰Giantsidis， CyberActa, Inc.总裁

多年来，临床研究和临床试验一直依靠技术和专业供应商来设计、发布、收集和分析数据，并获得正在研究的医疗产品的商业化批准。人们一直强调技术解决方案以简化临床试验的进行，并使用新颖的解决方案来提高效率并降低进行临床研究的成本。¹临床试验，乃至医疗保健行业，是最容易受到网络攻击的行业之一。²FDA已经完全接受由此产生的数据来指导监管决策，并且越来越关注数据完整性和医疗设备网络安全，但尚未解决或建立临床试验进行的网络安全期望。然而，欧洲药品管理局(EMA)已经这么做了。^3.

良好临床实践检查员工作组(GCP wg)的最新指南将于2022年生效临床试验中计算机系统和电子数据指南超越了传统的软件验证和数据完整性期望。它实际上设定了与用户管理和持续安全措施有关的要求和期望，包括:

• 补丁管理
• 物理安全
• 防火墙
• 脆弱性管理
• 平台管理
• 使用双向设备
• 杀毒软件
• 渗透测试
• 入侵检测系统
• 内部活动监测
• 安全事故管理
• 身份验证方法
• 远程身份验证和密码管理器
• 远程身份验证
• 密码策略
• 密码保密
• 不注销
• 日期和时间
• 远程连接。

除了安全期望之外，EMA还强调申办者和/或调查人员要确保提供云解决方案的供应商有资格满足附件4的要求。因此，如果你们正在计划或已经开始了EMA管辖下的临床试验，你们是否知道你们的供应商是否遵循这些指南?EMA在分析临床试验风险时采用了对威胁来源的评估。威胁源的特征如下:

1. 利用漏洞的意图和方法;或
2. 可能意外利用漏洞的情况和方法。

威胁来源的清单相当大;NIST特别出版物800-30进行风险评估指南，⁴附录D的表D-2对威胁来源进行了有用的分类。

那么，受EMA指南约束的临床试验的申办者和/或CRO的计划应该是什么?赞助商将如何评估，更重要的是，如何证明供应商符合EMA指南中定义的要求?

重要的是要了解，评估云安全可能会使用不同的方法。在评估对某些类型信息的保护时，依赖云服务提供商的自我评估、可能的其他认证和合同承诺可能就足够了。在评估其他类型信息的保护时，建议额外要求独立的外部方进行验证。验证结果的可靠性在很大程度上取决于所采用方法的可靠性。例如，通过研究文档获得的可靠性程度与使用技术测试来验证云服务保护不同。

最关键的一步是评估和记住特定供应商带来的风险。网络安全和基础设施安全局(CISA)信息和通信技术(ICT)供应链风险管理(SCRM)工作组⁵制作了一个免费的标准化问题模板，作为在各种规模的公共和私营组织之间以一致的方式沟通ICT供应链风险状况的一种手段。本次评估的目的是使一组关于ICT供应商/提供商实施和应用行业标准和最佳做法的问题规范化。这些问题提高了实体信任和保证实践的可见性和透明度，并有助于就可接受的风险敞口做出明智的决策。评估可以用来阐明风险管理实践中的潜在差距，并提供一个灵活的模板，可以帮助以标准的方式指导供应链风险计划。还有其他工具可用于收集信息，以帮助确定如何跨不同风险领域管理安全风险，如云安全联盟CSA STAR评估，⁶参与组织在哪里提交共识评估倡议问卷(CAIQ)以记录实践，以及标准化信息收集(SIG)核心问卷⁷组织用于执行第三方供应商的初始评估。

根据供应商提供的信息，保荐人或投诉办应集中注意已查明的风险或核实确实有客观证据。必须特别强调以下10个方面:

1.系统描述

云服务提供商的描述必须包括:

