Brexit refleksioner version 4, af Inger Drengsgaard  

De britiske vælgere har mistet troen på Brexit, skriver The Guardian. Over 60 procent mener, det
er gået værre end ventet, viser en måling fra instituttet Opinium. Over 40 procent af dem, der
stemte landet ud af EU, synes, det er gået skidt. Og over 80 procent af dem, der stemte imod, er
enige.
Både i britiske Financial Times og i amerikanske CNN stinker ordet Brexit af nederlag. Det er både
de kedelige statistikker om økonomien og Boris Johnsons katastrofale personlige nedtur 2021
igennem, der slår igennem.
Ifølge The Economist venter regeringens egen økonomiske tænketank Office of Budget
Responsibility, at produktiviteten i erhvervslivet generelt falder 4 procent.
Mens eurozonen producerede over 6 procent mere og USA over 10 procent mere end i 2016, så
faldt tallene med næsten 4 procent i Storbritannien, skriver Financial Times. (alt det foranstående
kan findes
her https://nyheder.tv2.dk/udland/2021-12-31-boris-johnson-forbyder-brexit-ordet-stinker-af-nederla
g

Tjah … Britiske vælgere kan da ikke påstå at det er helt ny viden for dem at det kunne ende ud på
denne måde. De var da blevet advaret fra ind-og udland som intet land tidligere i historien om de
potentielle økonomiske og praktiske konsekvenser af at forlade EU – selvom deres egen Baron von
Münchhausen aka Boris Johnson nok så meget fortalte sine typiske usande historier om en
fremtid, der var for god til at være sand.
For vores industri og for britiske producenter og importører af human medicin er der nu nye regler
og opgaver på vej – og alt sammen noget, der sammen med nye toldregler vil øge
omkostningsniveauet – se
https://ec.europa.eu/commission/presscorner/api/files/document/print/en/qanda_21_6912/QANDA
_21_6912_EN.pdf

Skal man have ondt af Britisk erhvervsliv? Det kan man jo godt have, men over tid ligger det nok
ikke lige for – og nu er selve ordet “Brexit” blevet forbudt af tankepolitiet i det Orwelske ministerium
i nr. 10, Downing street, fordi det stinker af “nederlag” – så der er altså intet nyt under solen – og
hvad så?
Ja, for nuværende er der handelsmæssigt kun en lang træls vej fremad under et WTO set up for
Storbritannien.
De af Brexiteers lovede og for Storbritannien fordelagtige handelsaftaler har jo vist sig sværere at
hive hjem end man troede. En del Brexiteers har søgt ophold udenfor Storbritannien i Caribien, og
andre har fået EU pas på kontinentet, så de kan undgå konsekvenserne på egen levned.
For Boris Johnson personligt har det så faktisk vist sig at være rigtig “heldigt” at Putin ikke kunne
styre sig og viste verdenen sit sande ansigt i forbindelse med invasionen af Ukraine.
Rollen som global hardcore statsmand klarer han lidt bedre end sit hjemlands problemer, og det
kan være at det for en tid forhindrer den deroute – hvor Johnson pludselig var begyndt at se ud
som en taber.
I denne uge har Boris Johnson været på diplomatiske frierfødder til Saudi-Arabien/ Mellemøsten
for at få øget olie outputtet i håb om at få afhængigheden af russisk olie og gas mindsket i vesten.
Hvorvidt det vil lykkes, er det endnu for tidligt at vurdere. Dog er det blevet tydeligt for enhver
europæer og brite at infrastruktur som energiforsyning, datasikkerhed og transport er en væsentlig
del af den nye sikkerheds situation i Europa i såvel EU som NATO-regi.
En situation hvor det britiske NATO-bidrag kan vise sig at være ret så væsentlig for Europa – men
samtidig en situation, hvor Briterne på den anden side står udenfor indflydelse på EU-beslutninger
og sanktioner, der igen kan have stor indflydelse på energipriserne i Europa – og Storbritannien
har ikke længere direkte adgang til EU-lagrene af fossile brændstoffer. Det er og vil blive dyrt for
forbrugerne i Storbritannien.
Lad os håbe at Europas fælles ydre fjende vil få både EU og Storbritannien til at tage de
pragmatiske briller på når der skal findes fremtidige (handels) aftaler.
Den verden som var baggrunden for Storbritanniens udmeldelse af EU i 2016, eksisterer ikke
længere og kommer ikke tilbage.
De skal leve op til EUs krav, hvis de vil sælge varer og ydelser i EU, og være i konkurrence med
andre 3. verdens lande samtidig med at både den økonomiske og den sikkerhedspolitiske situation
for dem er væsentlig anderledes end ved udgangspunktet i 2016.
Spørgsmålet er om Briterne overhovedet har råd til at stå udenfor – så der måske vil komme en
regering, der bringer sig til magten på det grundlag at ville forsøge at omgøre beslutningen?

