制药企业可以从 CrowdStrike 故障中学到什么？

下面我们来看看 Lachman 咨询公司的两名行业专家 Mrinmoy Nag 和 Patrick Day 对这一问题的反思。

在制药行业，向患者提供关键药品的供应已经非常紧张，此类中断加剧了矛盾。当制药公司从全球或本地软件供应商购买服务或产品时，数据不可用可能会给患者带来严重后果。我们已经习惯于警惕恶意网络攻击，那么我们是否也应关注非恶意的软件更新，例如 CrowdStrike 的情况？直到该事件的发生，人们才充分了解非恶意事故的影响。制药供应链如何保护自己免受第三方 IT 提供商的非恶意故障的影响？制药公司经常从单一来源的第三方供应商购买关键软件，这些供应商都会对自己的系统进行善意的程序更新。未来应如何最好地防止此类故障的发生？

对于关键软件的第三方供应商：

• 确保拥有稳健的变更控制程序，即使对于非 GMP 业务系统也是如此。

• 在向客户放行产品之前执行彻底的测试。测试必须包括所有关键数据的案例，例如分析报告单（Certificates of Analysis，COA）、采购订单和网络连接。

• 根据与客户签订的质量或合同协议，提前传达所有程序变更。

• 提醒客户正在进行测试或部署，以确保提高对 IT 连续性计划的认识或准备情况。

这些都是 ICH Q10《质量体系》第 2.7 节所述，“制药公司应确保具有适当的程序来保证对外包活动和所购物料的质量进行控制并对此负有最终的责任，这些程序应包括质量风险管理以及确定有关各方与质量相关活动的职责和沟通程序。对于外包活动而言，这些程序应包含在委托方与受托方达成的书面协议中。”

即使时这样，意外可能还是会发生。 对于制药公司而言，需要确保质量管理体系经过良好设计以执行：

• 适当的调查来评估潜在的产品影响；

• 对进场物料进行充分检测；

• 对终产品进行充分检测。检测方法应足够稳健，能够捕捉到产品概况文件中的任何微小变化。

上述场景还可以扩展到制药行业的其它领域，在这些领域中，如果受到网络犯罪的影响，电子质量或文档管理系统可能会受到在云服务器中托管数据的全球服务提供商的影响。请记住，制药商最终负责确保工厂生产的所有产品的安全和质量。

识林-Aspen