Přejít k hlavnímu obsahu

Téma příspěvku: Zabezpečení lékařského zařízení

Nezachytitelné ticho: Jak může MAUDE zesílit volání po bezpečnějších zařízeních

Napsáno Julia Annaloro on . Publikováno v Zabezpečení lékařského zařízení, Zdroje a novinky.

Blog o zdravotnických prostředcích od Phila Englerta, viceprezidenta pro bezpečnost zdravotnických prostředků organizace Health-ISAC

Majitelé zdravotnických prostředků jsou stále více frustrováni omezeným množstvím informací, které výrobci zdravotnických prostředků sdílejí o známých, ale nezveřejněných zranitelnostech v lékařských technologiích, a rychlostí, s jakou známé zranitelnosti opravují. Využití systému MAUDE Úřadu pro kontrolu potravin a léčiv (FDA) by mohlo být způsobem, jak podpořit efektivnost.

Databáze MAUDE úřadu FDA – zkratka pro Manufacturer and User Facility Device Experience (Zkušenosti výrobce a uživatele s přístroji) – je veřejné úložiště hlášení o nežádoucích účincích týkajících se zdravotnických prostředků a je součástí strategie FDA pro poprodejní dohled. Jejím hlavním účelem je pomoci FDA monitorovat výkonnost přístrojů, odhalovat potenciální bezpečnostní problémy a podporovat hodnocení přínosů a rizik po uvedení přístrojů na trh. Povinné osoby podávající hlášení (jako jsou výrobci, dovozci a zdravotnická zařízení) musí podávat hlášení, pokud přístroj mohl způsobit nebo přispět k úmrtí, vážnému zranění nebo poruše. Dobrovolné osoby podávající hlášení (jako jsou zdravotničtí pracovníci, pacienti nebo pečovatelé) mohou také podávat hlášení, pokud pozorují problém související s přístrojem nebo se s ním setkají.

Přečtěte si více o MAUDE, včetně příklad narativu zprávy MAUDE týkající se kybernetické bezpečnosti v TechNation.

Klikněte zde

Zabezpečení zdravotnických prostředků: Co kupující ve zdravotnictví skutečně chtějí

Napsáno Julia Annaloro on . Publikováno v Zabezpečení lékařského zařízení, White Papers.

Kybernetická bezpečnost je nyní strážcem přístupu na trh

KRÁTKÝ PŘEHLED INDEXU KYBERNETICKÉ BEZPEČNOSTI ZDRAVOTNICKÝCH PŘÍSTROJŮ Z ROKU 2025

Zdravotnictví dosáhlo bodu zlomu v oblasti kybernetické bezpečnosti. 22 % zdravotnických organizací zažily kybernetické útoky, které ohrozily zdravotnické prostředky, přičemž 75 % z nich incidenty přímo ovlivňující péči o pacienty. Když útoky vynutí převoz pacientů do jiných zařízení – což se stalo téměř v čtvrtině případů – už nemluvíme o IT nepříjemnosti, ale i lékařské pohotovosti.

 

POPTÁVKA PO ZABEZPEČENÍ ZDRAVOTNICKÝCH PŘÍSTROJŮ JE VYSOKÁ

1. Transparentnost prostřednictvím SBOM – 78 % respondentů považuje kusovníky softwaru za nezbytné při rozhodování o zadávání veřejných zakázek. Nejde jen o dodržování předpisů – jde o praktickou správu zranitelností v propojeném ekosystému.

2. Vestavěné vs. připevněné zabezpečení – 60 % upřednostňuje integrovanou kybernetickou ochranu před dodatečně nainstalovanými řešeními. Vedoucí představitelé zdravotnictví zjistili, že náplasti s bezpečnostními opatřeními selhávají proti sofistikovaným útokům.

3. Pokročilá ochrana za běhu - 36 % aktivně vyhledává zařízení s ochranou za běhu, zatímco dalších 38 % si je vědomo její existence, ale zatím ji nepotřebuje – což naznačuje rychlý vývoj trhu od raného přijetí k očekávání běžného používání.