Langtidsopbevaring af data

Af Christian Stage, Stage One Computing A/S

I har sikkert alle erfaring med opbevaring af store mængder papir: Adgangskontrol, endeløse rækker af mapper opbevaret i massive arkiver under styrede forhold, men har I for alvor overvejet konsekvensen af at gå over til at gemme alle data elektronisk ?

Historisk perspektiv

Under pres fra kong Philip af Frankrig  opløste pave Clement de 5 tempelridderordenen. Kong Philip var bange for at tempelridderne havde fået for meget magt, og ville gerne sikre sig at han ikke mistede sin trone. Derfor blev alle tempelriddere arresteret fredag den 13. oktober 1312 (deraf fredag den 13.), hvorefter man torturerede og brændte dem alle.

Nogle år senere sad paven i Rom og tænkte at det måske var lige skrapt nok, så han forfattede en pavelig bulletin, hvoraf det fremgik at tempelridderne ikke var så slemme alligevel.

Dette dokument er forsynet med både signaturer og laksegl, og opfylder faktisk alle de krav vi måtte have indenfor GxP, samtidig med at det kan læses den dag i dag. Det er nok ikke den opbevaringsfaktor vi skal forvente af den dokumentation der kommer ud af det vi producerer, men det giver et vist historisk perspektiv på hvad langtidsopbevaring af data egentlig er. Samtidig er overgangen til elektronisk opbevaring af information stadig i sin spæde start, hvor nye dataformater og metoder konstant kommer til, og ældre formater og metoder forsvinder. Hvem af læserne kan f.eks. læse en 51/4” eller sågar 3½” diskette nu om dage – noget vi havde i tusindevis af for blot 25 år siden?

Tidsperspektiv

I kender allesamen anekdoten med at et menneskeår er 7 hundeår. En del data skal gemmes i (for en computer) rigtigt lang tid. Husk at en computer arbejder i mili- og microsekunder hvor vi andre tænker i sekunder og minutter. En del dokumentation skal gemmes i rigtigt længe i menneskeår, så regnet i computerår er det uoverskueligt længe. Derfor er der behov for at vi nøje overvejer metoder til langtidsopbevaring af data og dokumenter.

”I gamle dage” (1995-ish) var der 3 tekstbehandlingsprogrammer der regerede verden, og vi benyttede alle WordPerfect, DSI tekst eller Microsoft Works (den der kom gratis med DOS/Windows 3.11). Kun WordPerfect og de senere DSI formatterede filer kan stadig åbnes, resten af disse formater kan ikke længere åbnes af kendte applikationer.

Der var også Lotus Notes, der holdt ved rigtigt længe. Lotus Notes var et fantastisk databasebaseret system der gav mulighed for at kombinere tekst, regneark, og data i en pragtfuld og yderst fleksibel blanding, og enkelte installationer kører formodentlig endnu. Til gengæld kan dem der er gået væk fra Lotus Notes have endog rigtigt svært ved at tilgå sine data, da formatet ikke er understøttet af andre produkter.

Brugsperspektiv

Når man gemmmer data skal man huske at de også har en brugsværdi. Jeg er personligt af den holdning at man ALDRIG skal slette data, da de senere kan komme til ny og stor nytte. Det er det man idag på godt Dansk kalder ”big data”, og betyder at man graver nye informationer ud af historiske data.

Desværre ved man aldrig helt præcist på forhånd hvilke data der senere kan have en senere brugsmæssig værdi, og hvilke data der aldrig bliver til nytte. Det vil f.eks. derfor være meget dumt at gemme excelregneark i et ”fladt filformat” (som f.eks. PDF), da data er svært tilgængelige bagefter.

