Gå til hovedindhold

Indlægs emne: Sikkerhed for medicinsk udstyr

Uophørlig tavshed: Hvordan MAUDE kan forstærke kravet om sikrere apparater

Skrevet af Julia Annaloro on . Indsendt i Sikkerhed for medicinsk udstyr, Ressourcer og nyheder.

Blog om medicinsk udstyr af Phil Englert, Health-ISACs vicedirektør for sikkerhed inden for medicinsk udstyr

Ejere af medicinsk udstyr er i stigende grad frustrerede over den begrænsede information, som producenter af medicinsk udstyr deler om kendte, men ikke-offentliggjorte sårbarheder i medicinsk teknologi, og den hastighed, hvormed de opdaterer kendte sårbarheder. Udnyttelse af Food and Drug Administration's MAUDE kan være en måde at fremme hurtigheden på.

FDA's MAUDE-database – en forkortelse for Manufacturer and User Facility Device Experience – er et offentligt arkiv over rapporter om bivirkninger, der involverer medicinsk udstyr, og er en del af FDA's strategi for overvågning efter markedsføring. Dens primære formål er at hjælpe FDA med at overvåge udstyrs ydeevne, opdage potentielle sikkerhedsproblemer og understøtte vurderinger af fordele og risici, efter at udstyr er kommet på markedet. Obligatoriske indberettere (som producenter, importører og sundhedsfaciliteter) skal indsende rapporter, når et udstyr kan have forårsaget eller bidraget til dødsfald, alvorlig personskade eller funktionsfejl. Frivillige indberettere (såsom sundhedspersonale, patienter eller omsorgspersoner) kan også indsende rapporter, hvis de observerer eller oplever et problem relateret til udstyr.

Læs mere om MAUDE, herunder en eksempel på en cyberrelateret MAUDE-rapportfortælling i TechNation.

Klik her

Medicinsk udstyrssikkerhed: Hvad købere af sundhedsydelser virkelig ønsker

Skrevet af Julia Annaloro on . Indsendt i Sikkerhed for medicinsk udstyr, hvidbøger.

Cybersikkerhed er nu portvagten til markedsadgang

KORT OM DIREKTØREN FRA CYBERSIKKERHEDSINDEKSET FOR MEDICINSK UDSTYR 2025

Sundhedsvæsenet har nået et vendepunkt inden for cybersikkerhed. 22 % af sundhedsorganisationerne har oplevet cyberangreb, der har kompromitteret medicinsk udstyr, hvoraf 75 % Hændelser, der direkte påvirker patientplejen. Når angreb tvinger patienten til at blive overført til andre steder faciliteter – hvilket skete i næsten en fjerdedel af tilfældene – taler vi ikke længere om IT ulejlighed, men medicinske nødsituationer.

 

EFTERSPØRGSELEN EFTER SIKKERHED I MEDICINSK UDSTYR ER HØJ

1. Gennemsigtighed gennem SBOM'er – 78 % anser softwarestyklister for at være afgørende i indkøbsbeslutninger. Dette handler ikke kun om overholdelse af lovgivningen – det er praktisk sårbarhedsstyring i et sammenkoblet økosystem.

2. Indbygget vs. Bolt-On sikkerhed – 60 % prioriterer integreret cybersikkerhedsbeskyttelse frem for eftermonterede løsninger. Ledere inden for sundhedsvæsenet har erfaret, at plaster på sikkerhedsforanstaltninger ikke fungerer mod sofistikerede angreb.

3. Avanceret runtime-beskyttelse - 36 % søger aktivt enheder med runtime-beskyttelse, mens yderligere 38 % er klar over det, men endnu ikke har brug for det – hvilket tyder på en hurtig markedsudvikling fra tidlig implementering til mainstream-forventning.

Læs hvidbogen fra RunSafe Security, en Health-ISAC Navigator. Klik her

Status for cybersikkerhed i sundhedsvæsenet: Fremskridt og faldgruber

Skrevet af Julia Annaloro on . Indsendt i I nyhederne, Sikkerhed for medicinsk udstyr.

Phil Englert fra Health-ISAC og Murad Dikeidek fra UI Health taler om udfordringerne ved sikkerhed i sundhedssektoren og giver indsigt.

Selvom sundhedssektoren gør fremskridt inden for cyberrobusthed, står den stadig over for dybtliggende udfordringer, herunder samarbejde, problemer med cyberarbejdsstyrken og budgetbegrænsninger, hvilket nødvendiggør et konstant krav om tilpasning og omprioritering i takt med at modstandere ændrer deres taktikker, sagde sikkerhedseksperterne Phil Englert og Murad Dikeidek.