Přečtěte si bílou knihu od RunSafe Security, navigátora Health-ISAC. Klikněte zde

Stav kybernetické bezpečnosti ve zdravotnictví: Pokrok a úskalí

Napsáno Julia Annaloro on . Publikováno v Ve zprávách, Zabezpečení lékařského zařízení.

Phil Englert z Health-ISAC a Murad Dikeidek z UI Health hovoří o výzvách v oblasti bezpečnosti ve zdravotnictví a nabízejí postřehy.

Přestože sektor zdravotnictví dosahuje pokroku v kybernetické odolnosti, stále čelí hluboce zakořeněným výzvám, včetně spolupráce, problémů s kybernetickými pracovníky a rozpočtových omezení, což vyžaduje neustálou potřebu adaptace a přehodnocení priorit, jelikož protivníci mění svou taktiku, uvedli bezpečnostní experti Phil Englert a Murad Dikeidek.

„Jednou z věcí, které vidíme stále častěji a stále ne dostatečně, je sdílení informací,“ řekl Englert, viceprezident pro bezpečnost zdravotnických prostředků v Centru pro sdílení a analýzu zdravotnických informací.

Sdílení informací může být zásadní pro to, aby celý sektor lépe pochopil hrozby, kterým čelí, přesto v mnoha organizacích stále panuje nejistota ohledně úrovně podrobností, které by poskytovatelé zdravotní péče měli zveřejňovat, uvedl.

Přečtěte si nebo si poslechněte tuto konverzaci v sekci Data Breach Today. Klikněte zde

Zranitelnost Contec CMS8000

Napsáno Julia Annaloro on . Publikováno v Zabezpečení lékařského zařízení, Zdroje a novinky.

Zranitelnost Contec CMS8000: Kritický problém kybernetické bezpečnosti nebo špatný kódovací postup?

Blog Health-ISAC Medical Device Security v TechNation

Napsal Phil Englert, viceprezident Health-ISAC pro zabezpečení lékařských zařízení

Dne 30. ledna 2025 vydala Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) lékařské upozornění ICSMA-25-030-01, které upozorňuje na kritické zranitelnosti v monitorech pacientů Contec CMS8000. Tyto zranitelnosti – mezi které patří zápis mimo povolený rozsah, skrytá funkce zadních vrátek a únik soukromí – představují významná rizika pro bezpečnost pacientů a zabezpečení dat. Americký Úřad pro kontrolu potravin a léčiv (FDA) vydal ve stejný den bezpečnostní sdělení, v němž zdůraznil rizika spojená s těmito zranitelnostmi. FDA zdůraznil, že monitory Contec CMS8000 a přeznačené verze, jako například Epsimed MN-120, mohou být vzdáleně ovládány neoprávněnými uživateli, což může ohrozit data pacientů a funkčnost zařízení. Monitor CMS8000 se na trh dostal kolem roku 2005 a v červnu 510 získal schválení FDA 2011(k).

Doporučení FDA pro poskytovatele zdravotní péče a pacienty byla dvojí: Pokud se spoléháte na funkce vzdáleného monitorování, odpojte zařízení od sítě a přestaňte jej používat. Za druhé, FDA doporučila používat pouze funkce lokálního monitorování, jako je deaktivace bezdrátových funkcí a odpojení ethernetových kabelů. Fyziologické monitory neposkytují život zachraňující ani život udržující léčbu, ale jsou nezbytné pro monitorování stavu rizikových pacientů. Pacientovy monitory jsou monitorovány centrálně, aby pečovatelé byli okamžitě informováni o změnách stavu pacienta. Rychlá reakce může být rozdílem mezi dobrými a špatnými výsledky.

Zranitelnosti v softwaru Contec CMS8000, které odhalila agentura CISA a analyzovaly FDA, společnosti Claroty a Cylera, zdůrazňují kritickou potřebu robustních opatření v oblasti kybernetické bezpečnosti ve zdravotnických zařízeních. Zdůrazňují také, že zranitelnosti mohou pramenit spíše z nezabezpečeného návrhu než ze zlého úmyslu a jejich potenciální dopad na bezpečnost pacientů a dat nelze podceňovat. Poskytovatelé zdravotní péče by měli jednat rychle, aby tato rizika zmírnili a zajistili integritu svých zdravotnických prostředků.