Plads til at opbevare data bliver iøvrigt typisk meget billigere som årene går, og da datamængderne ”i gamle dage” – det vil sige i går for et menneske, og for 86.400.000 milisekunder siden for en computer – altid var minimale, gør det ikke noget at man satser på at opbevare sine data til evig tid, blot for en sikkerheds skyld, hvis de skulle indeholde noget interessant.

GxP perspektiv

I tillæg til de øvrige perspektiver, skal vi jo indenfor den farmaceutiske industri lige huske de forskellige ”dirty words” vi kan: Dataintegritet, ALCOA+ (herunder ikke at forglemme Availability), Audit trail, og så videre. Det betyder at de data og dokumenter vi kan åbne og benytte, også skal være sikret imod utilsigtede og udokumenterede ændringer.

Men hvad så …?

Nu lyder det jo som om ligegyldigt hvad man vælger er det dårligt, men hvis man tænker sig om, planlægger tilstrækkeligt, er omhyggelig og lidt krativ (selvom det sidste typisk straffes hårdt i denne branche), kan man alligevel godt finde løsninger der gør at man kan opbevare sine data ”for evigt”.

Først og fremmest skal man sørge for at gemme sine data on-line, således at de i praksis er tilgængelige for alle brugere der måtte have behov. Dette kan man gøre enten internt eller hos en ekstern leverandør. Her skal man under alle omstændigheder huske at det skal være sikret adgang til den fysiske og logiske del, der skal være periodisk reviewet log på adgange.

Man skal under alle omstændigheder have et datacenter der er sikret fysisk imod alle typer af angreb, naturkatastrofer og uheld, herunder brand, forhøjet vandstand, terrorangreb, hackere, strømafbrydelser o.l.. Adgangen udefra skal være bekyttet af opdaterede firewalls med review’ede firewall regler og køre VPN, HTTPS eller anden krypteret forbindelse. Her skal man bare spørge IT – de kan komme med en laaang liste af ting man skal huske at have styr på.

Hvis det kører hos en ekstern underleverandør skal man have en underskrevet serviceaftale og man skal have auditeret leverandøren (som minimum via et spørgeskema hvor man ikke har givet dem for lang svartid, så de ikke drømmer for mange spændende ting op).

Herefter skal man vælge et praktisk brugbart dataformat – Og hvad er så det ?

Excel f.eks. er vildt praktisk, blot ikke til GxP formål. En database er fantastisk, men hvis man ikke har det der kan hente data ud på en passende vis, har man ingenting. PDF er et såkaldt ”fladt filformat” hvor man ikke har mulighed for at trække data ud på en passende måde, og maskiners og analyseapparaters log-, batch-, etc. -filer er typisk svært tilgængelige når man ikke længere har maskinens logik til at tilgå data o.s.v.

Det er så her man skal opstille sine krav til hvad man forventer af sine dataformater og hvad man forventer af retentionstid hhv. tilgængelighedstid. Hvis man kigger lidt på andre industrier, er der faktisk nogle stykker der i særdeles høj grad tager stilling til langtidsholdbarhed af data. I Danmark har vi f.eks. statens arkiver der har digitaliseret rigtigt meget, og satser på langtidsholdbarhed generationer frem. Vi har desuden et datahistorisk museum hvor de er begyndt at lure problematikkerne ved gamle data og gamle datasystemer.

Hvis vi kigger udenfor landets grænser er NASA et af de steder hvor man både teoretisk og i praksis har beskæftiget sig med langtidsholdbarhed af data. Man sender f.eks. en mængde digitaliseret information om jorden med de satelitter der sendes på safari ud i universet, og man har fra NASA’s side sat forventningen til levetid på mindst 1 million år på de data man sender ud, samtidig med man ikke har store forventninger til niveauet af intelligens hos den eventuelle modtager. Derfor har man været særdeles nøjeregnende med både lagringsmedier og dataformater.

Hvis jeg skal komme med et bud på brugbare filformater (og uden at kende den specifikke løsning det skal bruges i forbindelse med) ville jeg kigge på nogle af de mange PDF formater. PDF findes i det klassiske format, der er et mix af tilgængelighed, sikkerhed, og operativitet, men der findes også til brug for en mængde andre formål, herunder et format jeg særdeles godt kan lide, nemlig PDF/A.

