Otse pealehele

Postituse teema: Meditsiiniseadmete turvalisus

Tabamatu vaikus: kuidas MAUDE saab võimendada üleskutset ohutumate seadmete järele

Kirjutatud Julia Annaloro on . Postitatud Meditsiiniseadmete turvalisus, Ressursid ja uudised.

Meditsiiniseadmete ajaveeb Phil Englertilt, Health-ISAC meditsiiniseadmete turvalisuse asepresidendilt

Meditsiiniseadmete omanikud on üha enam pettunud piiratud teabe pärast, mida meditsiiniseadmete tootjad jagavad meditsiinitehnoloogiate teadaolevate, kuid avalikustamata haavatavuste kohta, ja kiiruse pärast, millega nad teadaolevaid haavatavusi parandavad. Toidu- ja Ravimiameti MAUDE süsteemi ärakasutamine võib olla viis kiiruse suurendamiseks.

FDA MAUDE andmebaas – lühend sõnadest Manufacturer and User Facility Device Experience – on avalik andmehoidla, mis sisaldab meditsiiniseadmetega seotud kõrvaltoimete aruandeid ja on osa FDA turustamisjärgse järelevalve strateegiast. Selle peamine eesmärk on aidata FDA-l jälgida seadmete toimivust, tuvastada võimalikke ohutusprobleeme ja toetada kasu-riski hindamist pärast seadmete turuletulekut. Kohustuslikud teatajad (nt tootjad, importijad ja tervishoiuasutused) peavad esitama aruanded, kui seade võis põhjustada surma, raske vigastuse või rikke või sellele kaasa aidata. Vabatahtlikud teatajad (nt tervishoiutöötajad, patsiendid või hooldajad) saavad samuti esitada aruandeid, kui nad märkavad või kogevad seadmega seotud probleemi.

Loe lähemalt MAUDE kohta, sh Näide küberrünnakutega seotud MAUDE aruande narratiivist TechNationis.

Kliki siia

Meditsiiniseadmete turvalisus: mida tervishoiuteenuste ostjad tegelikult tahavad

Kirjutatud Julia Annaloro on . Postitatud Meditsiiniseadmete turvalisus, valged raamatud.

Küberturvalisus on nüüd turulepääsu väravavaht

2025. aasta meditsiiniseadmete küberturvalisuse indeksi lühikokkuvõte

Tervishoid on jõudnud küberturvalisuse murdepunkti. 22% tervishoiuorganisatsioonidest on kogenud küberrünnakuid, mis on kahjustanud meditsiiniseadmeid, kusjuures 75% neist intsidendid, mis otseselt mõjutavad patsiendihooldust. Kui rünnakud sunnivad patsiente teistesse asutustesse üle viima rajatised – mis juhtus peaaegu veerandil juhtudest – me ei räägi enam IT-st ebamugavused, aga meditsiinilised hädaolukorrad.

 

Meditsiiniseadmete turvalisuse nõudlus on suur

1. Läbipaistvus SBOMide kaudu – 78% vastanutest peab tarkvara materjalide loetelusid hankeotsuste tegemisel oluliseks. See ei puuduta ainult regulatiivset vastavust – see on praktiline haavatavuste haldamine omavahel seotud ökosüsteemis.

2. Sisseehitatud vs. poltidega kinnitatav turvalisus – 60% eelistab integreeritud küberturvalisust moderniseeritavatele lahendustele. Tervishoiujuhid on õppinud, et lihtsad turvameetmed ei toimi keerukate rünnakute korral.

3. Täiustatud tööaja kaitse - 36% otsib aktiivselt seadmeid, millel on tööaja kaitse, samas kui veel 38% on sellest teadlikud, kuid ei vaja seda veel – see viitab turu kiirele arengule varasest kasutuselevõtust laialdase ootuseni.

Lugege RunSafe Security, Health-ISAC Navigatori, tehnilist dokumenti. Kliki siia

Tervishoiu küberturvalisuse olukord: edusammud ja lõksud

Kirjutatud Julia Annaloro on . Postitatud Uudistes, Meditsiiniseadmete turvalisus.

