Διερεύνηση των ρόλων της κυβερνοασφάλειας των κατασκευαστών και των οργανισμών υγειονομικής περίθαλψης κατά τη διάρκεια του κύκλου ζωής των ιατρικών συσκευών
TLP: ΛΕΥΚΟ Αυτή η αναφορά μπορεί να κοινοποιηθεί χωρίς περιορισμούς.
Τα μέλη Health-ISAC φροντίστε να κατεβάσουν την πλήρη έκδοση της αναφοράς από την πύλη Health-ISAC Threat Intelligence Portal (HTIP)
Βασικές κρίσεις
Οι ιατροτεχνολογικές συσκευές περνούν από τέσσερις φάσεις του κύκλου ζωής τους, με διαφορετικά επίπεδα ευθυνών στον κατασκευαστή ιατροτεχνολογικών προϊόντων και στον οργανισμό παροχής υγειονομικής περίθαλψης.
Οι οργανισμοί παροχής υγειονομικής περίθαλψης θα πρέπει να πραγματοποιούν πιο τακτικές αξιολογήσεις κινδύνου στο τέλος της ζωής και στο τέλος της υποστήριξης για να καθορίσουν εάν μπορούν να αποδεχτούν τον κίνδυνο της συνεχιζόμενης χρήσης.
Ο κατασκευαστής εφαρμόζει Κατηγορίες Ελέγχου Ασφαλείας στη φάση ανάπτυξης για να διασφαλίσει ότι η συσκευή είναι ασφαλής κατά σχεδιασμό, ασφαλής κατά προεπιλογή και ασφαλής κατά ζήτηση.
Η τεκμηρίωση και η διαφάνεια είναι ζωτικής σημασίας για τη διατήρηση της ασφάλειας στον κυβερνοχώρο. Αυτό περιλαμβάνει την παροχή λεπτομερούς τεκμηρίωσης ασφαλείας, ένα Λογισμικό Bill of Materials (SBOM) και σαφή επικοινωνία σχετικά με τα τρωτά σημεία και τις ενημερώσεις.
Καθώς οι ιατρικές συσκευές γίνονται πιο διασυνδεδεμένες και διαθέτουν δυνατότητες διαδικτύου και ασύρματης επικοινωνίας, η κατανόηση των σταδίων του κύκλου ζωής και των εργασιών που απαιτούνται για τη διατήρηση της στάσης ασφαλείας τους θα βοηθήσει τους οργανισμούς να προστατεύουν τις συσκευές από απειλές για την ασφάλεια στον κυβερνοχώρο. Ο κύκλος ζωής της συσκευής είναι τα διάφορα στάδια από τα οποία θα περάσει μια συσκευή, από την έρευνα και την ανάπτυξη, την κυκλοφορία στην αγορά και τελικά, το τέλος της ζωής και το τέλος της υποστήριξης. Καθώς οι ιατροτεχνολογικές συσκευές περνούν στις φάσεις του κύκλου ζωής, η ευθύνη για τις εργασίες μπορεί να μεταβιβαστεί μεταξύ των κατασκευαστών και του πελάτη. Η επικοινωνία μεταξύ των δύο μερών είναι απαραίτητη καθώς η συσκευή κινείται στον κύκλο ζωής της, έτσι ώστε οι εργασίες να συντονίζονται και να μειώνονται τα κενά ασφαλείας εντός του προϊόντος.
Αυτό το έγγραφο διερευνά τα καθήκοντα που απαιτούνται για τη διατήρηση της ανθεκτικότητας στον κυβερνοχώρο των ιατρικών συσκευών και τον τρόπο με τον οποίο οι ευθύνες μπορεί να μετατοπίζονται από συμβαλλόμενο μέρος σε μέρος σε όλο το συνολικό προϊόν. Η ευθύνη για τη διατήρηση της στάσης ασφάλειας στον κυβερνοχώρο μιας ιατρικής συσκευής εξελίσσεται σε όλο τον κύκλο ζωής μιας συσκευής. Η διαδικασία ξεκινά με τον κατασκευαστή της συσκευής κατά τη φάση σχεδιασμού και ανάπτυξης και μπορεί όλο και περισσότερο να μετατοπιστεί στον Οργανισμό Παράδοσης Υγείας (HDO) μόλις χρησιμοποιηθεί σε κλινική. Το Διεθνές Φόρουμ Ρυθμιστών Ιατρικών Συσκευών (IMDRF) Αρχές και πρακτικές για την κυβερνοασφάλεια των παλαιών ιατρικών συσκευών περιγράφει τέσσερις φάσεις του κύκλου ζωής. Ο Οργανισμός Τροφίμων και Φαρμάκων (FDA) παρέχει απαιτήσεις για την ασφάλεια στον κυβερνοχώρο των ιατρικών συσκευών στην καθοδήγηση πριν και μετά τη διάθεση στην αγορά. Οι κατασκευαστές μπορούν να αντιμετωπίσουν την ασφάλεια στον κυβερνοχώρο μιας συσκευής κατά τη διάρκεια του σχεδιασμού και της ανάπτυξης χρησιμοποιώντας τις απαιτήσεις πριν από την αγορά. Απαιτούνται απαιτήσεις μετά τη διάθεση στην αγορά λόγω των κινδύνων για την ασφάλεια στον κυβερνοχώρο που συνεχίζουν να εξελίσσονται μετά την κυκλοφορία του ιατροτεχνολογικού προϊόντος στην αγορά.