PDF/A understøtter ikke  at man har eksekverbar kode i sine dokumenter, men til gengæld indeholder det en række fonte der – hvis man har overvejet brugen af fonte i sine dokumenter på forhånd – giver visning der er identisk til den oprindelige. Man kan ikke passwordbeskytte data i dokumenterne, så alle og enhver kan læse dem eller klippe dem ud, og hvis man har været specifik om metoden til at generere sine PDF/A filer kan man også være heldig at klistre indholdet ind et andet sted. Man kan til gengæld ikke uopdaget ændre indholdet i et PDF dokument.

PDF/A’s store es i ærmet er muligheden for at inkludere, eller vedhæfte, andre dokumenter. Disse dokumenter kunne være råformater af indholdet der har skabt indholdet i dokumentet. Det betyder naturligvis stadig man er nødsaget til at understøtte råformatet, men man kan som udgangspunkt dokumentere at man kan få fat på det i med et uforfalsket og uændret indhold indtil det tages ud af PDF/A filen. PDF/A er i øvrigt en ISO standard, og Adobe ”garanterer” 30 års læsbarhed af PDF/A formatterede filer.

En anden mulighed er på valideret vis at lægge data over i en historisk database man selv har ejerskab af, eller som minimum, kontrol over. På denne måde er man selv ansvarlig for at kunne tolke data, og derfor uafhængig af andre, og  kan således selv vedligeholde sine udtræk og datarelationer. Det kræver naturligvis arbejde, men kan være ganske givtigt over tid, da det også vil være her man kan lave sine big data udtræk.

Det kan også være en mulighed at gå efter nogle af de mest simple og oprindelige dataformater. Kommaseparerede tekstfiler er super simple og alment brugbare med et minimum af instruktion. Den moderne version af dette kunne være XML der i princippet kan fungere lidt som en flad tekstfil og som en database på én gang. Alle de nye versioner af Excel og Word er XML baserede (man kan selv teste det ved at tage sin Excel.xlsx fil og omdøbe til Excel.xml og åbne den med noget der kan læse XML filer).

Der vil naturligvis være situationer hvor andre dataformater giver bedre mening end det ovenstående og det vil være en vurdering fra system til system hvad der giver bedst mening, men man skal under alle omstændigheder benytte sin sunde fornuft.

Er man så i mål ?

Så tænker mange ”job done”, men realiteten er at det først er nu man kan begynde det lange og vedholdende arbejde med at vedligeholde sine data. Det er en fordel hvis man er gået efter en begrænset mængde af – helst standardiserede – dataformater. Alle benyttede dataformater skal registreres, og man skal i en 1-2 årlig cyklus reviewe de benyttede dataformaters egnethed til deres formål, og nøje vurdere den fortsatte egnethed i mindst 2 eller 3 reviewperioder frem. Man skal f.eks. se på hvis Officepakken kommer i nye versioner, om de vælger at ændre på deres dataformater, og vurdere om man skal konvertere de gamle gemte formater til de nye (f.eks. .doc til .docx).

Grunden til behovet for denne vurdering er at man på det tidspunkt en teknologi eller et dataformat ikke længere har en lang fremtid foran sig, har man tilstrækkeligt med tid til at finde en løsning, foretage migrering, og validere at den dataoverførsel man foretager er i orden.

Konklusion

Sæt et mål for hvor længe man vil bibeholde sine data i et operativt format, og vær ambitiøs.

Husk at dataformater er forgængelige, og sørg altid for at tænke exitstrategi når man overlader data eller dokumenter til et system – Især hvis det er cloudbaseret, da cloudydelsen kan forsvinde pludseligt.

Vælg dataformater omhyggeligt, og vurdér løbende deres egnethed. Sørg for at migrere eller opdatere data i god tid inden teknologien man benytter udgår.

Hav altid data tilgængelige og i et operativt format. Forsøg at undgå proprietære formater, og vælg i stedet formelt standardiserede formater hvis det på nogen måde er muligt.

Karen Ginsbury’s Quality Blog #5 (2022/#1)

January 25, 2022

Back to the Future: Can Pharma have an Effective QMS?