Phil Englert Health-ISAC-ist ja Murad Dikeidek UI Health-ist räägivad tervishoiusektori turvalisuse väljakutsetest ja pakuvad oma teadmisi.

Kuigi tervishoiusektor teeb kübervastupidavuse osas edusamme, seisab see endiselt silmitsi sügavalt juurdunud väljakutsetega, sealhulgas koostöö, kübertööjõu probleemid ja eelarvepiirangud, mis tingivad pideva nõudluse kohanemise ja prioriteetide muutmise järele, kuna vastased oma taktikat muudavad, ütlesid turvaeksperdid Phil Englert ja Murad Dikeidek.

„Üks asi, mida me üha enam ja enam näeme toimuvat, aga ikka veel mitte piisavalt, on teabe jagamine,“ ütles Englert, terviseteabe jagamise ja analüüsi keskuse meditsiiniseadmete turvalisuse asepresident.

Teabe jagamine võib olla ülioluline, et aidata kogu sektoril paremini mõista ees seisvaid ohte, kuid paljudes organisatsioonides on endiselt ebakindlust selle osas, kui üksikasjalikku teavet tervishoiuteenuse osutajad peaksid avaldama, ütles ta.

Loe või kuula seda vestlust Data Breach Today lehel. Kliki siia

Contec CMS8000 haavatavus

Kirjutatud Julia Annaloro on . Postitatud Meditsiiniseadmete turvalisus, Ressursid ja uudised.

Contec CMS8000 haavatavus: kriitiline küberturvalisuse probleem või halb kodeerimistava?

Health-ISAC meditsiiniseadmete turbe ajaveeb TechNationis

Kirjutas Phil Englert, Health-ISAC meditsiiniseadmete turvalisuse asepresident

30. jaanuaril 2025 avaldas Küberturvalisuse ja Taristu Turvalisuse Agentuur (CISA) meditsiinilise teate ICSMA-25-030-01, milles toodi esile Contec CMS8000 patsiendimonitoride kriitilised haavatavused. Need haavatavused – sealhulgas piiridest väljas kirjutamine, peidetud tagaukse funktsionaalsus ja privaatsuse leke – kujutavad endast olulist ohtu patsiendi ohutusele ja andmeturbele. USA Toidu- ja Ravimiamet (FDA) avaldas samal päeval ohutusteatise, milles rõhutati nende haavatavustega seotud riske. FDA rõhutas, et Contec CMS8000 ja ümbermärgistatud versioone, näiteks Epsimed MN-120, võivad volitamata kasutajad kaugjuhtimise teel juhtida, mis võib kahjustada patsiendiandmeid ja seadme funktsionaalsust. CMS8000 tuli turule umbes 2005. aastal ja sai FDA 510(k) loa 2011. aasta juunis.

FDA soovitused tervishoiuteenuse osutajatele ja patsientidele olid kaheosalised: kui te tuginete kaugjälgimise funktsioonidele, tuleb seade vooluvõrgust lahti ühendada ja selle kasutamine lõpetada. Teiseks soovitas FDA kasutada ainult kohalikke jälgimisfunktsioone, näiteks traadita ühenduse võimaluste keelamist ja Etherneti kaablite lahtiühendamist. Füsioloogilised monitorid ei paku elupäästvat ega elu säilitavat ravi, kuid need on olulised riskirühma kuuluvate patsientide seisundi jälgimiseks. Patsiendimonitore jälgitakse tsentraalselt, et hooldajaid patsiendi seisundi muutustest viivitamatult teavitada. Kiire reageerimine võib olla määravaks teguriks hea ja halva tulemuse vahel.

CISA avalikustatud ning FDA, Claroty ja Cylera analüüsitud Contec CMS8000 haavatavused rõhutavad kriitilist vajadust tugevate küberturvalisuse meetmete järele tervishoiuasutustes. Samuti rõhutatakse, et haavatavused võivad tuleneda pigem ebaturvalisest disainist kui pahatahtlikust kavatsusest ning nende potentsiaalset mõju patsiendi ohutusele ja andmeturbele ei saa alahinnata. Tervishoiuteenuse osutajad peaksid nende riskide maandamiseks ja oma meditsiiniseadmete terviklikkuse tagamiseks kiiresti tegutsema.