"En af de ting, vi ser ske mere og mere, og stadig ikke nok, er informationsdeling," sagde Englert, vicepræsident for medicinsk udstyrssikkerhed hos Health Information Sharing and Analysis Center.

Informationsdeling kan være afgørende for at hjælpe den samlede sektor med bedre at forstå de trusler, den står over for, men der er stadig usikkerhed i mange organisationer om, hvor mange detaljer sundhedsudbydere skal offentliggøre, sagde han.

Læs eller lyt til denne samtale i Data Breach Today. Klik her

Contec CMS8000-sårbarhed

Skrevet af Julia Annaloro on . Indsendt i Sikkerhed for medicinsk udstyr, Ressourcer og nyheder.

Contec CMS8000-sårbarhed: Et kritisk cybersikkerhedsproblem eller dårlig kodningspraksis?

Health-ISAC Medical Device Security Blog i TechNation

Skrevet af Phil Englert, Health-ISAC VP for Medical Device Security

Den 30. januar 2025 udsendte Cybersecurity and Infrastructure Security Agency (CISA) den medicinske rådgivning ICSMA-25-030-01, der fremhævede kritiske sårbarheder i Contec CMS8000-patientmonitorerne. Disse sårbarheder – som inkluderer en out-of-bounds write, skjult bagdørsfunktionalitet og privatlivslækage – udgør betydelige risici for patientsikkerhed og datasikkerhed. Den amerikanske fødevare- og lægemiddelstyrelse (FDA) udsendte en sikkerhedsmeddelelse samme dag, der understregede de risici, der er forbundet med disse sårbarheder. FDA fremhævede, at Contec CMS8000 og omdøbte versioner, såsom Epsimed MN-120, kan fjernstyres af uautoriserede brugere, hvilket potentielt kompromitterer patientdata og enhedens funktionalitet. CMS8000 kom på markedet omkring 2005 og fik FDA 510(k)-godkendelse i juni 2011.

FDA's anbefalinger til sundhedspersonale og patienter var todelte: Tag stikket ud og stop brugen af ​​enheden, hvis du er afhængig af fjernovervågningsfunktioner. For det andet anbefalede FDA kun at bruge lokale overvågningsfunktioner, såsom at deaktivere trådløse funktioner og frakoble ethernetkabler. Fysiologiske monitorer yder ikke livreddende eller livsforlængende behandling, men de er afgørende for at overvåge tilstanden hos patienter i risikozonen. Patientmonitorer overvåges centralt for hurtigt at underrette plejepersonalet om ændringer i patientens tilstand. Hurtig reaktion kan være forskellen mellem gode og dårlige resultater.

Contec CMS8000-sårbarhederne, som CISA har afsløret og FDA, Claroty og Cylera har analyseret, fremhæver det kritiske behov for robuste cybersikkerhedsforanstaltninger i sundhedsvæsenet. Det fremhæver også, at sårbarheder kan stamme fra usikkert design snarere end ondsindede hensigter, og at deres potentielle indvirkning på patientsikkerhed og datasikkerhed ikke kan undervurderes. Sundhedsudbydere bør handle hurtigt for at afbøde disse risici og sikre integriteten af ​​deres medicinske udstyr.

Læs hele bloggen i TechNation. Klik her

 

Cybersikkerhed for medicinsk udstyr kan blive udfordret af personalenedskæringer i HHS

Skrevet af Julia Annaloro on . Indsendt i I nyhederne, Sikkerhed for medicinsk udstyr.

Høring i husets underudvalg om beskyttelse af cybersikkerhed for ældre medicinsk udstyr overskygget af HHS-nedskæringer.

Paneldeltagere, der deltog i tilsyns- og undersøgelsesunderudvalgets diskussion om "Aging Technology, Emerging Threats: Examining Cybersecurity Vulnerabilities in Legacy Medical Devices" blev spurgt om virkningen af ​​FDA-personalereduktioner på sikkerheden for medicinsk udstyr. 

"Enormt," sagde Kevin Fu, professor fra afdelingen for Electrical and Computer Engineering ved Khoury College of Computer Sciences ved Northeastern University. Fu fungerede tidligere som konstituerende fungerende direktør for Medical Device Cybersecurity ved FDA's Center for Devices and Radiological Health (CDRH) og programdirektør for Cybersecurity ved Digital Health Center of Excellence.

Erik Decker, vicepræsident og CISO kl Intermountain Sundhed, sagde FDA er en nøgleaktør i cybersikkerhedsindsatsen.

"Ja, det vil have en indflydelse," sagde Decker. 

