Bezpieczeństwo w farmacji. Jak zapewnić tej branży ochronę?
Prasanth Aby Thomas
Branża zabezpieczeń często łączy sektor farmaceutyczny z ochroną zdrowia. Ma to uzasadnienie ze względu na cechy wspólne obu tych sektorów, jednak farmaceutyczny sam w sobie jest na tyle szczególny, że warto mu poświęcić specjalną uwagę.
W związku z oczekiwanym szybkim rozwojem sektora farmaceutycznego, ale też z coraz większymi obawami dotyczącymi bezpieczeństwa, można się spodziewać, że popyt na rozwiązania ochrony w tym segmencie będzie nadal rósł. Wraz z postępem technologii i stosowaniem urządzeń podłączonych do Internetu problemem staje się również cyberbezpieczeństwo. W artykule przyjrzymy się głównym zagrożeniom w sektorze farmaceutycznym, rozwiązaniom będącym na nie odpowiedzią i przykładom ich wdrożenia.
Wzrost i trendy w bezpieczeństwie sektora farmaceutycznego
Sektorowi ochrony zdrowia branża zabezpieczeń poświęca zwykle dużą uwagę ze względu na jego specyficzne wymagania. Rzadziej natomiast mówi się o potrzebach ściśle z nim powiązanego i równie ważnego sektora farmaceutycznego. Według analityków z The Business Research Company globalny rynek farmaceutyczny będzie w latach 2017-2021 rósł w tempie niemal 6 proc. rocznie. Spodziewając się takich wzrostów i odnosząc się do rynku amerykańskiego, Paul Baratta, dyrektor Axis Communications odpowiadający za rozwój biznesu w ochronie zdrowia w USA, uważa, że ta branża rozwija się głównie dzięki przejęciom i wykupom.
Czynniki wzrostu
Według P. Baratta jednym z głównych problemów związanych z rywalizacją w sektorze biofarmaceutycznym jest ochrona personelu, produktów i informacji. W ostatnim roku kilka przejętych mniejszych firm farmaceutycznych znalazło się pod parasolem ochronnym dużych podmiotów biofarmaceutycznych. Większe korporacje zainicjowały programy restrukturyzacyjne związane z presją na ograniczenie dystrybucji opioidów, przyczyniając się do zmiany ukierunkowania z produktów na badania i rozwój. Zmiana ta spowodowała zwiększenie finansowania badań klinicznych, skupienie się na rozwoju oraz poprawę ochrony przed szpiegostwem informatycznym i przemysłowym.
Ograniczanie liczby pracowników, konsolidacja, rozwój badań, a także zwiększanie poziomu bezpieczeństwa cyfrowego i ochrony przed szpiegostwem przemysłowym w dużej mierze wymusiły trwającą obecnie modernizację zarówno systemów kontroli dostępu, jak i rozwiązań wizyjnych, w tym systemów VMS, kamer i systemów audio.
Tendencja do ograniczenia personelu i większego wykorzystania technologii utrzyma się przez kilka najbliższych lat, w miarę postępu konsolidacji przedsiębiorstw. Konsolidowane są także zakłady produkcyjne, a centra dystrybucyjne powstają bliżej klientów. Rośnie też znaczenie tajemnicy przemysłowej, które mają prowadzić do uzyskania przewagi na rynku.
Zmiany stymulujące rozwój
Eric Green, menedżer ds. marketingu produktów w Honeywell, uważa, że w nadchodzących latach wraz z kontynuacją wzrostu na rynku farmaceutycznym można się spodziewać coraz ostrzejszych regulacji prawnych. Dostawców usług i integratorów systemów zabezpieczeń bardziej od wymienionych trendów być może zainteresują nowe segmenty w branży farmaceutycznej.