Celý blog si můžete přečíst na TechNation. Klikněte zde

 

Kybernetická bezpečnost zdravotnických zařízení by mohla být ohrožena snížením počtu zaměstnanců HHS

Napsáno Julia Annaloro on . Publikováno v Ve zprávách, Zabezpečení lékařského zařízení.

Slyšení sněmovního podvýboru o ochraně kybernetické bezpečnosti u starších lékařských přístrojů zastíněných škrty HHS.

Panelisté účastnící se diskuse podvýboru pro dohled a vyšetřování na téma „Technologie stárnutí, vznikající hrozby: Zkoumání zranitelností kybernetické bezpečnosti u starších lékařských zařízení“ byli dotázáni na dopad snížení počtu zaměstnanců FDA na bezpečnost lékařských zařízení. 

"Skvělé," řekl Kevin Fu, profesor z katedry elektrotechniky a počítačového inženýrství na Khoury College of Computer Sciences na Northeastern University. Fu dříve působil jako inaugurační ředitel kybernetické bezpečnosti lékařských zařízení v Centru pro zařízení a radiologické zdraví (CDRH) FDA a programový ředitel pro kybernetickou bezpečnost v Centru excelence digitálního zdraví.

Erik Decker, viceprezident a CISO at Mezihoří Zdraví, řekl FDA je klíčovým zainteresovaným subjektem v úsilí o kybernetickou bezpečnost.

"Ano, bude to mít dopad," řekl Decker. 

Výrobci zdravotnických prostředků, nemocnice a partner FDA, řekl. HHS, FDA a zdravotnický průmysl vytvořily řadu pracovních skupin v rámci pracovní skupiny pro kybernetickou bezpečnost (CWG) koordinační rady zdravotnického sektoru (HSCC).

Podle Deckera však analýza ukazuje, že nemocnice mají v průměru implementováno pouze asi 55 % doporučených postupů kybernetické bezpečnosti ve zdravotnictví (HICP) pro zabezpečení zdravotnických zařízení. 

Decker řekl, že existují čtyři skupiny aktérů hrozeb: aktéři národního státu, organizovaný zločin, „hacktivisté“ a vnitřní hrozby. 

Panelista Greg Garcia, výkonný ředitel Pracovní skupiny pro kybernetickou bezpečnost koordinační rady zdravotního sektoru, řekl, že příští týden zveřejní bílou knihu o tom, jak jsou zdravotnické systémy podfinancované z hlediska financí a personálu pro ochranu kybernetické bezpečnosti.

Přečtěte si celý článek ve Healthcare Finance News. Klikněte zde

Jak se zaměstnanci HTM mohou připravit na navrhované změny bezpečnostních pravidel HIPAA

Napsáno Julia Annaloro on . Publikováno v Ve zprávách, Zabezpečení lékařského zařízení.

Blog Health-ISAC Medical Device Security v TechNation

Napsal Phil Englert, viceprezident Health-ISAC pro zabezpečení lékařských zařízení

 

Dne 27. prosince 2024 vydal Úřad pro občanská práva (OCR) při ministerstvu zdravotnictví a sociálních služeb (HHS) USA oznámení o navrhovaném vytváření pravidel (NPRM), kterým se mění bezpečnostní pravidlo Health Insurance Portability and Accountability Act z roku 1996 (HIPAA). Cílem je posílit ochranu kybernetické bezpečnosti, která chrání elektronické zdravotní informace (ePHI). Tato navrhovaná aktualizace představuje proaktivní přístup k ochraně citlivých zdravotních informací v éře eskalujících kybernetických hrozeb.

Navrhované změny zdůrazňují několik zásadních opatření pro posílení ochrany ePHI. Některá z těchto pravidel jsou procesně orientovaná a některá jsou technická. Začlenění těchto navrhovaných změn do procesu zadávání zakázek pomůže organizacím připravit se na změny, až vstoupí v platnost. Zde je výběr speciálně pro zdravotnické prostředky.