1. 服务和部署模型以及相关的服务水平协议。
2. 云计算服务生命周期(开发、使用、处置)的原则、过程和安全措施，包括控制措施。
3. 描述用于开发、维护/管理和使用云计算服务的基础设施、网络和系统组件。
4. 变更管理政策和实践，特别是影响安全的变更过程。
5. 重大异常事件处理流程，如系统重大故障处理流程。
6. 赞助商和云服务提供商之间在提供和使用云计算服务方面的作用和职责划分。说明必须清楚地指出赞助商在确保云计算服务安全方面负责采取的措施。云服务提供商的责任必须包括合作解决事件的义务。
7. 业务转移或外包给分包商。

2.安全责任

必须明确保安责任，使负责人能够履行其负责的保安职责。如果没有其他说明，则所有安全责任都由组织的管理人员承担。指定云计算政策的目的是明确哪些安全职责是客户的责任，哪些是服务提供商的责任。建议提案国核实:

1. 为人员提供有关如何妥善处理保密资料的指示和培训。
2. 定期提供关于如何处理保密信息的培训，并对参加培训的人员进行记录。
3. 对安全指示的遵守情况进行监测，并定期评估修改指示的需要。
4. 针对目标群体的信息安全相关的安全培训和安全意识发展计划是强制性的，适用于云服务提供商的所有内部和外部员工。

3.安全管理的证据

重要的是，提供客观证据证明安全事件管理是:

1. 计划,
2. 指导和训练，
3. 在环境的适当层次上形成文件，并且
4. 练习。

4.业务连续性

有关业务连续性和准备的计划定期(至少一年一次)进行验证、更新和测试，或者总是在组织或环境发生重大变化之后。测试还涉及担保人、其他客户和受这些问题影响的主要第三方。这些测试被记录下来，其结果将在未来有关业务连续性的安全措施中加以考虑。

5.间隙

在雇佣开始前，必须使用当地法律允许的程序，检查能够访问保荐人信息或共享IT基础设施的内部和外部员工的背景。必须通过相关级别的许可程序检查和监测与处理机密信息有关的个人的可信度。在法律允许的范围内，背景调查必须至少包括以下内容:

1. 身份验证。
2. 核实工作经历。
3. 学历证明。

6.基本保护规划

云服务提供商应维持一个风险评估程序，该程序应考虑针对常见网络攻击的保护，并对保护措施进行缩放，以确保常见网络攻击不会危及服务或通过服务处理的信息的机密性、完整性或可用性。所有连接的IT系统都被视为不可靠的，并为常见的网络攻击做好准备。为常见的网络攻击做准备还包括只保持必要的功能运行等措施。功能应该被限制在满足操作需求的最窄的子集中(例如，功能可见性的限制)。此外，还应考虑防止欺骗和限制网络可见性等措施。特别是在internet接口，还必须确保对(分布式)拒绝服务攻击的保护。

7.访问权限管理

云服务提供商的访问权限管理必须确保只有授权用户才能访问数据处理环境及其包含的受保护信息。申办者可以利用以下要求来验证和记录正常运行的访问权管理程序的存在，这对于EMA指南的附件3很重要:

