Μέχρι πρόσφατα, οι συζητήσεις για την κυβερνοασφάλεια στη φαρμακοβιομηχανία δεν βρίσκοταν ψήλα στην ατζέντα. Όχι επειδή αγνοούνταν, αλλά γιατί αποτελούσαν ένα θέμα τυπικότητας και συμμόρφωσης. Όσο τα audits περνούν χωρίς σοβαρά ευρήματα, όσο υπάρχουν οι σωστές πολιτικές και καλύπτονται οι απαραίτητες κανονιστικές απαιτήσεις, το θέμα κυβερνοασφάλεια βρίσκεται «υπό έλεγχο».

Evelina Moschou

Pharma & Healthcare Account Manager, Greece – FORTINET

 

 

 

Σήμερα όμως, με τα ψηφιακά συστήματα όχι απλώς να υποστηρίζουν λειτουργίες αλλά να τις καθορίζουν, αυτή η ως τώρα δοκιμασμένη πρακτική δοκιμάζεται.

Ο ψηφιακός μετασχηματισμός στα διαφορετικά δομικά τμήματα των φαρμακοβιομηχανιών τις σύνθετες εφοδιαστικές αλυσίδες, τον ποιοτικό έλεγχο, τα υβριδικά IT/OT περιβάλλοντα, τις σύγχρονες αυτοματοποιημένες γραμμές παραγωγής, σε συνδυασμό με την ανάπτυξη σε νέες αγορές και νέες συνεργασίες, επηρέασε τον τρόπο που η επιχειρησιακή συνέχεια εξασφαλίζεται αλλά και προσαρμόζεται.

Ο αντίκτυπος ενός περιστατικού κυβερνοεπίθεσης, δεν μένει στο IT. Μετακυλύεται στην παραγωγή, μπλοκάρει εφοδιαστικές αλυσίδες και θέτει σημαντικά ερωτήματα για την ακεραιότητα κρίσιμων δεδομένων, με το πιο σημαντικό είναι ότι περιορίζει την διαθεσιμότητα των φαρμάκων στην αγορά και τους ασθενείς.

Γι’ αυτό και όλο και περισσότεροι οργανισμοί συνειδητοποιούν ότι η συμμόρφωση είναι μεν απαραίτητη, αλλά από μόνη της δεν αρκεί, γιατί… το να είσαι compliant δεν σημαίνει απαραίτητα ότι είσαι έτοιμος και σίγουρα δεν υποδηλώνει ανθεκτικότητα. Αυτό που αναδύεται είναι η ανάγκη για μετατόπιση από ένα compliance-first μοντέλο σε ένα risk-based μοντέλο ετοιμότητας, όπου η κυβερνοασφάλεια ευθυγραμμίζεται με τη λειτουργία, τη διαχείριση κρίσεων και τη ρυθμιστική αξιοπιστία.

Σε αυτή τη λογική, το άρθρο οργανώνεται γύρω από τρεις (3) απλές αλλά κρίσιμες θεματικές.

Pillar 1: Risk – Τι πραγματικά διακυβεύεται

Με την παραδοχή ότι όλοι οι κίνδυνοι δεν είναι ίδιοι και όλα τα συστήματα δεν έχουν την ίδια σημασία, το ρίσκο αξιολογείται με όρους λειτουργίας. Ένα πρόβλημα σε σύστημα τιμολόγησης δεν έχει τις ίδιες επιπτώσεις με μια αστοχία σε συστήματα μηχανής ή ελέγχου ποιότητας. Παρότι μετρήσιμοι οι κίνδυνοι, η προτεραιότητα και η αντιμετώπιση διαφέρουν σημαντικά, και αυτό γιατί ο κυβερνοκίνδυνος (=παραβίαση συστημάτων) δεν αφορά μόνο την απώλεια δεδομένων. Αφορά:

  • τον Επιχειρησιακό αντίκτυπο: τι σταματάει ή καθυστερεί και για πόσο χρονικό διάστημα,
  • τον Κλινικό και Ποιοτικό αντίκτυπο: ακεραιότητα δεδομένων, ιχνηλασιμότητα σύμφωνα με βασικές αρχές ALCOA (Attributable, Legible, Contemporaneous, Original, Accurate),
  • τη Διαθεσιμότητα γραμμών παραγωγής και εργαστηρίων: ώστε να υπάρχει τήρηση χρονοδιαγραμμάτων και απαιτήσεων τόσο για ιδιοπαραγόμενα προϊόντα όσο και για προϊόντα τρίτων,
  • τη Ρυθμιστική έκθεση: που φανερώνει πόσο εκτεθιμένος είναι ο ργοανισμός σε νομικές απαιτήσεις και πρόστιμα.

Η πραγματική πρόκληση δεν είναι να «προστατεύσουμε τα πάντα το ίδιο», αλλά να καταλάβουμε πού έχει νόημα να επενδύσουμε περισσότερο. Ο περιορισμός μόνο στην τεχνική διάσταση είναι ελλειπής όταν εξετάζεται τι διακυβεύεται, και καθορίζεται στο διοικητικό επίπεδο η ιεράρχηση των προτεραιοτήτων, και κατ’επέκταση των επενδύσεων.