Pokračujte ve čtení tohoto článku v TechNation. Klikněte zde

Analýza dopadu rizik zdravotnických prostředků na poskytovatele zdravotní péče

Napsáno Julia Annaloro on . Publikováno v Zabezpečení lékařského zařízení, Zdroje a novinky.

Blog Health-ISAC Medical Device Security v TechNation

Napsal Phil Englert, viceprezident Health-ISAC pro zabezpečení lékařských zařízení

Ve zdravotnictví je zajištění bezpečnosti a účinnosti zdravotnických prostředků prvořadé. Kybernetická bezpečnost se příliš často zaměřuje na zranitelnosti a analýza zranitelností je sice důležitá, ale příliš úzká. Zranitelnosti se hodnotí pomocí systému Common Vulnerability Scoring System (CVSS), který se snaží určit, jak nebezpečná je zranitelnost. To jsou užitečné informace, ale zohledňují riziko zranitelnosti v rámci komponenty, ve které se nachází, spíše než v produktu. Tento omezený pohled nezohledňuje rizika, která zranitelnost představuje pro konkrétní prostředí. Při hodnocení rizik je nutné zohlednit i kontextové faktory, jako je důležitost aktiva, způsob jeho používání nebo zavedené kontroly, ať už v rámci produktu nebo v síti. Vzhledem k těmto omezením je provedení analýzy dopadu rizik zdravotnických prostředků (MDRIA) kritickým procesem, který pomáhá poskytovatelům zdravotní péče identifikovat, posoudit a zmírnit rizika spojená se zdravotnickými prostředky. Tato esej nastiňuje základní součásti MDRIA.

Celý blog si můžete přečíst na TechNation.  Klikněte zde

Logo Industrial Cyber ​​nahoře Obrázek televizní obrazovky se snímkem obrazovky tohoto článku. Vytažená zmínka: Časová osa přesunu odpovědností během životního cyklu zdravotnického zařízení

Whitepaper Health-ISAC zdůrazňuje povinnosti v oblasti kybernetické bezpečnosti v životním cyklu zdravotnického zařízení a zaměřuje se na odolnost

Napsáno Julia Annaloro on . Publikováno v Zdraví-ISAC, Ve zprávách, White Papers.

 

Health-ISAC zveřejnil whitepaper, který se zabývá úkoly potřebnými k udržení kybernetické odolnosti zdravotnických prostředků a tím, jak se mohou odpovědnosti přesouvat ze strany na stranu v rámci celého produktu. Jak zdravotnické prostředky procházejí fázemi životního cyklu, odpovědnost za úkoly se může přesunout mezi výrobce a zákazníka. Whitepaper Health-ISAC uvádí, že komunikace mezi dvěma stranami je nezbytná, protože zařízení prochází životním cyklem, takže úkoly jsou koordinovány a bezpečnostní mezery v produktu jsou zmenšeny.

Bílá kniha s názvem „Zkoumání rolí výrobců a zdravotnických organizací v oblasti kybernetické bezpečnosti během životního cyklu zdravotnického zařízení“ identifikoval to zdravotnické prostředky procházejí čtyřmi fázemi životního cyklu, přičemž různé úrovně odpovědnosti jsou kladeny na výrobce zdravotnických prostředků a organizaci poskytující zdravotní péči. Organizace poskytující zdravotní péči (HDO) by měly provádět pravidelnější hodnocení rizik na konci života (EOL) a na konci podpory (EOS), aby zjistily, zda mohou akceptovat riziko dalšího používání. Poukazuje také na to, že odpovědnost za udržování kybernetické polohy zdravotnického zařízení se vyvíjí v průběhu životního cyklu zařízení. 

Přečtěte si celý článek v Industrial Cyber. Klikněte zde

Prozkoumání rolí výrobců a zdravotnických organizací v oblasti kybernetické bezpečnosti během životního cyklu zdravotnického zařízení

Napsáno Julia Annaloro on . Publikováno v Zdraví-ISAC, Zabezpečení lékařského zařízení, White Papers.

