Send Message
Privacy statement: Your privacy is very important to Us. Our company promises not to disclose your personal information to any external company with out your explicit permission.
Podobnie jak zespół pracujący nad celem, szpitale i producenci urządzeń medycznych mają odrębne części, aby pomóc w stworzeniu bezpiecznego środowiska dla osobistych informacji zdrowotnych pochodzących z monitorów pacjentów i innych urządzeń medycznych.
Od pewnego czasu to pojęcie wspólnej odpowiedzialności za bezpieczeństwo danych zostało uznane za najlepszą praktykę w większej branży technologicznej. Na przykład dostawcy usług w chmurze, tacy jak Amazon Web Services, Microsoft Azure i Google, postępują zgodnie z tym modelem odpowiedzialności, aby zdefiniować wzajemne zobowiązania bezpieczeństwa dostawców chmur i ich klientów.
W ramach opieki zdrowotnej pojawił się podobny model dla danych urządzeń medycznych. W wytycznych opublikowanych we wrześniu 2023 r. Usemacja amerykańskiej Agencji ds. Żywności i Leków stwierdza: „ FDA uznaje, że cyberbezpieczeństwo urządzeń medycznych jest wspólną odpowiedzialnością wśród interesariuszy w całym środowisku użytkowania systemu urządzeń medycznych, w tym placówek opieki zdrowotnej, pacjentów, świadczeniodawców i producentów i producentów producentów urządzenia medyczne. "
Badacze i programiści branży medycznej zgadzają się. Artykuł w zakresie outsourcingu produktów medycznych (MPO) stwierdza: „ Ogólnie rzecz biorąc, w rzeczywistości jest wspólną odpowiedzialnością, ponieważ ani szpitale, ani producenci urządzeń medycznych nie mogą samodzielnie odeprzeć rosnącej liczby ataków ukierunkowanych na opiekę zdrowotną. Muszą połączyć siły, aby chronić zarówno produkty, jak i pacjentów przed krzywdą. "
Jest jasne, że producenci urządzeń medycznych, dostawcy oprogramowania szpitalnego i organizacje zdrowotne muszą połączyć się z informacjami pacjentów i systemów urządzeń medycznych przeciwko aktywności cyberprzestępczości. Aby odnieść sukces, każdy z graczy musi wiedzieć i zrozumieć swoją rolę.
US FDA wymaga od producentów urządzeń medycznych i dostawców oprogramowania do przestrzegania procesu o nazwie „Bezpieczeństwo według projektu”, który utrzymuje, że niektóre elementy sterujące mają być osadzone w produkcie, aby ułatwić szpitalom bezpieczne wdrażanie i korzystanie z produktu. [2] Funkcje takie jak konfigurowalne szyfrowanie, bezpieczne strony logowania i wymagania uwierzytelniania użytkownika to przykłady sposobu, w jaki producenci integrują możliwości bezpieczeństwa z ich produktami.
Aby jednak optymalnie funkcjonować, funkcje te zapewniające bezpieczeństwo w projektowaniu produktu często wymagają działania ze strony szpitala w celu aktywacji i utrzymania żywotności.
Weźmy przykład kontroli dostępu do produktu. Producent urządzeń lub dostawca oprogramowania może zazwyczaj wdrożyć kontrolę dostępu do funkcji produktu, weryfikując lub uwierzytelniając tożsamość użytkownika klinicznego na podstawie usługi Active Directory w szpitalu, za pośrednictwem haseł i protokołów, a następnie sprawdź, czy ten użytkownik należy do grupy Active Directory the the Group the Active Directory. Produkt wie z jego konfiguracji. Teraz tylko organizacja opieki zdrowotnej może określić, którzy użytkownicy powinni mieć autoryzację w celu uzyskania dostępu do systemu i mogą odpowiednio skonfigurować produkt, a czasem skonfigurować własny Active Directory, tworząc grupę, jeśli nie można go ponownie wykorzystać. Korzystanie z niewłaściwej grupy, takiej jak autoryzacja zbyt wielu użytkowników, lub rozluźnienie w utrzymaniu aktualnego katalogu, może otworzyć sieć na niepotrzebne ryzyko. Producent wprowadza kontrolę bezpieczeństwa, szpital optymalną konfigurację kontroli.
