Con il Corona è arrivata una ripresa dell'hacking

Piattaforme software per vari dispositivi da tavolo e specificamente per metodi di analisi termica: sotto un unico tetto si può garantire l'integrità dei dati dalla singola misurazione fino a un documento completo per l'audit FDA. (Immagine: MCH Messe Schweiz (Basel) AG)

Punto di partenza della titolazione: Grazie alle collaborazioni di diverse aziende, oggi è possibile integrare nel protocollo, tra le altre cose, informazioni dettagliate sui reagenti o integrare bilance. (Immagine: MCH Messe Schweiz (Basel) AG)

Fin dall'inizio delle discussioni sulla votazione elettronica si è messa in dubbio la sua integrità: i risultati sono corretti e completi al 100%? Restano invariati durante l'elaborazione in un database? Esiste una protezione sufficiente contro possibili hacker? Nei processi delle industrie delle scienze della vita queste domande si pongono in modo ancora più complesso.

Nel generale senso di insicurezza si tratta di due rischi distinti. Uno riguarda la trasmissione e l'elaborazione dei dati puramente tecnici. Tuttavia, si tratta anche di un possibile perdita di dati, di una modifica non autorizzata e di manipolazioni o furti criminali.

Il cuore del problema: sicurezza durante l'audit FDA

Già quando, quattro anni fa, il 65% di tutte le comunicazioni di avvertimento («Warning Letter») dell'ente statunitense Food and Drug Administration (FDA) riguardava una mancanza di integrità dei dati, questo tema è diventato prioritario. Una ragione può risiedere nella storia: con i sistemi di gestione delle informazioni di laboratorio (LIMS) e i quaderni di laboratorio elettronici (ELN) si possono evitare meravigliosamente appunti manuali e la digitazione di dati scritti a mano. Come per magia, si aprono spunti per l'automazione della raccolta, trasmissione e elaborazione dei dati.

Ma cosa succede se alcune informazioni vengono ancora raccolte su carta (ad esempio, il nome del responsabile di laboratorio scritto a mano o i risultati di peso stampati da una stampante termica)? Qui si arriva al «cuore del problema»: il senso primario degli strumenti elettronici e digitali non è di evitare le annotazioni scritte a mano e aumentare la produttività durante l'analisi, ma di garantire una maggiore sicurezza nella sintesi completa e tracciabile di tutti i risultati di laboratorio in un documento. Questo può facilitare enormemente un audit FDA.

La validazione del sistema informatico

Alcuni fornitori collegano quindi i propri dispositivi da banco, come ad esempio titolatori, strumenti di misura di densità e pH, a un sistema di misurazione multiparametrico. Questo avviene tramite una piattaforma software appositamente progettata (ad esempio LabX, Mettler Toledo, Greifensee). Guida il laboratorio passo dopo passo attraverso le istruzioni di lavoro (SOP) e garantisce, tramite interrogazioni, che l'utente inserisca tutti i dati necessari. Ciò semplifica anche la manutenzione tempestiva, la calibrazione e la garanzia di conformità ai requisiti pertinenti (ad esempio GLP, GMP, Gamp e specificamente per l'integrità dei dati Alcola+).

Durante l'introduzione di tali piattaforme software, è ovviamente importante pensare alla validazione del sistema informatico (CSV). Solo così si può dimostrare: il sistema di misurazione è effettivamente adatto allo scopo previsto. La CSV è spesso indispensabile e comporta anche un notevole impegno in termini di costi e tempo (ad esempio, da tre a sei mesi per fino a 30 strumenti integrati).

Le affinità elettive

Le sfide legate all'integrità dei dati sono così complesse che alcuni fornitori instaurano affinità elettive. Ad esempio, le informazioni complete su determinati reagenti per la titolazione (reagenti titranti 3S, Merck, Darmstadt) possono essere inserite in un software di titolazione speciale di un altro fornitore (Omnis, Metrohm, Zofingen/Filderstadt) utilizzando la tecnologia di identificazione a radiofrequenza (RFID). In questo modo, si può tracciare in modo completo le condizioni di titolazione fino ai reagenti utilizzati.

Un'altra di queste affinità riguarda l'integrazione degli strumenti di fornitori terzi in un software esistente. Per rimanere nell'esempio della «titolazione»: ogni titolazione è preceduta da un processo di pesatura. È quindi utile se alcune bilance possono essere integrate (ad esempio Cubis II, Sartorius, Göttingen, nel software Omnis).

In un'integrazione di questo tipo, viene programmata appositamente una nuova QApp per il «pacchetto software di connettività» della bilancia. Questo permette di controllare lo strumento tramite il software, garantendo automaticamente la conformità a importanti normative (ad esempio FDA 21 CFR Part 11; EudraLex, Volume 4, Allegato 11). Inoltre, tutte le interazioni tra bilancia e software vengono registrate elettronicamente nel registro di audit – un'ottima preparazione per le visite delle autorità. Gli ispettori, infatti, verificano con particolare attenzione in ambito analitico, poiché il rischio di manipolazione dei risultati è generalmente più elevato.

Hacker in febbre da Covid

Il termine «manipolazione» può essere interpretato in modo neutro come «modifica», ma ovviamente è sempre presente anche la paura di attacchi criminali. Ad esempio, il famigerato virus WannaCry del 2017 avrebbe potuto causare interruzioni di produzione di più giorni in alcune aziende farmaceutiche. Lo scorso anno, Novartis ha osservato un aumento dei tentativi di spear-phishing, in cui si menzionava il coronavirus. Si trattava di email fraudolente con l'obiettivo di ottenere accesso ai computer dell'azienda dall'esterno. In generale, dall'inizio della pandemia di Covid-19, gli attacchi di hacking sono aumentati in tutto il mondo.

Con una rete sempre più estesa di software e dispositivi, da computer di ufficio, analisi e produzione, a sistemi propri e accessi remoti di manutenzione, ospiti indesiderati e non autorizzati possono entrare in un'azienda attraverso molte vie e causare danni. Per questo sono necessari piani di sicurezza completi. La fiera Ilmac di Basilea di quest'anno offre probabilmente ai visitatori la migliore opportunità di confrontare diverse strategie di fornitori di dispositivi e software. Così possono estrarre il concetto ottimale per il loro laboratorio e la loro produzione – con attenzione all'integrità dei dati e alla sicurezza IT, così come per aumentare la produttività.