Fabrikanter af medicinsk udstyr, hospitaler og FDA-partneren, sagde han. HHS, FDA og sundhedsindustrien har etableret adskillige opgavegrupper under Health Sector Coordinating Council (HSCC) Cybersecurity Working Group (CWG).

Imidlertid, sagde Decker, viser analyse, at hospitaler i gennemsnit kun har omkring 55 % af Health Industry Cybersecurity Practices (HICP) anbefalede praksis for medicinsk udstyrssikkerhed implementeret. 

Decker sagde, at der er fire grupper af trusselsaktører: nationalstatsaktører, organiseret kriminalitet, "hacktivister" og insidertrusler. 

Paneldeltager Greg Garcia, administrerende direktør, Health Sector Coordinating Council Cybersecurity Working Group, sagde i næste uge, at de vil udgive en hvidbog om, hvordan sundhedssystemer er undersourcet i økonomi og personale til beskyttelse af cybersikkerhed.

Læs hele artiklen i Healthcare Finance News. Klik her

Hvordan HTM-medarbejdere kan forberede sig på de foreslåede ændringer af HIPAA-sikkerhedsreglerne

Skrevet af Julia Annaloro on . Indsendt i I nyhederne, Sikkerhed for medicinsk udstyr.

Health-ISAC Medical Device Security Blog i TechNation

Skrevet af Phil Englert, Health-ISAC VP for Medical Device Security

 

Den 27. december 2024 udsendte Office for Civil Rights (OCR) ved US Department of Health and Human Services (HHS) en Notice of Proposed Rulemaking (NPRM) for at ændre Health Insurance Portability and Accountability Act of 1996 (HIPAA) Security Rule. Målet er at styrke cybersikkerhedsforsvar, der beskytter elektronisk sundhedsinformation (ePHI). Denne foreslåede opdatering repræsenterer en proaktiv tilgang til at beskytte følsomme sundhedsoplysninger i en æra med eskalerende cybertrusler.

De foreslåede ændringer fremhæver flere kritiske foranstaltninger til at styrke ePHI-beskyttelsen. Nogle af disse regler er procesorienterede, og flere er tekniske. Inkorporering af disse foreslåede ændringer i indkøbsprocessen vil hjælpe organisationer med at forberede sig på ændringerne, når de træder i kraft. Her er et udvalg, der er specifikt relevant for medicinsk udstyr.

Fortsæt med at læse denne artikel i TechNation. Klik her

Risikoanalyse af medicinsk udstyr for sundhedspersonale

Skrevet af Julia Annaloro on . Indsendt i Sikkerhed for medicinsk udstyr, Ressourcer og nyheder.

Health-ISAC Medical Device Security Blog i TechNation

Skrevet af Phil Englert, Health-ISAC VP for Medical Device Security

Inden for sundhedssektoren er det altafgørende at sikre medicinsk udstyrs sikkerhed og effektivitet. Alt for ofte fokuserer cybersikkerhed på sårbarheder, og selvom det er vigtigt, er sårbarhedsanalysen for snæver. Sårbarheder evalueres ved hjælp af Common Vulnerability Scoring System (CVSS), som forsøger at bestemme, hvor farlig en sårbarhed er. Dette er nyttig information, men den tager højde for sårbarhedsrisikoen i den komponent, den befinder sig i, snarere end produktet. Dette begrænsede overblik undlader at tage højde for de risici, som sårbarheden udgør for et specifikt miljø. Kontekstuelle faktorer såsom aktivernes betydning, hvordan aktivet bruges, eller de på plads kontroller, enten i produktet eller i netværket, skal også tages i betragtning ved risikovurdering. I betragtning af disse begrænsninger er det at udføre en risikokonsekvensanalyse for medicinsk udstyr (MDRIA) en kritisk proces, der hjælper sundhedsudbydere med at identificere, vurdere og afbøde risici forbundet med medicinsk udstyr. Dette essay skitserer de væsentlige komponenter i en MDRIA.

Læs hele bloggen i TechNation.  Klik her

Industrial Cyber-logo øverst Billede af en tv-skærm med et skærmbillede af denne artikel på. Træk omtale: Tidslinje for skift af ansvar i løbet af den medicinske enheds livscyklus

Health-ISAC whitepaper fremhæver cybersikkerhedsansvar i medicinsk udstyrs livscyklus, fokuserer på modstandsdygtighed

Skrevet af Julia Annaloro on . Indsendt i Sundhed-ISAC, I nyhederne, hvidbøger.