Loe täispikka blogipostitust TechNationis. Kliki siia

 

Meditsiiniseadmete küberjulgeolekut võivad vaidlustada HHS-i töötajate arvu vähendamised

Kirjutatud Julia Annaloro on . Postitatud Uudistes, Meditsiiniseadmete turvalisus.

Parlamendi allkomitee kuulamine pärandmeditsiiniseadmete küberjulgeoleku kaitse kohta, mida varjutasid HHS-i kärped.

Järelevalve- ja uurimiskomisjoni arutelul teemal „Vananev tehnoloogia, esilekerkivad ohud: Küberjulgeoleku haavatavuse uurimine pärandmeditsiiniseadmetes” osalenud paneeli liikmetelt küsiti FDA töötajate arvu vähendamise mõju kohta meditsiiniseadmete turvalisusele. 

"Tohutu," ütles Kevin Fu, Kirdeülikooli Khoury arvutiteaduste kolledži elektri- ja arvutitehnika osakonna professor. Fu töötas varem FDA seadmete ja radioloogilise tervise keskuse (CDRH) meditsiiniseadmete küberturvalisuse direktori kohusetäitjana ja digitaalse tervise tippkeskuse küberturvalisuse programmidirektorina.

Erik Decker, asepresident ja CISO aadressil Mägedevaheline Tervis, ütles FDA, et küberjulgeolekualastes jõupingutustes on peamine sidusrühm.

"Jah, sellel on mõju," ütles Decker. 

Meditsiiniseadmete tootjad, haiglad ja FDA partner, ütles ta. HHS, FDA ja tervishoiutööstus on tervishoiusektori koordineeriva nõukogu (HSCC) küberturvalisuse töörühma (CWG) alla loonud arvukalt töörühmi.

Deckeri sõnul näitab analüüs, et haiglates on keskmiselt rakendatud vaid umbes 55% tervishoiutööstuse küberturvalisuse tavadest (HICP) soovitatud meditsiiniseadmete turvalisuse tavadest. 

Decker ütles, et ohus osalejaid on neli rühma: rahvusriigis tegutsejad, organiseeritud kuritegevus, "hacktivistid" ja siseringi ohustajad. 

Tervishoiusektori koordineerimisnõukogu küberjulgeoleku töörühma tegevdirektor Greg Garcia ütles järgmisel nädalal, et nad avaldavad valge raamatu selle kohta, kuidas tervishoiusüsteemid on küberjulgeoleku kaitseks rahanduse ja personali osas alahankestatud.

Täispikka artiklit lugege ajakirjast Healthcare Finance News. Kliki siia

Kuidas HTM-i töötajad saavad valmistuda kavandatavateks HIPAA turvareeglite muudatusteks?

Kirjutatud Julia Annaloro on . Postitatud Uudistes, Meditsiiniseadmete turvalisus.

Health-ISAC meditsiiniseadmete turbe ajaveeb TechNationis

Kirjutas Phil Englert, Health-ISAC meditsiiniseadmete turvalisuse asepresident

 

27. detsembril 2024 avaldas USA tervishoiu- ja inimteenuste ministeeriumi (HHS) kodanikuõiguste büroo (OCR) teatise kavandatavast reeglite tegemisest (NPRM), millega muudeti 1996. aasta ravikindlustuse kaasaskantavuse ja vastutuse seaduse (HIPAA) turvareeglit. Eesmärk on tugevdada küberturvalisuse kaitsemehhanisme, mis kaitsevad elektroonilist terviseteavet (ePHI). See väljapakutud värskendus kujutab endast ennetavat lähenemisviisi tundliku terviseteabe kaitsmiseks kasvavate küberohtude ajastul.

Kavandatavad muudatused toovad esile mitmed olulised meetmed ePHI kaitse tugevdamiseks. Mõned neist reeglitest on protsessipõhised ja paljud on tehnilised. Nende kavandatud muudatuste kaasamine hankeprotsessi aitab organisatsioonidel valmistuda muudatusteks, kui need jõustuvad. Siin on valik spetsiaalselt meditsiiniseadmete kohta.

