Pharma 4.0 und Cybersecurity
Der Bericht Cost of a Data Breach Report 2020 von IBM und dem Ponemon Institute hat ergeben, dass die Pharma- und Biotechnologieunternehmen am meisten unter Cyberangriffen, den sogenannten Breaches, zu leiden haben. Der Grund für dieses Interesse ist zweifellos darauf zurückzuführen, dass der Pharmasektor stetig wächst und das Erbringen von Spitzenleistungen in diesem Industriezweig, in dem Forschung und Entwicklung die Schlüssel zum Erfolg darstellen, von entscheidender Bedeutung ist. Die ständige digitale Aufrüstung der Unternehmen und die Fülle an sensiblen Daten, die sie besitzen, machen sie für Hacker attraktiv. Es wird geschätzt, dass der Wert des An- und Verkaufs von Gesundheitsinformationen auf dem Darknet-Markt 20 bis 50 Mal höher ist als anderswo. Während der Coronavirus-Pandemie verzeichneten Pharmaunternehmen beispielsweise eine starke Zunahme von Cyberangriffen, die vor allem auf die wertvollen Informationen bezüglich der Impfstoffe zurückzuführen waren: Ende 2020 wurden 7 Industrien des Sektors von Hackern angegriffen.
So ist in den letzten Jahren das Thema der „Data Integrity“ immer aktueller geworden, wobei der Datenschutz die Grundlage des gesamten Systems bildet. ALCOA, ein Anfang der 90er Jahre von der FDA eingeführtes Akronym, das eine Reihe von Grundsätzen zur Gewährleistung der Datenintegrität definiert, fasst die Merkmale zusammen, die Daten aufweisen müssen, und zwar: zuordenbar, lesbar, aktuell, in originaler Form und richtig. Das ALCOA-Prinzip wurde im Laufe der Jahre auf ALCOA+ erweitert, das ebenfalls verlangt, dass die Daten vollständig, konsistent und dauerhaft sind und während ihres gesamten Lebenszyklus zur Verfügung stehen.
Welche IT-Systeme finden in der Pharmaindustrie Anwendung?
Zunächst einmal muss zwischen OT (Operation Technology) und IT (Information Technology) unterschieden werden. Wenn mit IT die traditionelle Informationstechnologie, d.h. die der Verwaltung, der Rechen- und Schreibanwendungen, gemeint ist, so ist die OT die operative Technologie, die die Prozesse und Anlagen in den Produktionsabteilungen steuert. Die Security IT ist auf den Schutz der Daten ausgerichtet, die Security OT zielt auf den Schutz der durch das Steuerungs-/Automatisierungssystem gesteuerten Anlage ab. Einfach ausgedrückt geht es im IT-Bereich um die Sicherung von Daten, das geistige Eigentum (IP, Intellectual Property), den Datenschutz (Privacy, siehe DSGVO), die Reputation, die Geschäftsdaten und die Darstellung des Unternehmens im Internet. Wichtig für die OT sind hingegen Produktionssysteme, Lieferkette, OEE, Rückverfolgbarkeit, Qualität, Operation Continuity usw. Im letzteren Fall besteht das Risiko nicht so sehr im Verlust von Daten, sondern im Verlust der Kontrolle über das System und damit im Risiko für die Sicherheit der Personen an der Anlage, in der Schädigung von Sachwerten im Zusammenhang mit der Anlage, im Verlust von Qualität, Produktion, Effizienz usw.
In einer Branche wie der Pharmaindustrie sind der Datenschutz und der Systemschutz jedoch eng miteinander verbunden. Wenn die Produktionslinie stillsteht (aufgrund eines Cyberangriffs oder aus einem anderen Grund), wird natürlich auch die Arzneimittelproduktion gestoppt. Das Gleiche gilt auch im Fall eines Datenverlustes, selbst wenn die Anlage ordnungsgemäß produziert, da wir weder in der Lage sind, die Chargen gemäß den Vorschriften zu kennzeichnen und zu verfolgen, noch die erwartete Qualität jeder einzelnen Produktion zu gewährleisten.
Die Informatik in der neuesten Version des GAMP 5-Leitfadens
Im neuen GAMP 5-Leitfaden für die Validierung computergestützter Systeme im pharmazeutischen Sektor, der im Juli 2022 veröffentlicht wurde, wird den Aspekten der Cybersicherheit ein wichtiges Kapitel gewidmet. Eingeführt wurden Integritätstests für Sicherungskopien, BCP (Business Continuity Plan), DR (Disaster Recovery), Verlust von IT-Infrastruktur, Service-Provider, Zugang zu Räumlichkeiten, Konnektivität, Cybersecurity-Angriffe bis hin zum Verlust der Softwareanwendung.
Foto di cottonbro studio