 

Health-ISAC udgav en hvidbog, der omhandler de opgaver, der er nødvendige for at opretholde medicinsk udstyrs cyberresiliens, og hvordan ansvaret kan skifte fra part til part gennem hele produktet. Efterhånden som medicinsk udstyr bevæger sig gennem livscyklusfaserne, kan ansvaret for opgaverne overføres mellem producenterne og kunden. Health-ISAC-hvidbogen identificerer, at kommunikation mellem de to parter er afgørende, når enheden bevæger sig gennem livscyklussen, så opgaverne koordineres, og sikkerhedshullerne i produktet reduceres.

Med titlen 'Udforskning af producenters og sundhedsorganisationers cybersikkerhedsroller i løbet af den medicinske enheds livscyklus', hvidbogen identificeret det medicinsk udstyr gennemgår fire livscyklusfaser, med forskellige ansvarsniveauer placeret på producenten af ​​det medicinske udstyr og sundhedsydelsesorganisationen. Organisationer, der leverer sundhedsydelser (HDO'er) bør udføre mere regelmæssige risikovurderinger, der går ind i end of life (EOL) og end of support (EOS) for at afgøre, om de kan acceptere risikoen ved fortsat brug. Den påpeger også, at ansvaret for at opretholde et medicinsk udstyrs cybersikkerhedsposition udvikler sig gennem en enheds livscyklus. 

Læs hele artiklen i Industrial Cyber. Klik her

Udforskning af cybersikkerhedsroller for producenter og sundhedsorganisationer i løbet af den medicinske enheds livscyklus

Skrevet af Julia Annaloro on . Indsendt i Sundhed-ISAC, Sikkerhed for medicinsk udstyr, hvidbøger.

 

TLP: HVID Denne rapport kan deles uden begrænsninger.
Health-ISAC-medlemmer skal sørge for at downloade den fulde version af rapporten fra Health-ISAC Threat Intelligence Portal (HTIP)

Nøgledomme

  • Medicinsk udstyr gennemgår fire livscyklusfaser, med forskellige ansvarsniveauer placeret på producenten af ​​det medicinske udstyr og sundhedsydelsesorganisationen.

  • Healthcare Delivery Organisationer bør udføre mere regelmæssige risikovurderinger, der går ind i End of Life og End of Support for at afgøre, om de kan acceptere risikoen ved fortsat brug.

  • Producenten implementerer sikkerhedskontrolkategorier i udviklingsfasen for at sikre, at enheden er Sikker ved Design, Sikker ved Default og Sikker efter behov.

  • Dokumentation og gennemsigtighed er afgørende for at opretholde cybersikkerhed. Dette omfatter levering af detaljeret sikkerhedsdokumentation, en Software Bill of Materials (SBOM) og klar kommunikation om sårbarheder og opdateringer. 

 

Download denne hvidbog.

Udforskning af cybersikkerhedsroller for producenter og sundhedsorganisationer i løbet af den medicinske enheds livscyklus
Størrelse: 3.2 MB Format: PDF

Introduktion

Efterhånden som medicinsk udstyr bliver mere sammenkoblet og har internet- og trådløse kommunikationsmuligheder, vil forståelse af livscyklusstadierne og de nødvendige opgaver for at opretholde deres sikkerhedsposition hjælpe organisationer med at sikre enheder mod cybersikkerhedstrusler. Enhedens livscyklus er de forskellige stadier, en enhed vil gennemgå, fra forskning og udvikling, på markedet og i sidste ende, end of life og end of support. Efterhånden som medicinsk udstyr bevæger sig gennem livscyklusfaserne, kan ansvaret for opgaverne overføres mellem producenterne og kunden. Kommunikation mellem de to parter er afgørende, da enheden bevæger sig gennem livscyklussen, så opgaverne koordineres, og sikkerhedshullerne i produktet reduceres.

Dette dokument udforsker de opgaver, der er nødvendige for at opretholde medicinsk udstyrs cyberresiliens, og hvordan ansvaret kan skifte fra part til part gennem hele produktet. Ansvaret for at opretholde en medicinsk enheds cybersikkerhedsposition udvikler sig gennem en enheds livscyklus. Processen begynder med enhedsproducenten under design- og udviklingsfasen og kan i stigende grad skifte til Healthcare Delivery Organisation (HDO), når den er i klinisk brug. International Medical Device Regulators Forum (IMDRF) principper og praksis for cybersikkerhed af ældre medicinske anordninger skitserer fire livscyklusfaser. Food and Drug Administration (FDA) stiller krav til cybersikkerhed af medicinsk udstyr i vejledningen før og efter markedsføring. Producenter kan adressere en enheds cybersikkerhed under design og udvikling ved at bruge forudgående markedskrav. Post-market-krav er nødvendige på grund af cybersikkerhedsrisici, der fortsætter med at udvikle sig, efter at det medicinske udstyr når markedet.

