Met Corona kwam een opleving van hacken

Softwareplatformen voor verschillende tafelapparaten en speciaal voor thermische analysemethoden: Onder één dak kan de gegevensintegriteit worden gewaarborgd van de individuele meting tot het uitgebreide document voor de FDA-audit. (Afbeelding: MCH Messe Schweiz (Basel) AG)

Uitgangspunt titratie: Dankzij samenwerkingen tussen verschillende bedrijven kunnen tegenwoordig onder andere uitgebreide informatie over reagentia in het protocol worden opgenomen of weegschalen worden geïntegreerd. (Afbeelding: MCH Messe Schweiz (Basel) AG)

Sinds het begin van de discussies over elektronische stemuitbrenging wordt de integriteit ervan in twijfel getrokken: Zijn de resultaten 100 procent correct en volledig? Blijven ze ongewijzigd tijdens verwerking in een database? Bestaat er voldoende bescherming tegen mogelijke hackers? Bij de processen van de life-science-industrieën stellen deze vragen zich op nog veel complexere wijze.

De algemene onzekerheid betreft twee verschillende risico's. Het ene gaat over de puur technische gegevensoverdracht en -verwerking. Daarnaast gaat het ook om mogelijk verlies van gegevens, onrechtmatige wijziging en criminele manipulaties of diefstal.

De kern van de zaak: veiligheid bij FDA-audit

Al snel, toen vier jaar geleden 65 procent van alle waarschuwingen («Warning Letter») van de Amerikaanse voedsel- en geneesmiddelenautoriteit FDA betrekking hadden op een gebrek aan gegevensintegriteit, stond dit onderwerp bovenaan de agenda. Een reden hiervoor ligt mogelijk in de geschiedenis: Laboratoriuminformatiesystemen (LIMS) en elektronische laboratoriumboeken (ELN) maken het mogelijk om handgeschreven notities en het invoeren van handgeschreven gegevens te vermijden. Zoals vanzelf ontstaan er ideeën voor automatisering van gegevensverzameling, -overdracht en -verwerking.

Wat gebeurt er echter als bepaalde informatie nog steeds op papier wordt vastgelegd (bijvoorbeeld handgeschreven de naam van de verantwoordelijke laborant of gewichtsresultaten op een afdruk van een thermoprinter)? Hier komt men tot de «kern van de zaak»: De primaire bedoeling van elektronische en digitale hulpmiddelen ligt niet in het vermijden van handgeschreven aantekeningen en het verhogen van de productiviteit tijdens de analyse, maar in de hogere veiligheid bij het volledige en traceerbare samenvatten van alle laboratoriumresultaten in één document. Dit kan een FDA-audit aanzienlijk vergemakkelijken.

De validatie van computersystemen

Sommige aanbieders koppelen daarom hun eigen desktopapparaten, zoals titratoren, dichtheids- en pH-meters, aan een multi-parameter meetsysteem. Dit gebeurt via een speciaal ontwikkeld softwareplatform (bijvoorbeeld LabX, Mettler Toledo, Greifensee). Het leidt de laborant stap voor stap door de werkvoorschriften (SOPs) en zorgt door middel van vragen dat alle benodigde gegevens worden ingevoerd. Hierdoor worden ook het tijdig uitvoeren van onderhoud, kalibratie en het waarborgen van conformiteit volgens de relevante eisen (bijvoorbeeld GLP, GMP, Gamp en specifiek voor gegevensintegriteit Alcola+) eenvoudiger.

Bij het invoeren van dergelijke softwareplatforms moet men overigens zeker denken aan de validatie van het computersysteem (CSV). Alleen dan kan worden aangetoond dat het meetsysteem daadwerkelijk geschikt is voor het beoogde doel. De CSV is vaak onmisbaar en brengt ook aanzienlijke kosten- en tijdsinvesteringen met zich mee (bijvoorbeeld drie tot zes maanden voor maximaal 30 geïntegreerde instrumenten).

De verwantschappen

De taken rond de integriteit van gegevens zijn zo complex dat sommige aanbieders verwantschappen aangaan. Bijvoorbeeld, volledige informatie over bepaalde reagentia voor titratie (3S-titratie-reagentia, Merck, Darmstadt) kan met behulp van radiofrequentie-identificatietechnologie (RFID) worden ingelezen in een speciale titratie-software van een andere leverancier (Omnis, Metrohm, Zofingen/Filderstadt). Op deze manier kan de titratiecondities tot aan de gebruikte reagentia worden achterhaald.

Een andere verwantschap betreft de integratie van apparaten van derden in bestaande software. Om bijvoorbeeld «titratie» te blijven: vrijwel elke titratie gaat vooraf aan een weegproces. Het is dan handig als bepaalde weegschalen kunnen worden geïntegreerd (bijvoorbeeld Cubis II, Sartorius, Göttingen, in de software Omnis).

Bij zo'n integratie wordt voor het «connectivity-softwarepakket» van de weegschaal speciaal een nieuwe QApp geprogrammeerd. Hiermee kan het apparaat via de software worden aangestuurd, waarbij in het genoemde voorbeeld de conformiteit met belangrijke voorschriften (bijvoorbeeld FDA 21 CFR Part 11; EudraLex, Volume 4, Annex 11) automatisch wordt gewaarborgd. Bovendien worden alle interacties tussen weegschaal en software elektronisch vastgelegd in het audit-trail – een goede voorbereiding op bezoeken van autoriteiten. Inspecteurs controleren vooral in de analytiek zeer nauwkeurig, omdat hier de kans op manipulatie van resultaten volgens ervaring bijzonder hoog is.

Hackers in de Corona-hype

Manipulatie kan heel neutraal worden opgevat als «verandering», maar natuurlijk gaat het altijd ook gepaard met de angst voor criminele aanvallen. Zo zou het beruchte WannaCry-virus in 2017 bij enkele farmaceutische bedrijven meerdere dagen durende productieonderbrekingen hebben veroorzaakt. Vorig jaar observeerde Novartis een toename van zogenaamde spear-phishing-aanvallen, waarbij het coronavirus werd genoemd. Het betrof frauduleuze e-mails met als doel toegang te krijgen tot de computers van het bedrijf van buitenaf. Sinds de uitbraak van de COVID-19-pandemie heeft hacking wereldwijd een opleving gekend.

Bij een uitgebreide koppeling van software en apparaten, van kantoorcomputers, analytiek en productie, van eigen systemen en externe toegang tot onderhoud, kunnen ongewenste, niet-geïntegreerde gasten via vele wegen in een bedrijf binnendringen en daar schade aanrichten. Daarom zijn uitgebreide beveiligingsconcepten noodzakelijk. De Ilmac-beurs in Basel biedt dit jaar waarschijnlijk de beste gelegenheid voor bezoekers om verschillende strategieën van apparaat- en softwareleveranciers te vergelijken. Zo kunnen ze voor hun laboratorium en productie het optimale concept bepalen – met oog voor gegevensintegriteit en IT-beveiliging, maar ook met het oog op een hogere productiviteit.