Według Jeffa Whitneya, wiceprezesa ds. marketingu w Arecont Vision Costar, w efekcie legalizacji marihuany w wielu stanach i prowincjach w różnych częściach USA i Kanady pojawił się ważny nowy segment rynku w tej branży. Działalność rozpoczyna wiele firm, chcąc wykorzystać farmaceutyczny boom. Stwarza to nowe możliwości dla branży zabezpieczeń w obszarach produkcji, dostaw, sprzedaży, kanału dystrybucyjnego i detalicznego w biznesie farmaceutycznym. W całym jej zakresie – od zabezpieczeń mechanicznych, przez systemy dozoru wizyjnego i kontroli dostępu, aż po ochronę informatyczną (cyberbezpieczeństwo).
Trendy rynkowe w USA i innych krajach
Według firmy badawczej IQVIA Stany Zjednoczone są obecnie najszybciej rozwijającym się rynkiem farmaceutycznym, na którym w najbliższych latach można się spodziewać średnich rocznych wzrostów na poziomie 4-5 proc. Chiny plasują się tuż za USA, ze średnią roczną stopą wzrostu wynoszącą 3-6 proc. Obecnie w Stanach Zjednoczonych wznowiono debatę nt. polityki cenowej i refundacji w planach ubezpieczeniowych.
O ile zmiany w polityce ubezpieczeniowej mogą nie mieć wpływu na sektor jako taki, o tyle każda zmiana cen może ograniczyć marże dla producentów, co z kolei zaszkodziłoby ich budżetom i wpłynęło na plany inwestowania w rozwiązania security.
Zagrożenia i problemy, przed którymi stoi sektor farmaceutyczny
Ze względu na swój charakter cała branża ochrony zdrowia wymaga szczególnej uwagi. Według Erica Greena z firmy Honeywell przemysł farmaceutyczny stoi w obliczu wyzwań związanych z jednej strony z ochroną własności intelektualnej i reputacji marki, z drugiej – z koniecznością spełnienia surowych wymagań zgodności z przepisami. Niespełnienie któregokolwiek z nich może kosztować miliony.
Kradzież produktów i własności intelektualnej
Receptury, same leki i ich składniki są drogie, więc podatne na kradzież. Aby zapobiec problemom takim jak podrabianie leków oraz stratom finansowym, niezbędna jest ochrona ich receptury. Ponadto jeśli nie są przechowywane prawidłowo, np. wystawiane na temperaturę przekraczającą dopuszczalny zakres nawet przez krótki okres, mogą zagrażać życiu pacjentów. Jeśli firma farmaceutyczna nie jest w stanie wykazać zgodności z przepisami lub są one przez nią naruszane, to może nawet zostać zamknięta, tracąc potencjalnie miliony dolarów, swoją reputację i szansę na przyszły biznes.
Ochrona i zapobieganie szkodom
Rick Tampier, dyrektor ds. sprzedaży i strategii produktowej w firmie Red Hawk Fire & Security w ADT Commercial, zauważa, że zarządzający zakładami i laboratoriami farmaceutycznymi mają również do pokonania wyzwania dotyczące zapobiegania i ograniczania szkód i przestojów oraz ryzyka utraty życia i mienia. Każdy obiekt wymaga oceny zagrożeń w celu zidentyfikowania ryzyka i zastosowania odpowiednich zabezpieczeń. Te ostatnie mogą obejmować sieciowy system wykrywania pożaru, wyzwalający alarm w przypadku wykrycia ognia, tlenku węgla, dymu czy ciepła, a także wysokiej czułości detektory innych zagrożeń.
Cyberbezpieczeństwo
Żadna branża nie jest obecnie odporna na zagrożenia informatyczne. Biorąc pod uwagę dużą wartość własności intelektualnej, zapewnienie solidnej ochrony danych staje się dziś koniecznością. Firmy farmaceutyczne często przeprowadzają audyt z analizą ryzyka, obejmujący m.in. przegląd incydentów z przeszłości, w których doszło do naruszenia bezpieczeństwa. Mogą następnie skoncentrować się na identyfikowaniu i eliminowaniu punktów najbardziej narażonych na nielegalny dostęp, złośliwe działanie, modyfikację lub usuwanie danych. Mogą usprawnić kontrolę dostępu do systemów i danych oraz wdrażać najlepsze praktyki w zakresie cyberbezpieczeństwa, nadążające za ewolucją standardów branżowych.