Sådan håndteres cyberrisikoen ved medicinsk udstyr – for livet

Skrevet af Julia Annaloro on . Indsendt i I nyhederne, Sikkerhed for medicinsk udstyr.

Eksperter tilbyder råd til styring af voksende varebeholdninger, ressourcer til udbydere

HSCC's "Health Industry Cybersecurity - Managing Legacy Technology Security" - eller HIC-MaLTS - vejledning tilbyder organisationer bedste praksis, der kan bruges til at håndtere cyberrisici ved ældre medicinske teknologier, sagde Phil Englert, vicepræsident for medicinsk udstyrssikkerhed hos Health Information Delings- og analysecenter.

HIC-MaLTS påtager sig almindelige sundhedsudfordringer inden for cybersikkerhed. For eksempel, "mange forskellige typer medicinsk udstyr og de forskellige steder, hvor de bruges, har unikke risikoprofiler og inkluderer blandt andet diagnostiske, terapeutiske, bærbare, implanterbare og software-som-en-medicinske anordninger, der kan bruges. på hospitaler, klinikker og andre ikke-kliniske og hjemmeplejemiljøer,” sagde han.

Også i denne artikel:

  • fire livscyklusfaser af medicinsk udstyr
  • "system-view" opgørelser kombineret med segmentering og netværksadgangskontrol
  • HSCC's Model Contract-Language for Medtech Cybersecurity 

Læs artiklen i Healthcare Infosecurity her. Klik her

Enhancing Cybersecurity in Healthcare: The Role of Health-ISAC

Skrevet af Julia Annaloro on . Indsendt i I nyhederne, Sikkerhed for medicinsk udstyr.

Deltagelse i Health-ISAC kan gøre sundhedsudbydere mindre modtagelige for hacks og brud.

 

I en tid med stadig mere sofistikerede og udbredte cybertrusler står sundhedsudbydere over for unikke udfordringer med at beskytte følsomme patientdata og opretholde integriteten af ​​deres systemer. Et stærkt værktøj i kampen mod cyberkriminalitet er deltagelse i Health Information Sharing and Analysis Center (Health-ISAC). Denne samarbejdsorganisation gør sundhedsudbydere mindre modtagelige for hacks og brud.

En af de vigtigste fordele ved Health-ISAC-medlemskab er adgang til trusselsintelligens i realtid. Cybertrusler udvikler sig hurtigt, og at have opdaterede oplysninger er afgørende for effektivt forsvar. Health-ISAC indsamler og formidler information om nye trusler, sårbarheder og angrebsvektorer. Denne intelligens giver sundhedsudbydere mulighed for at adressere potentielle risici, før ondsindede aktører kan udnytte dem proaktivt. Hvis f.eks. en ny ransomware-stamme opdages rettet mod sundhedssystemer, kan Health-ISAC hurtigt advare sine medlemmer og give detaljer om truslen og anbefalede afbødningsstrategier. Denne hurtige formidling af information kan være forskellen mellem en mindre hændelse og et væsentligt brud.

Cybersikkerhed er ikke en ensom bestræbelse.

Læs hele bloggen af ​​Health-ISAC VP for Medical Device Security Phil Englert i TechNation. Klik her

AI, Ransomware og medicinsk udstyr: Beskyttelse af sundhedspleje

Skrevet af Julia Annaloro on . Indsendt i I nyhederne.

McCrary Institute Cyber ​​Focus Podcast

Værten Frank Cilluffo interviewer Errol Weiss, Chief Security Officer ved Health Information Sharing and Analysis Center (Health ISAC).

De diskuterer de udviklende cybersikkerhedsudfordringer i sundhedssektoren, herunder ransomware, forsyningskædesårbarheder og det kritiske behov for bedre sikkerhedsforanstaltninger til at beskytte medicinsk udstyr og patientdata. Weiss deler indsigt fra sin omfattende erfaring inden for cybersikkerhed i både sundhedssektoren og finansielle tjenester, idet han fremhæver erfaringer, informationsdelingens rolle og vigtigheden af ​​proaktive foranstaltninger til at mindske risici.

Lyt til podcasten på YouTube Klik her

Emnerne omfatter:

  • Sundhed og Ransomware

  • Udfald på hospitaler

  • Sundhedscyberbudgetter

  • Sikkerhed og Compliance

  • Lektioner fra FS

  • Fremtidens teknologi

  • Medical Devices

  • Informationsdeling på tværs af sektorer

  • Praktiske skridt mod sikkerhed