1. 有协议或其他文件化的可核实的理由作为获取权的基础(例如，雇佣关系、关于在环境中进行工作的协议)。
2. 必须为所有用户凭据管理凭据的生命周期，以便只有必要的凭据有效且处于活动状态，而不需要的用户凭据将立即删除。
3. 访问权限必须限制在功能需求所需的细分范围内。不必要的广泛权限允许所讨论的用户或进程或获得凭据所有权的攻击者进行不必要的广泛操作。将访问权限限制到最低限度可以减少来自故意和意外行为以及恶意软件的风险。
4. 管理权限仅用于管理措施。具有管理员权限的用户帐户不应用于网页浏览或电子邮件。
5. 为了确保访问权限是最新的，需要定期审查所有员工、供应商和外部用户的访问权限，例如每三个月一次。
6. 在职位描述发生变化的情况下，特别是在终止雇佣关系时，修改和删除权利有明确的程序。必须考虑云服务提供商和发起方之间的责任划分，因为云服务提供商负责与提供云计算服务相关的系统配置的访问权限管理，而发起方负责基于服务提供商的服务配置构建的部分的访问权限管理。在评估保荐人负责的部分时，建议特别考虑相应的要求也适用于保荐人和与客户部分相关的任何服务提供者。
7. 访问权限管理基于最小特权原则:
   1. 存在用于创建、审批和维护用户帐户的预定义流程。
   2. 仅向信息处理环境的用户提供履行其职责所必需的信息、权利或授权。
   3. 维护系统用户列表。每一个被授予的访问权都有记录。
   4. 在授予访问权限时，要检查接收权限的人是否为雇员或具有其他权限的人。
   5. 有关于处理和授予访问权的指导方针。
   6. 访问权限保持最新。当不再需要用户帐户和权限时(例如，用户离开组织或用户帐户在指定时间内未被访问)，它们将被删除。
   7. 有一个明确和有效的程序，以便立即向有关方面报告人员的任何变化，并有一个有效的程序来进行所需的变化。
   8. 访问权限定期审核，至少每三个月审核一次。

8.识别/认证

重要的是要保护身份验证方法免受中间人攻击，并且在用户的实际身份验证之前，在登录阶段不泄露任何附加信息。如果通过网络发送身份验证凭据，则必须始终采用加密格式，必须保护身份验证方法防止重放攻击，并且必须保护身份验证方法防止暴力攻击。

9.脆弱性管理

期望云服务提供商的漏洞管理涉及到对系统环境的持续监控和开发，以便软件供应商能够尽快安装漏洞补丁。此外，保荐人还应核实:

1. 软件与供应商的版本支持保持同步。对于过时的软件版本，不会发布任何活动更新，这意味着可能无法修复安全漏洞。
2. 考虑了漏洞修补措施对服务的影响。如果执行修补程序导致赞助商的服务中断，则修补程序的安排应尽量减少对客户的不便，或在先前商定的服务中断期间进行。建议先在测试环境中测试补丁，以确保补丁不会对服务造成意外更改。
3. 主动漏洞管理可以通过以下方式进行:
   1. 明确漏洞修补的职责和分工;
   2. 监控系统的发展和用于提供服务的任何软件的安全状况
   3. 同意持续监控程序，例如，通过扫描自己的环境来检测已知的漏洞。

10.物理安全

如果认为有必要，根据所提供的服务和/或地点，应评估物理安全措施。物理安全措施是阻止入侵者偷偷或强行进入;阻止:阻止、阻碍和发现未经授权的行为;并允许在需要知道的基础上，在获取信息方面对人员进行隔离。此类物理安全措施应根据云提供商的风险管理流程确定。

总结

计算机系统在临床研究中得到越来越多的应用。在过去几年中，这些系统的复杂性迅速发展，从eCRF和epro到各种可穿戴设备，用于持续监测试验参与者的临床相关参数，并最终使用人工智能。EMA声明，为了维护试验参与者的数据完整性和隐私保护，临床试验中使用的计算机化系统必须具有安全流程和功能，以防止未经授权的访问和意外或故意的数据修改。针对包含临床试验数据的系统的威胁和攻击以及确保这些系统安全的相应措施不断发展。这些袭击已经发生，⁸将继续进行，因此，EMA要求赞助商和cro解决安全和数据保护问题。

作者简介:

John Giantsidis是CyberActa公司是一家精品咨询公司，为医疗设备、数字健康和制药公司的网络安全、隐私、数据完整性、风险、SaMD法规遵从性和商业化努力提供支持。他也是佛罗里达律师协会技术委员会的成员，也是美国海军陆战队的网络助理。他持有Clark University的理学学士学位，the University of New Hampshire的法学博士学位，以及the George Washington University的网络安全政策与合规工程硕士学位。可以联系到他john.giantsidis@cyberacta.com．