Welcome to… 2022. I only managed one blog in 2021 compared to three in 2020 when Covid was new to us. I am not surprised as we moved twice – once in 2020 and again to permanent new home in Jerusalem in early 2021. My mother moved with us – now next door – so there was a lot to navigate in maintaining and recalibrating our Quality Management Systems!!

I see that in the previous blog, I over-optimistically wrote that Israel was almost done with masks. I was on a plane as I am now. The difference is that today I am DOUBLE-MASKED as a risk mitigating measure against the yet more infective Omicron. If I don’t test negative on arrival, I won’t be able to visit my sick father and that’s the entire purpose of the trip – so risk management is focusing on prevention rather than detection. I believe masks are effective when worn correctly.

I will continue to remind you that…

One of the key purposes of a quality management system is to act as a preventive tool”

Covid vaccines were in the last blog, and after three doses, it is clear to all that they do NOT #PREVENT Covid. What they seem to do is to reduce the severity of the disease and even that is open to question. Having had three doses, and my husband and mum after FOUR, one has to ask – how much of this stuff will we put in our bodies and why, if my 4 x vaccinated friends are getting Covid anyway.

I’m coming back to prevention and what makes an effective QMS in a moment. In the last blog I told you I was coming to terms with our i-robot for cleaning the new flat. Here is my report – entirely satisfactory – cleans far better than myself or my husband, is exceedingly thorough and set-up not overly laborious. However, I am not e-competent – operation is by husband. My motto is “need to know basis” – so as he can and does do it – I don’t need to. We have also installed a smart thermostat on the water heater, so that we can operate it at different times each day from outside the house and have boiling hot water at max efficiency any time there isn’t enough solar power to provide it free! Why am I sharing all this – because in the move to INDUSTRY 4.0 all of your companies should have a vision for eliminating the human element, where possible. Robots are reliable, don’t think and don’t make mistakes – they can break down but people get sick and leave. Competency is not an issue with a robot or smart system.

And now back to the QMS issue. Continuing my previous blog / rant regarding the PQS or “Pharmaceutical” Quality System and its focus on correcting bad things as they happen rather than prevention. I do really want to clarify – because in a course I am giving on CAPA I said a QMS is

useless if it only corrects and doesn’t prevent. A very wise and attentive student (I always get those at IFF – this one was online in Israel), called me out and asked if the system isn’t of use if it catches bad stuff. To which I replied, thanking him for reminding me of the dangers of using absolutes like “useless.” I have CAPA’d that statement, deleting “useless” and now it comes out like this:

A QMS is truly effective particularly from the cost aspect but also ensuring uninterrupted supply of quality product, when it #PREVENTS bad things from happening rather than just reacting and fixing them after they occur. It is still FAR better to catch them, especially in-house and fix them, then to have no system at all and the defects get out and harm a patient.

And now back to the rant – back to the future – have you seen…

THE DRAFT REVISION OF ICHQ9 R1? Issued in December 2021 Quality Risk Management. I haven’t read it cover to cover and haven’t yet submitted comments – I BEG OF YOU and your companies to do so. IFF committee – let’s work together and submit comments – maybe set up a Zoom to review it? Actually I am planning a short webinar on it at end of Feb early March. I’ll give Christina a heads-up so you can register early as participation is limited and it is FREE. This revision was supposed to be the BIG ONE – after 15 years (2006), a revision which will “shake up industry” and make QRM effective. Yet, when you read the introduction, the FIRST use of QRM discussed is to REACT to deviations and product / process non-conformities. Woe unto us, if the wording remains as proposed in lines 26 and 27 “ an effective QRM approach can further ensure the high quality of a drug product to the patient by providing a proactive means to identify and control potential quality issues during development and manufacturing.”

Can “further ensure” “high” quality?

“further ensure” implies a secondary benefit. Proactive means should be PRIMARY – ISO9001:2015 – the purpose of an effective QMS is to act as a PREVENTIVE TOOL.”

And “high” quality? NO – QUALITY is meeting all the requirements all the time and failure to do so means there isn’t quality. Philip Crosby in Quality is Free tells us that we cheapen the term Quality by referring to “high” or “low” quality. At least let’s ask the ICH to make PROACTIVITY of the QMS a PRIMARY purpose and reaction such as prevention of shortages after we messed up and (better than missing it) react – a second and less beneficial purpose of QRM.