 

Pillar 2: Readiness – Πόσο έτοιμοι είμαστε στην πράξη

Η ετοιμότητα μπορεί να αποτυπώνεται στα policy documents, αλλά μετριέται όταν κάτι πάει στραβά. Αρκετοί οργανισμοί έχουν επενδύσει σημαντικά στη συμμόρφωση, αγνοώντας την κρισιμότητα του ερωτήματος «Τι κάνουμε αν αύριο το πρωί ένα κρίσιμο σύστημα δεν είναι διαθέσιμο;».

Η πραγματική ετοιμότητα σημαίνει:

  • Πλήρης ορατότητα του δικτύου: να γνωρίζουμε τι υπάρχει (IoT/OT devices, endpoints τρίτοι),
  • Ταχύτητα ανίχνευσης όταν κάτι δεν λειτουργεί σωστά,
  • Ξεκάθαρο σχέδιο απόκρισης που να συνδέεται με λειτουργίες: BCP/DR, Incident Response Readiness, και όχι μόνο με το SOC (Security Operations Center).

Ειδικά σε περιβάλλοντα με παλαιά, legacy OT συστήματα, συγχωνεύσεις, εξωτερικούς συνεργάτες και αυξανόμενες ρυθμιστικές απαιτήσεις, η ετοιμότητα είναι θέμα συντονισμού και υπευθυνότητας ανθρώπων και διαδικασιών, όχι μόνο τεχνολογικά εργαλεία.

 

Pillar 3: Resilience – Πώς συνεχίζουμε, ακόμα κι όταν κάτι συμβεί

Το ερώτημα δεν είναι αν θα συμβεί ένα περιστατικό, αλλά πώς θα επηρεάσει τη λειτουργία. Η ανθεκτικότητα προκύπτει όταν ο οργανισμός έχει λάβει μέτρα να απαντά γρήγορα και να ανακάμπτει χωρίς να θέτει σε κίνδυνο τις κρίσιμες λειτουργίες του ή τη συμμόρφωση. Αν φανταστούμε το σενάριο όπου ένας βασικός προμηθευτής πρώτης ύλης αντιμετωπίζει διακοπή υπηρεσιών, η ανταπόκριση με ενεργοποίηση εναλλάκτικών προμηθευτών (pre-approved και tested βάσει των SOPs) διασφαλίζουν την ικανότητα του οργανισμού να λειτουργεί και να παραδίδει φάρμακα. Στο IT, μια απώλεια πρόσβασης σε ένα σε ένα κρίσιμο SaaS λόγω κυβερνοεπίθεσης, θα ενεργοποιούσε εργαλεία εντοπισμού με real-time ορατότητα και ειδοποίηση των αρμοδίων, προστασία από επέκταση της επίθεσης αλλά και ακουλουθία προετοιμασμένων playbooks.

Η ανθεκτικότητα (και) στη φαρμακοβιομηχανία μεταφράζεται σε:

  • Περιορισμό του αντίκτυπου (όχι γενικευμένο shutdown),
  • Ταχεία αποκατάσταση κρίσιμων λειτουργιών, και
  • Διαφάνεια απέναντι σε ρυθμιστικές αρχές και stakeholders.

Σε αυτό το σημείο, οι ενοποιημένες προσεγγίσεις κυβερνοασφάλειας αποκτούν πραγματική αξία. Όχι ως «εργαλεία», αλλά ως υποδομές που προσφέρουν ενιαία εικόνα, συντονισμό και ταχύτητα απόκρισης σε πολύπλοκα, υβριδικά περιβάλλοντα. Αρχιτεκτονικές όπως αυτές που υποστηρίζονται από πλατφόρμες security fabric, όπως της Fortinet, βοηθούν τους οργανισμούς να μετατρέψουν την κυβερνοασφάλεια από αμυντικό μηχανισμό σε στοιχείο επιχειρησιακής συνέχειας.

 

 Κλείνοντας… Γιατί έχει σημασία;

Η μετάβαση από το compliance-first στο risk-based readiness είναι θέμα εμπιστοσύνης, συνέχειας και ευθύνης. Όσο το περιβάλλον γίνεται πιο ψηφιακό, πιο ρυθμισμένο και πιο διασυνδεδεμένο, τόσο πιο ξεκάθαρο γίνεται ότι η ανθεκτικότητα είναι βασική προυπόθεση ώστε οι ομάδες να παραμένουν αποτελεσματικές και ο οργανισμός να παραμένει λειτουργικός και ασφαλής. Στην Βιομηχανία Φαρμάκων, καλούνται να είναι proactive για να συνεχίσει να παραδίδει φάρμακα ακόμα και όταν κάτι δεν πάει όπως προβλέπεται.

Το ταξίδι αυτό (ή καλύτερα το μαραθώνιο στο repeat όπως συνηθίζει να αναφέρει ένα φίλος του χώρου), οφείλουμε να το διανύσουμε τόσο με εσωτερικούς συνοδοιπόρους, αλλά και με συμμάχους αξιόπιστους Integrators, Service Providers & Κατασκευαστές, όπως η Fortinet.

References

  1. European Medicines Agency (2023). Guideline on computerised systems and electronic data in clinical trials. European Medicines Agency.
  2. S. Food and Drug Administration (2018). Data Integrity and Compliance With Drug CGMP: Guidance for Industry. U.S. Food and Drug Administration.
  3. European Union Agency for Cybersecurity (2023). Cybersecurity for Hospitals and Healthcare Providers. ENISA.
  4. Gartner (2022). Cybersecurity Mesh Architecture: A Framework for Digital Resilience. Gartner Research.
  5. European Union (2022). Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union (NIS2). Official Journal of the European Union.