Wymogi wynikające z przepisów
Firmy farmaceutyczne stoją w obliczu wielu zagrożeń – od włamań, przez rabunki czy kradzieże wewnętrzne i zewnętrzne, kończąc na niszczeniu i zanieczyszczaniu produktów. Farmacja to ściśle regulowana branża, szczególnie na rynkach rozwiniętych, takich jak USA, gdzie firmy muszą przestrzegać wielu przepisów stanowych i federalnych, w tym regulacji HIPAA, zgodności z wytycznymi Agencji Żywności i Leków (FDA) oraz specyfikacjami State Board of Pharmacy. Wiele z tych regulacji wymaga przejścia rygorystycznych ścieżek audytu, potwierdzających zgodność z przepisami, przykładowo takimi, jak wymóg obecności farmaceuty w sytuacji, gdy inni pracownicy mają wejść na określony obszar o ograniczonym dostępie.
W USA Agencja FDA wdrożyła listę wymogów 21 CFR Part 1, narzucając kontrolę wszystkich etapów procesu, w tym walidacje systemów i elektroniczne ścieżki audytu. Podobne przepisy mają inne kraje – mówi J. Whitney z Arecont Vision Costar. Europejska Agencja Leków (EMA) określa normy produkcyjne dla krajów w UE, koordynując działania kontrolne w celu weryfikacji zgodności z normami.
Rozwiązania w zakresie bezpieczeństwa w branży farmaceutycznej
W zależności od charakteru produktów i stosowanych procesów firmy farmaceutyczne mogą potrzebować różnych rozwiązań bezpieczeństwa. Przedstawiamy poniżej te elementy, które w ujęciu wysokopoziomowym należy uznać za część zintegrowanego rozwiązania w zakresie systemów zabezpieczeń elektronicznych, przeciwpożarowych i ochrony życia.
Zintegrowane rozwiązania KD i CCTV
Najważniejszym elementem jest elektroniczna kontrola dostępu zintegrowana z wykrywaniem włamań i opartymi na protokole IP rozwiązaniami dozoru wizyjnego umożliwiającymi zdalny podgląd sytuacji. Według Ricka Tampiera z ADT Commercial skuteczne połączenie tych trzech systemów pozwala firmom na opracowanie podwójnego systemu uwierzytelnienia. Wymaga on przedstawienia ważnej karty dostępu i wprowadzenia kodu w celu uzbrojenia lub rozbrojenia systemu antywłamaniowego. Gdy dojdzie do naruszenia bezpieczeństwa, system dozoru wizyjnego oparty na protokole IP umożliwi zdalne zweryfikowanie sytuacji. System kontroli dostępu może również wysłać sygnał alarmu np. w sytuacji, gdy drzwi są forsowane lub uniemożliwiają zamknięcie.
Monitorowanie warunków krytycznych
To również bardzo istotna funkcja – ze względu na to, że nawet najmniejsze odchylenia temperatury niekorzystnie wpływają na leki lub ich składniki. Zapasy leków są warte miliony dolarów, więc w razie problemów straty dla firmy mogą być bardzo poważne. Dlatego zastosowane rozwiązania powinny wykraczać poza zwykły alarm. Rick Tampier daje przykład rozwiązań zaprojektowanych tak, by nie tylko rejestrowały alarmy, gdy temperatura szafek na leki lub sejfów przekracza dopuszczalny zakres, ale także monitorowały stan drzwi, zasilanie czy każdy możliwy wyciek czynnika chłodniczego.
Rozwiązania wymiany powietrza
Amerykańska Agencja Żywności i Leków (FDA) wymaga w pewnych przypadkach, by systemy spełniały wymagania dotyczące wewnętrznej wymiany powietrza. W takich sytuacjach sprawdzają się śluzy powietrzne – rozwiązanie wykorzystujące ciąg drzwi prowadzących do „czystego pomieszczenia” (clean room).