SO if this blog makes you read the draft, and if, even better makes your company comment, we will have made progress to a more effective QMS and a step away from the “PQS.”

I hope to see you all once again very soon and send you my very best wishes. I did see a lot of you last August when I managed to sneak in and out of Denmark during a Covid valley – hope to do so again this year.

Please… stay safe.

Karen

Penetration test – Praktisk indføring i hacking for QA’ere

Af Christian Stage, IT QA Specialist, Stage One Computing

Efter deltagelse i IFF’s fortræffelige arrangement den 2021.11.30 omkring dataintegritet, hvor Ib Alstrup fra Lægemiddelstyrelsen på bedste vis underholdt med opdateringer fra den regulatoriske front og diverse inspection findings, tænkte jeg at lidt erfaring med ”Penetration test” var værd at dele.

Penetrationstest er en forventning fra myndighedernes side, og det kan måske være lidt svært at lure hvad det går ud på hvis ikke men er hardcore IT-nørd, så først lidt lægmandforklaring på hvad det overhovedet går ud på.

Hvis man har et IT-system skal det være beskyttet således at det ikke er alle og enhver der kan tilgå systemet. Ligeledes skal man sikre ”segregation of duties”, således at kun de rette personer kan tilgå systemet, data og de tilknyttede ressourcer. Hvis det stadig bliver lidt for langhåret og svævende, så gælder det om at en operatør der keder sig om natten ikke kan surfe på Ekstrabladets hjemmeside, se Netflix og frem for alt ikke kan rette eller slette data.

Det giver således mening at man udfører en formel og målrettet test af om et system tillader utilsigtede adgange.

Så sidder der muligvis en eller anden proces QA med almindelig bruger IT-erfaring og tænker: Meget fint Christian, men hvad skal man så i praksis kigge efter?

Hacking for begyndere

Først og fremmest skal man kigge efter adgang til en browser (Internet Explorer, Edge, Chrome eller lignende). Hvis man kan få adgang til en browser, kan man med sikkerhed også få adgang til operativsystemet – Sandsynligvis med administrative privilegier! Nu skal dette ikke blive en skole udi hacking, men prøv at åbne f.eks. Word. Vælg ”Help” -> ”Feedback”, og klik på linket ”Privacy Policy”. I den browser der popper op, kan man i søgefeltet skrive ”cmd” eller ”explorer”, og vupti, så har man med stor sandsynlighed en administrativ adgang til filer i systemet. Ellers kan man altid prøve med ekstrabladet.dk, Youtube.com eller Netflix.dk hvis man savner underholdning …

Hvis det nu ikke var Word, men styresystemet på en pakkemaskine, ville resultatet med stor sandsynlighed være det samme. Man kan typisk også finde en ”about” knap i printermenu ’en eller tilsvarende steder, så der er rig mulighed for at få startet en kommandoprompt eller en Explorer med administrative adgange.

Næste indlysende udfordring at kigge efter er alle de touch funktioner der efterhånden også findes i de nyere Windows versioner. Hvis det er en berøringsfølsom skærm, som efterhånden findes på rigtigt mange produktionssystemer, maskiner og laboratorieudstyr. Hvis man f.eks. ”swiper” ind fra højre eller venstre får man adgang til administrative menuer, eller hvis man holder en finger på skærmen et stykke tid, svarer det til højreklik på musen, som også ofte kan give bonusadgange til diverse uventede features.

Hvis systemet ikke har berøringsfølsom skærm, og man må ”nøjes” med et klassisk tastatur, er det bare at slå sig løs med alle de genvejs og funktionstaster man kan finde. Det giver næsten altid højest uventede og spændende resultater.

Det næste man kan kigge efter er huller i kassen. Der findes ofte en Ethernet port eller USB-port man kan få adgang til. Hvis man stikker en USB-stick med en ”autoexec.bat” fil ind i USB porten, vil den automatisk forsøge at køre denne fil. Hvis der f.eks. står ”Explorer.exe” eller ”command.com” inde i denne autoexec.bat fil, vil den starte stifinder eller systemets kommandoprompt.

… og sådan kan man blive ved.