Jätkake selle artikli lugemist TechNationis. Kliki siia

Meditsiiniseadmete riskide ja mõju analüüs tervishoiuteenuse osutajatele

Kirjutatud Julia Annaloro on . Postitatud Meditsiiniseadmete turvalisus, Ressursid ja uudised.

Health-ISAC meditsiiniseadmete turbe ajaveeb TechNationis

Kirjutas Phil Englert, Health-ISAC meditsiiniseadmete turvalisuse asepresident

Tervishoiuvaldkonnas on meditsiiniseadmete ohutuse ja tõhususe tagamine ülioluline. Liiga sageli keskendub küberturvalisus haavatavustele ja kuigi see on oluline, on haavatavuste analüüs liiga kitsas. Haavatavusi hinnatakse ühtse haavatavuste hindamissüsteemi (CVSS) abil, mis püüab kindlaks teha, kui ohtlik haavatavus on. See on kasulik teave, kuid arvestab haavatavuse riski komponendis, milles see asub, mitte tootes endas. See piiratud vaade ei arvesta riske, mida haavatavus konkreetsele keskkonnale kujutab. Riski hindamisel tuleb arvesse võtta ka kontekstuaalseid tegureid, nagu vara olulisus, vara kasutamise viis või tootes või võrgus kehtivad kontrollimeetmed. Neid piiranguid arvestades on meditsiiniseadme riskimõju analüüs (MDRIA) kriitiline protsess, mis aitab tervishoiuteenuse osutajatel tuvastada, hinnata ja leevendada meditsiiniseadmetega seotud riske. See essee annab ülevaate MDRIA olulistest komponentidest.

Loe täispikka blogipostitust TechNationis.  Kliki siia

Industrial Cyber ​​logo ülaosas Pilt teleriekraanist koos selle artikli ekraanipildiga. Tõmmatud mainimine: vastutuse nihutamise ajakava meditsiiniseadme elutsükli jooksul

Health-ISAC valge raamat tõstab esile küberturvalisusega seotud kohustused meditsiiniseadmete elutsüklis, keskendub vastupidavusele

Kirjutatud Julia Annaloro on . Postitatud Tervis-ISAC, Uudistes, valged raamatud.

 

Health-ISAC avaldas teatise, milles käsitletakse meditsiiniseadmete kübervastupidavuse säilitamiseks vajalikke ülesandeid ja seda, kuidas vastutus võib kogu toote ulatuses osapoolelt osapoolele nihkuda. Kuna meditsiiniseadmed liiguvad läbi elutsükli etappide, võib vastutus ülesannete eest üle minna tootjate ja klientide vahel. Tervise-ISACi valges raamatus märgitakse, et kahe osapoole vaheline suhtlus on seadme elutsükli läbimisel hädavajalik, nii et ülesanded on kooskõlastatud ja tootesisesed turvalüngad vähenevad.

Valge raamat pealkirjaga "Tootjate ja tervishoiuorganisatsioonide küberturvalisuse rollide uurimine meditsiiniseadmete elutsükli jooksul" tuvastas selle meditsiiniseadmed läbivad neli elutsükli faasi, kusjuures meditsiiniseadmete tootjale ja tervishoiuteenuste osutajale on pandud erineva tasemega vastutus. Tervishoiuteenuse osutavad organisatsioonid (HDO) peaksid regulaarsemalt hindama eluea lõppu (EOL) ja tugiteenuste lõppu (EOS), et teha kindlaks, kas nad suudavad aktsepteerida jätkuva kasutamise riski. Samuti juhitakse tähelepanu sellele, et vastutus meditsiiniseadme küberturvalisuse hoidmise eest areneb kogu seadme elutsükli jooksul. 

Lugege täispikka artiklit Industrial Cyberist. Kliki siia

Tootjate ja tervishoiuorganisatsioonide küberturvalisuse rollide uurimine meditsiiniseadmete elutsükli jooksul

Kirjutatud Julia Annaloro on . Postitatud Tervis-ISAC, Meditsiiniseadmete turvalisus, valged raamatud.

 

TLP: VALGE Seda aruannet võib piiranguteta jagada.
Health-ISACi liikmed laadivad kindlasti alla aruande täisversiooni Health-ISACi ohuluureportaalist (HTIP)

Peamised otsused

  • Meditsiiniseadmed läbivad neli elutsükli faasi, kusjuures meditsiiniseadmete tootjale ja tervishoiuteenuste osutajale on pandud erineva tasemega vastutus.