Konstrukcja opiera się na blokadzie czasowej, w wyniku której pracownicy mogą otworzyć jednocześnie tylko jedne drzwi, a każde wejście uruchamia w danym obszarze wentylator w celu cyrkulacji i oczyszczenia powietrza z zanieczyszczeń. Tak dzieje się przy przejściu przez dwoje lub troje drzwi.
Rozwiązania przeciwpożarowe
W zależności od charakterystyki wdrożenia dostępne są różne opcje tłumienia pożaru: instalacje tryskaczowe mokre, suche oraz wstępnie sterowane, a także instalacje zalewowe. Można zastosować rozwiązania gazowe, pianowe i wykorzystujące mgłę, oparte na wodnych i czystych środkach gaśniczych. Uzupełnieniem będą systemy wczesnego wykrywaniem dymu i optycznej detekcji płomienia. Czyste środki ppoż. są odpowiednie do stosowania w obszarach, gdzie znajduje się wrażliwy sprzęt i przebywają ludzie, a więc w laboratoriach farmaceutycznych, salach komputerowych czy centrach monitoringu i kontroli procesów – wyglądają jak woda, ale przy gaszeniu ognia nie powodują szkód typowych dla wody.
Systemy ostrzegawcze
Systemy ostrzegania i ewakuacji mają alarmować osoby przebywające w budynkach w sytuacjach zagrożeń (klęski żywiołowe, pożary, wypadki czy akty przemocy). Dźwiękowe systemy ostrzegania natychmiast informują duże grupy ludzi, przyspieszając reagowanie na zaistniałe zagrożenie i potencjalnie ratując życie.
Rozwiązania dla aptek
Apteki wymagają wielu takich samych rozwiązań – systemów ppoż., ochrony życia i zabezpieczeń – jakie zabezpieczają oddziały banków. Będą to m.in. systemy sygnalizacji włamania z czujkami magnetycznymi (kontaktrony) i czujkami ruchu, z przewodowymi lub bezprzewodowymi przyciskami napadowymi; kamery IP zainstalowane wewnątrz i na zewnątrz obiektu; kuloodporne okna, podajniki szufladowe, systemy dojazdowe do obsługi pojazdów z dwustronną komunikacją audio-wideo.
Rozwiązania dla sejfów (vaults) i centrów dystrybucji
Ochrona pomieszczeń sejfów farmaceutycznych i centrów dystrybucji to złożony problem. Obszarom tym należy zapewnić najwyższy poziom bezpieczeństwa, bowiem często są w nich przechowywane zapasy o wartości wielu milionów dolarów oraz leki eksperymentalne. Zdaniem Paula Baratty z Axis Communications USA system zabezpieczeń powinien zaczynać się od ochrony obwodowej (perymetrycznej) – już na granicy strefy peryferyjnej, co ma ogromne znaczenie dla jego skuteczności. Wysokie ogrodzenia z kablami sensorycznymi/czujkami ogrodzeniowymi, zakopywane czujki uniemożliwiające podkop, a także kamery termowizyjnymi i klasyczne, głośniki oraz radary to standardowe zabezpieczenia stosowane w ochronie perymetrycznej. Wykorzystuje się także system kontroli dostępu rejestrujący, kto i kiedy wchodzi do obiektu i z niego wychodzi. Współpracujące z nim kamery CCTV przy wejściach i bramach umożliwiają identyfikację osób i pojazdów. Standardem powinno być wykorzystanie algorytmów analizy wizyjnej np. do wykrywania osób kręcących się w pobliżu linii ogrodzenia lub wspinających się po barierach z zamiarem przedostania się na teren obiektu.
Wewnątrz pomieszczenia sejfowego i magazynu należy zainstalować systemy alarmowe przeciwwłamaniowe i zapewnić szerokie pokrycie kamerami CCTV, rejestrującymi ruch produktów. System można skonfigurować tak, by uruchamiał alarm powiadamiający personel ochrony lub (w razie potrzeby) także uzbrojone służby policyjne.