Pointen er at man bør søge efter at begrænse de mest indlysende uhensigtsmæssige adgange til et system. De ovennævnte eksempler er ikke specielt svære at fjerne, men det kræver at man ved de er der. Man kan typisk danne sig

et helt katalog af spændende måder at komme ind bagom et system, sammen med en liste af løsningsmetoder til de enkelte problemstillinger.

Småtips

Hvis jeg skal komme med lidt tips, er det vigtigt at man søger en operativ metode. Man kan godt tage sin applikation og aflevere til et firma der kan reverse engineere programmerne og derigennem finde en mængde teoretiske huller. Det er også fint hvis man udvikler medical device software eller lignende, men forbliver MEGET teoretisk hvis det er brugerfladen til en pakkemaskine, en håndscanner til MES systemet, eller en HPLC på et laboratorie.

Det næste tips er at undersøge sikkerheden så tidligt i processen som muligt, indgå dialog med leverandørerne om løsninger, og i det hele taget tage øvelsen fra en praktisk vinkel. Leverandørerne lurer faktisk ret hurtigt formålet, og bliver yderst samarbejdsvillige når man først indgår dialog og viser velvilje til at finde løsninger.

Hvis jeg skal komme med et par gode eksempler fra ”Penetration tests” jeg har været ude og lave hos kunder, kan jeg umiddelbart komme på 2 gode historier:

Historie 1

Jeg var ude hos en Schweizisk maskinproducent ”der har styr på det”. De går meget op i at fortælle hele verdenen at de er 50% bedre end den næstbedste på markedet, og at det er Schweizisk kvalitet, på højde med kukure og lignende. Da vi kom ud for at lave vores penetrationstest hos dem, dukkede deres chefingeniør op og forklarede at det var spildt indsats fra vores side, fordi de var meget dygtige til at udvikle sikker software.

Vi forklarede pænt at vi var glade for at det havde sikkerhed som fokus, og at det var egentlig også var formålet med vores lille øvelse, samt at vi havde den største tiltro til deres evner. Ved hjælp af et klik på ”Help”, dukkede en Internet Explorer browser op. Da ”cmd” blev skrevet i søgefeltet, var vi inde som administratorer, allerede efter 10 sekunder.

Så blev der meget stille i rummet. Det lykkedes dog efter chokket havde lagt sig, at få fundet løsninger til samtlige af de fundne ”huller”, i en fortræffelig og mere operativ dialog end der blev startet op med fra leverandørens side.

Historie 2

Jeg var ude hos en medicinalproducent der havde bedt os om at vurdere IT-sikkerheden i deres virksomhed. Da vi passerede igennem receptionen lurede en af mine kollegaer at der sad nogle kameraer i loftet, som han kunne genkende modellen på. På internettet kunne man finde det fabriksleverede administrative password på kameraerne, og de havde et ubeskyttet Wi-Fi slået til. Herefter var det ikke en større sag at logge sig på kameraerne som administrator.

Kameraerne var forbundet til virksomhedens øvrige netværk via netværkskabler, og når man først var administrator på kameraerne kunne man let som ingenting få adgang til virksomhedens administrative servere og brugerdatabasen.

Virksomhedens IT-folk sagde godt nok at de havde på deres todo liste at skifte passwords, men denne 2 minutters opgave var altså udskudt, og det var desværre blot toppen af isbjerget. Da vi efter vores analyser kom ud i den virkelige verden, lagde vi mærke til at man faktisk kunne få fat i kameraerne ude fra P-pladsen.

Konklusion

Nu vi ved at Ib alligevel kigger efter om der er lavet penetration test af systemer relateret til GxP, kan vi lige så godt gøre en ordentlig øvelse ud af det: Lav en protokol (den kan være mere eller mindre standard) og udfør en kontrol af om systemerne lever op til en rimelig minimumstandard for IT-sikkerhed.

Tænk som en operatør der keder sig drabeligt i nattetimerne, eller tænk som en der hjælper med at sætte Windows op for naboen hvis det ikke virker. Man behøver ikke tænke som en hardcore Russisk hacker, og langt de fleste har i dag relativt god viden om hvordan man sætter printer o.l. op i Windows, så de fleste har kunnen til at udføre en penetration test – Så er det kun lidt intuition ovenpå, så skal det nok gå.