 

TLP: BÍLÁ Tato zpráva může být sdílena bez omezení.
Členové Health-ISAC si stáhněte plnou verzi zprávy z portálu Health-ISAC Threat Intelligence Portal (HTIP)

Klíčové rozsudky

  • Zdravotnické prostředky procházejí čtyřmi fázemi životního cyklu, přičemž různé úrovně odpovědnosti jsou kladeny na výrobce zdravotnických prostředků a organizaci poskytující zdravotní péči.

  • Organizace poskytující zdravotní péči by měly provádět pravidelnější hodnocení rizik v období Konec životnosti a Konec podpory, aby se zjistilo, zda mohou akceptovat riziko dalšího používání.

  • Výrobce implementuje kategorie Security Control Categories ve fázi vývoje, aby zajistil, že zařízení je Secure by Design, Secure by Default a Secure by Demand.

  • Dokumentace a transparentnost jsou zásadní pro zachování kybernetické bezpečnosti. To zahrnuje poskytování podrobné bezpečnostní dokumentace, Software Bill of Materials (SBOM) a jasnou komunikaci o zranitelnostech a aktualizacích. 

 

Stáhněte si tuto bílou knihu.

Prozkoumání rolí výrobců a zdravotnických organizací v oblasti kybernetické bezpečnosti během životního cyklu zdravotnického zařízení
Velikost : 3.2 MB Formát: PDF

Úvod

Vzhledem k tomu, že se zdravotnická zařízení stále více propojují a mají možnosti internetové a bezdrátové komunikace, pochopení fází životního cyklu a úkolů potřebných k udržení jejich bezpečnostní pozice pomůže organizacím zabezpečit zařízení proti kyberbezpečnostním hrozbám. Životní cyklus zařízení jsou různé fáze, kterými zařízení projde, od výzkumu a vývoje přes uvedení na trh až po konec životnosti a konec podpory. Jak zdravotnické prostředky procházejí fázemi životního cyklu, odpovědnost za úkoly se může přesunout mezi výrobce a zákazníka. Komunikace mezi oběma stranami je nezbytná, protože zařízení prochází životním cyklem, takže úkoly jsou koordinovány a bezpečnostní mezery v produktu jsou zmenšeny.

Tento dokument zkoumá úkoly potřebné k udržení kybernetické odolnosti zdravotnických prostředků a to, jak se mohou odpovědnosti přesouvat ze strany na stranu v rámci celého produktu. Odpovědnost za udržování kybernetické polohy zdravotnického zařízení se vyvíjí v průběhu životního cyklu zařízení. Proces začíná u výrobce zařízení během fáze návrhu a vývoje a může se po klinickém použití stále více přesunout na organizaci pro poskytování zdravotní péče (HDO). Principy a postupy pro kybernetickou bezpečnost starších zdravotnických prostředků Mezinárodního fóra regulátorů zdravotnických prostředků (IMDRF) nastiňuje čtyři fáze životního cyklu. Food and Drug Administration (FDA) poskytuje požadavky na kybernetickou bezpečnost zdravotnických prostředků v pokynech před uvedením na trh a po něm. Výrobci mohou řešit kybernetickou bezpečnost zařízení během návrhu a vývoje s využitím požadavků před uvedením na trh. Požadavky po uvedení na trh jsou nutné kvůli kybernetickým bezpečnostním rizikům, která se dále vyvíjejí poté, co se zdravotnický prostředek dostane na trh.

Jak řídit kybernetická rizika zdravotnických prostředků – na celý život

Napsáno Julia Annaloro on . Publikováno v Ve zprávách, Zabezpečení lékařského zařízení.

Odborníci nabízejí rady pro správu rostoucích zásob a zdroje pro poskytovatele

Pokyny HSCC „Health Industry Cybersecurity – Managing Legacy Technology Security“ – neboli HIC-MaLTS – nabízejí organizacím osvědčené postupy, které lze použít ke správě kybernetických rizik starších lékařských technologií, řekl Phil Englert, viceprezident pro zabezpečení zdravotnických zařízení ve Health Information. Centrum sdílení a analýzy.