Cyberzagrożenia rosną, gdy IT łączy się z OT
technologiami operacyjnymi (OT) miały dotąd osobne doświadczenia dotyczące przestrzegania przepisów ustawowych, wykonawczych, standardów branżowych i wytycznych. Obszarem zainteresowania OT było w dużej mierze bezpieczeństwo fizyczne na wszystkich etapach produkcji, testowania, rozwoju, magazynowania i spedycji. Z kolei IT tradycyjnie koncentrowało się na ochronie sieci, systemów informatycznych i danych. Obecnie ten podział się zaciera. Urządzenia przemysłowe coraz częściej podłączane do Internetu Rzeczy (IoT) korzystają z infrastruktury sieciowej równolegle lub razem z systemami informatycznymi. IoT przynosi ogromne korzyści dla produkcji, ale bez wdrożenia nowych poziomów ochrony wprowadza także potencjalne ryzyko cyberataków – w postaci szpiegostwa handlowego, złośliwego modyfikowania procesów, terroryzmu, działań aktywistów politycznych oraz kradzieży danych i samych produktów.
Organizacje z branży farmaceutycznej, tak jak i innych sektorów produkcji wymagają obecnie audytów bezpieczeństwa i oceny ryzyka w całym łańcuchu dostaw, procesie produkcyjnym oraz fazie przechowywania produktu i jego wysyłki. Muszą być nimi objęci także partnerzy i dostawcy, a sytuacja będzie ewoluować wraz z wprowadzaniem nowych standardów bezpieczeństwa, najlepszych praktyk i różnych regulacji na całym świecie.
Bardzo popularny cel
Paul Baratta z Axis Communications USA twierdzi, powołując się na badanie Deloitte, że przemysł farmaceutyczny jest jednym z głównych celów cyberprzestępców na całym świecie. Do prób ataków na sektor biofarmaceutyczny dochodzi codziennie, straty własności intelektualnej w tej branży wynoszą miliony dolarów. Szkolenia i zwiększanie świadomości pracowników w zakresie potencjalnych zagrożeń to najlepsza i najbardziej oczywista obrona.
Przykładowo, jeśli nie rozpoznajemy nadawcy wiadomości e-mail, nie otwierajmy jej ani nie pobierajmy załącznika! Jeśli znajdziemy gdzieś nieznane nośniki pamięci (np. pendrive), nigdy nie podłączajmy ich do komputerów należących do firmy. Zapory sieciowe oraz oprogramowanie antywirusowe to jedynie minimum w ochronie przed złośliwymi działaniami cyberprzestępców.
Jakie są priorytety
Wypowiadając się w podobnym tonie, Eric Green z Honeywella zauważa, że gdy chodzi o ochronę integralności danych i zasobów, często większą uwagę zwraca się na IT. Jego zadaniem takie podejście może okazać się kosztowne. Obszar OT, czyli systemy monitorujące, sterujące i zabezpieczające procesy, sprzęt i obszar operacyjny wymagają podobnej lub nawet większej ochrony w dzisiejszym sieciowym środowisku technologicznym.
Jako dostawca zabezpieczeń fizycznych Honeywell jest zobowiązany do zapewnienia funkcjonalności i narzędzi zwiększających cyberochronę i bezpieczną integrację produktów ze środowiskami klientów.
Ochrona informacji firmowych
Zabezpieczenie danych – które, dostając się w niewłaściwe ręce, mogłyby zaszkodzić organizacji – jest priorytetem dla większości firm farmaceutycznych. Skuteczna ochrona (przed włamaniami, wykorzystaniem „tylnych drzwi” czy nawet funkcji serwisowych stworzonych przez producentów, a które mogą umożliwiać obcym uzyskanie dostępu do infrastruktury IT) polega na ocenie ryzyka i podejmowaniu działań zmierzających do jego ograniczenia. Wśród niezbędnych do wykonania kroków można wskazać ochronę wszystkich urządzeń (także sieciowych urządzeń zabezpieczających) przy użyciu haseł.
Konieczne jest, by w zarządzaniu bezpieczeństwem i podatnościami korzystać z silnych haseł i zapór sieciowych. Dużą uwagę należy też poświęcać testom oraz szkoleniu użytkowników i pracowników.