Szyfrowanie danych, kolejna silna funkcja bezpieczeństwa, wymaga również działań ze strony szpitala, a także producenta. Gdy szyfrowanie jest używane do zapewnienia poufności danych, uwierzytelnianie węzłów sieciowych jest również konieczne, aby upewnić się, że dane dotrą do oczekiwanego miejsca docelowego. Na przykład producenci mogą dostarczać kontrole bezpieczeństwa, takie jak solidne algorytmy szyfrowania danych i weryfikacja certyfikatu informacji w tranzycie między urządzeniem medycznym a elektroniczną dokumentacją medyczną szpitala (EMR). Teraz, aby włączyć tę funkcję bezpieczeństwa, szpital zapewnia certyfikat uwierzytelnienia i silny klucz prywatny do EMR oraz kopię certyfikatu EMR do urządzenia medycznego - które użyje go do uwierzytelniania EMR. Szpital jest również odpowiedzialny za zarządzanie tymi aktywami - wygaśnięcie, odwołanie. Aby szpitale zdały sobie sprawę z pełnych korzyści szyfrowania i wzajemnego uwierzytelnienia, producent musi oferować powiązane silne kontrole bezpieczeństwa w produkcie; Jednak funkcje te nie działają, dopóki szpital nie zostaną poprawnie skonfigurowane. Jeśli nie, funkcja bezpieczeństwa szyfrowania nie może działać, a nawet gorzej, może sprawić, że będzie wyglądać tak, jakby zapewniono bezpieczeństwo, gdy nie jest.
Nawet aplikacje mobilne i chmurowe wymagają wspólnej odpowiedzialności, ponieważ szpitale będą musiały upewnić się, że przeglądarki i urządzenia mobilne są aktualne i włączone z funkcjami bezpieczeństwa, takimi jak uwierzytelnianie wieloskładnikowe w celu optymalizacji kontroli bezpieczeństwa opartych na chmurze producenta.
W związku z tym, aby zapewnić bezpieczną wdrożenie produktu, producenci muszą osadzić się w tym produkcie kontroli bezpieczeństwa przy użyciu sprawdzonych algorytmów i projektów, kierowanych procesem „bezpieczeństwa według projektowania”. Jednocześnie szpitale zawsze mają swój udział w obowiązkach i działaniach, aby zapewnić bezpieczne stosowanie produktu.
Następnie każdy produkt jest inny, jak szpital może wiedzieć, co robić? Szpitale mają własne ogólne procesy i procedury, aby zabezpieczyć infrastrukturę IT, która dotyczą wszystkich wdrożonych produktów. Ale aby umożliwić szpitalom rozważenie i wykorzystanie specyficzności każdego produktu, producenci muszą być przejrzyste w kwestii bezpieczeństwa, które mogą być wykorzystywane przez szpitale, a także ich oczekiwania dotyczące środowiska szpitalnego. Szpitale z kolei powinny uświadomić sobie te funkcje i oczekiwania bezpieczeństwa. Wreszcie oba muszą połączyć siły, aby umożliwić udane wdrożenie.
Na szczęście producenci mogą ułatwić szpitalom zrozumienie, co mogą zrobić, aby zoptymalizować bezpieczeństwo danych medycznych. Producenci często dostarczają użytkownikom klinicznym i administratorom systemu informacje i wytyczne w dokumentach takich jak oświadczenie o ujawnieniu produkcji dla bezpieczeństwa urządzeń medycznych (MDS2), przewodników do stwardnienia i innych materiałów dotyczących wytycznych w zakresie bezpieczeństwa.
Dokumenty te zapewniają posterunek krok po kroku dla świadczeniodawców opieki zdrowotnej w celu zapewnienia, że wykonują swoją część w celu ochrony danych urządzeń medycznych przed cyberatakami lub innymi włamaniami. Zalecane kroki mogą obejmować ograniczenie dostępu do logowania do określonego personelu; zabezpieczenie połączeń między systemami za pośrednictwem segmentacji sieci i ograniczonych portów; wykorzystanie zaufanych certyfikatów w celu zweryfikowania tożsamości urządzeń medycznych i systemów otrzymujących dane kliniczne; i wiele innych działań specyficznych dla sieci szpitalnej.
September 20, 2024
July 03, 2024
July 19, 2023
August 22, 2024
August 22, 2024
Wyślij je do tym dostawcy
September 20, 2024
July 03, 2024
July 19, 2023
August 22, 2024
August 22, 2024
Skontaktować
Wyślij zapytanie
Products
Privacy statement: Your privacy is very important to Us. Our company promises not to disclose your personal information to any external company with out your explicit permission.
Fill in more information so that we can get in touch with you faster
Privacy statement: Your privacy is very important to Us. Our company promises not to disclose your personal information to any external company with out your explicit permission.