  • Tervishoiuteenuseid osutavad organisatsioonid peaksid teostama regulaarsemaid riskianalüüse seoses kasutusea lõppemise ja toe lõppemisega, et teha kindlaks, kas nad suudavad aktsepteerida jätkuva kasutamise riski.

  • Tootja rakendab arendusfaasis turvakontrolli kategooriaid, et tagada seadme projekteerimisel turvaline, vaikimisi turvaline ja nõudmisel turvaline.

  • Dokumentatsioon ja läbipaistvus on küberturvalisuse säilitamisel kriitilise tähtsusega. See hõlmab üksikasjaliku turbedokumentatsiooni, tarkvara materjalide koostamise (SBOM) pakkumist ning selget suhtlust haavatavuste ja värskenduste kohta. 

 

Laadige alla see valge paber.

Tootjate ja tervishoiuorganisatsioonide küberturvalisuse rollide uurimine meditsiiniseadmete elutsükli jooksul
Suurus: 3.2 MB Vorming: pDF

Sissejuhatus

Kuna meditsiiniseadmed muutuvad omavahel tihedamaks ning neil on Interneti- ja traadita side võimalused, aitab nende elutsükli etappide ja turvapositsiooni säilitamiseks vajalike ülesannete mõistmine organisatsioonidel seadmeid küberjulgeoleku ohtude eest kaitsta. Seadme elutsükkel on erinevad etapid, mille seade läbib, alates uurimis- ja arendustegevusest, turuletulekust ning lõpuks eluea ja toe lõppemiseni. Kuna meditsiiniseadmed liiguvad läbi elutsükli etappide, võib vastutus ülesannete eest üle minna tootjate ja klientide vahel. Kahe osapoole vaheline suhtlus on oluline, kuna seade liigub läbi elutsükli, nii et ülesanded on kooskõlastatud ja tootesisesed turvalüngad vähenevad.

Selles dokumendis käsitletakse meditsiiniseadmete kübervastupidavuse säilitamiseks vajalikke ülesandeid ja seda, kuidas vastutus võib kogu toote ulatuses osapoolelt osapoolele nihkuda. Vastutus meditsiiniseadme küberturvalisuse hoidmise eest areneb kogu seadme elutsükli jooksul. Protsess algab seadme tootjast disaini- ja arendusfaasis ning võib kliinilises kasutuses üha enam üle minna tervishoiuteenuse osutamise organisatsioonile (HDO). Rahvusvahelise meditsiiniseadmete reguleerijate foorumi (IMDRF) pärandmeditsiiniseadmete küberturvalisuse põhimõtted ja tavad kirjeldavad nelja elutsükli faasi. Toidu- ja ravimiamet (FDA) esitab nõuded meditsiiniseadmete küberturvalisuse kohta turustamiseelsetes ja -järgsetes juhendites. Tootjad saavad seadme küberturvalisusega tegeleda projekteerimise ja arendamise ajal, kasutades turueelseid nõudeid. Turustamisjärgseid nõudeid on vaja küberjulgeolekuriskide tõttu, mis arenevad jätkuvalt pärast meditsiiniseadme turule jõudmist.

Kuidas hallata meditsiiniseadmete küberriski – kogu eluks

Kirjutatud Julia Annaloro on . Postitatud Uudistes, Meditsiiniseadmete turvalisus.

Eksperdid pakuvad nõuandeid kasvavate varude haldamiseks, ressursse pakkujatele

HSCC juhised „Tervisetööstuse küberturvalisus – pärandtehnoloogia turvalisuse haldamine” ehk HIC-MaLTS pakuvad organisatsioonidele parimaid tavasid, mida saab kasutada pärandmeditsiinitehnoloogiate küberriskide juhtimiseks, ütles Phil Englert, terviseteabe meditsiiniseadmete turvalisuse asepresident. Jagamis- ja analüüsikeskus.