HIC-MaLTS se potýká s běžnými výzvami v oblasti kybernetické bezpečnosti ve zdravotnictví. Například „mnoho různých typů zdravotnických prostředků a různá místa, kde se používají, mají jedinečné rizikové profily a zahrnují mimo jiné diagnostické, terapeutické, nositelné, implantovatelné a softwarové funkce lékařského prostředku, které lze použít. v nemocnicích, na klinikách a v dalších neklinických a domácích zdravotnických zařízeních,“ řekl.

Také v tomto článku:

  • čtyři fáze životního cyklu zdravotnických prostředků
  • „systémové“ inventáře kombinované se segmentací a řízením přístupu k síti
  • Modelový smluvní jazyk HSCC pro Medtech Cybersecurity 

Přečtěte si článek ve Healthcare Infosecurity zde. Klikněte zde

Posílení kybernetické bezpečnosti ve zdravotnictví: Role zdraví-ISAC

Napsáno Julia Annaloro on . Publikováno v Ve zprávách, Zabezpečení lékařského zařízení.

Účast v Health-ISAC může způsobit, že poskytovatelé zdravotní péče jsou vůči nim méně náchylní hacky a porušení.

 

V éře stále sofistikovanějších a převládajících kybernetických hrozeb čelí poskytovatelé zdravotní péče jedinečným výzvám při ochraně citlivých dat pacientů a udržování integrity svých systémů. Jedním z mocných nástrojů v boji proti počítačové kriminalitě je účast ve Středisku pro sdílení a analýzu zdravotnických informací (Health-ISAC). Díky této spolupracující organizaci jsou poskytovatelé zdravotní péče méně náchylní k hackerům a narušení.

Jednou z nejvýznamnějších výhod členství Health-ISAC je přístup k informacím o hrozbách v reálném čase. Kybernetické hrozby se rychle vyvíjejí a mít aktuální informace je zásadní pro účinnou obranu. Health-ISAC shromažďuje a šíří informace o vznikajících hrozbách, zranitelnostech a vektorech útoků. Tato inteligence umožňuje poskytovatelům zdravotní péče řešit potenciální rizika dříve, než je mohou útočníci proaktivně zneužít. Pokud je například detekován nový kmen ransomwaru zaměřený na systémy zdravotní péče, Health-ISAC může rychle upozornit své členy a poskytnout podrobnosti o hrozbě a doporučené strategie zmírnění. Toto rychlé šíření informací může být rozdílem mezi menším incidentem a závažným porušením.

Kybernetická bezpečnost není osamoceným úsilím.

Přečtěte si celý blog od viceprezidenta Health-ISAC pro zabezpečení lékařských zařízení Phila Englerta v TechNation. Klikněte zde

Umělá inteligence, ransomware a lékařská zařízení: Ochrana zdravotní péče

Napsáno Julia Annaloro on . Publikováno v Ve zprávách.

McCrary Institute Cyber ​​Focus Podcast

Moderátor Frank Cilluffo vede rozhovor s Errolem Weissem, hlavním bezpečnostním ředitelem Centra pro sdílení a analýzu zdravotnických informací (Health ISAC).

Diskutují o vyvíjejících se výzvách kybernetické bezpečnosti v sektoru zdravotnictví, včetně ransomwaru, zranitelnosti dodavatelského řetězce a kritické potřebě lepších bezpečnostních opatření k ochraně zdravotnických prostředků a dat pacientů. Weiss sdílí poznatky ze svých rozsáhlých zkušeností v oblasti kybernetické bezpečnosti ve zdravotnictví a finančních službách, zdůrazňuje získané poznatky, roli sdílení informací a důležitost proaktivních opatření ke zmírnění rizik.

Poslechněte si podcast na YouTube Klikněte zde

Témata zahrnují:

  • Zdraví a ransomware

  • Výpadky v nemocnicích

  • Zdravotní kybernetické rozpočty

  • Zabezpečení a soulad

  • Lekce z FS

  • Budoucí technologie

  • Zdravotnictví

  • Sdílení informací napříč sektory

  • Praktické kroky k bezpečnosti