HIC-MaLTS võtab vastu levinud tervishoiu küberjulgeoleku väljakutsed. Näiteks "paljudel eri tüüpi meditsiiniseadmetel ja nende kasutuskohtadel on unikaalsed riskiprofiilid ning need hõlmavad muu hulgas diagnostilisi, terapeutilisi, kantavaid, siirdatavaid ja tarkvara kui meditsiiniseadme funktsioone, mida saab kasutada haiglates, kliinikutes ja muudes mittekliinilistes ja kodustes tervishoiuasutustes, ”ütles ta.

Ka selles artiklis:

  • meditsiiniseadmete neli elutsükli faasi
  • "Süsteemivaate" varud koos segmenteerimise ja võrgu juurdepääsu juhtelementidega
  • HSCC näidislepingu keel Medtechi küberturvalisuse jaoks 

Lugege artiklit Healthcare Infosecurity siin. Kliki siia

Küberturvalisuse suurendamine tervishoius: tervise roll – ISAC

Kirjutatud Julia Annaloro on . Postitatud Uudistes, Meditsiiniseadmete turvalisus.

Health-ISAC-is osalemine võib muuta tervishoiuteenuse osutajad vähem vastuvõtlikuks häkkimised ja rikkumised.

 

Üha keerukamate ja levinumate küberohtude ajastul seisavad tervishoiuteenuse osutajad silmitsi ainulaadsete väljakutsetega patsientide tundlike andmete kaitsmisel ja oma süsteemide terviklikkuse säilitamisel. Üks võimas tööriist küberkuritegevuse vastu võitlemisel on osalemine terviseteabe jagamise ja analüüsi keskuses (Health-ISAC). See koostööorganisatsioon muudab tervishoiuteenuse osutajad häkkide ja rikkumiste suhtes vähem vastuvõtlikuks.

Health-ISAC-i liikmelisuse üks olulisemaid eeliseid on juurdepääs reaalajas ohuteabele. Küberohud arenevad kiiresti ja ajakohase teabe omamine on tõhusa kaitse jaoks ülioluline. Health-ISAC kogub ja levitab teavet esilekerkivate ohtude, haavatavuste ja rünnakuvektorite kohta. See luure võimaldab tervishoiuteenuse osutajatel võimalikke riske käsitleda enne, kui pahatahtlikud osalised saavad neid ennetavalt ära kasutada. Näiteks kui avastatakse uus lunavara tüvi, mis sihib tervishoiusüsteeme, saab Health-ISAC oma liikmeid kiiresti hoiatada, pakkudes üksikasju ohu ja soovitatavate leevendamisstrateegiate kohta. Selline teabe kiire levitamine võib olla erinevus väiksema vahejuhtumi ja olulise rikkumise vahel.

Küberturvalisus ei ole üksildane ettevõtmine.

Lugege Health-ISACi meditsiiniseadmete turbeosakonna asepresident Phil Englert kogu ajaveebi TechNationis. Kliki siia

AI, lunavara ja meditsiiniseadmed: tervishoiu kaitsmine

Kirjutatud Julia Annaloro on . Postitatud Uudistes.

McCrary Institute Cyber ​​Focus Podcast

Saatejuht Frank Cilluffo intervjueerib Errol Weissi, terviseteabe jagamise ja analüüsikeskuse (Health ISAC) turvajuhti.

Nad arutavad arenevaid küberjulgeoleku väljakutseid tervishoiusektoris, sealhulgas lunavara, tarneahela haavatavust ja kriitilist vajadust paremate turvameetmete järele, et kaitsta meditsiiniseadmeid ja patsiendi andmeid. Weiss jagab teadmisi oma ulatuslikust kogemusest nii tervishoiu kui ka finantsteenuste küberjulgeoleku vallas, tuues välja saadud õppetunnid, teabe jagamise rolli ja ennetavate meetmete tähtsust riskide maandamiseks.

Kuulake podcasti YouTube'is Kliki siia

Teemad hõlmavad:

  • Tervis ja lunavara

  • Katkestused haiglates

  • Tervishoiu kübereelarved

  • Turvalisus ja vastavus

  • FS õppetunnid

  • Tuleviku tehnoloogia

  • Meditsiiniseadmete

  • Sektoritevaheline teabe jagamine

  • Praktilised sammud turvalisuse poole