TLP: VALGE Seda aruannet võib piiranguteta jagada.
Health-ISACi liikmed laadivad kindlasti alla aruande täisversiooni Health-ISACi ohuluureportaalist (HTIP)
Peamised otsused
Meditsiiniseadmed läbivad neli elutsükli faasi, kusjuures meditsiiniseadmete tootjale ja tervishoiuteenuste osutajale on pandud erineva tasemega vastutus.
Tervishoiuteenuseid osutavad organisatsioonid peaksid teostama regulaarsemaid riskianalüüse seoses kasutusea lõppemise ja toe lõppemisega, et teha kindlaks, kas nad suudavad aktsepteerida jätkuva kasutamise riski.
Tootja rakendab arendusfaasis turvakontrolli kategooriaid, et tagada seadme projekteerimisel turvaline, vaikimisi turvaline ja nõudmisel turvaline.
Dokumentatsioon ja läbipaistvus on küberturvalisuse säilitamisel kriitilise tähtsusega. See hõlmab üksikasjaliku turbedokumentatsiooni, tarkvara materjalide koostamise (SBOM) pakkumist ning selget suhtlust haavatavuste ja värskenduste kohta.
Kuna meditsiiniseadmed muutuvad omavahel tihedamaks ning neil on Interneti- ja traadita side võimalused, aitab nende elutsükli etappide ja turvapositsiooni säilitamiseks vajalike ülesannete mõistmine organisatsioonidel seadmeid küberjulgeoleku ohtude eest kaitsta. Seadme elutsükkel on erinevad etapid, mille seade läbib, alates uurimis- ja arendustegevusest, turuletulekust ning lõpuks eluea ja toe lõppemiseni. Kuna meditsiiniseadmed liiguvad läbi elutsükli etappide, võib vastutus ülesannete eest üle minna tootjate ja klientide vahel. Kahe osapoole vaheline suhtlus on oluline, kuna seade liigub läbi elutsükli, nii et ülesanded on kooskõlastatud ja tootesisesed turvalüngad vähenevad.
Selles dokumendis käsitletakse meditsiiniseadmete kübervastupidavuse säilitamiseks vajalikke ülesandeid ja seda, kuidas vastutus võib kogu toote ulatuses osapoolelt osapoolele nihkuda. Vastutus meditsiiniseadme küberturvalisuse hoidmise eest areneb kogu seadme elutsükli jooksul. Protsess algab seadme tootjast disaini- ja arendusfaasis ning võib kliinilises kasutuses üha enam üle minna tervishoiuteenuse osutamise organisatsioonile (HDO). Rahvusvahelise meditsiiniseadmete reguleerijate foorumi (IMDRF) pärandmeditsiiniseadmete küberturvalisuse põhimõtted ja tavad kirjeldavad nelja elutsükli faasi. Toidu- ja ravimiamet (FDA) esitab nõuded meditsiiniseadmete küberturvalisuse kohta turustamiseelsetes ja -järgsetes juhendites. Tootjad saavad seadme küberturvalisusega tegeleda projekteerimise ja arendamise ajal, kasutades turueelseid nõudeid. Turustamisjärgseid nõudeid on vaja küberjulgeolekuriskide tõttu, mis arenevad jätkuvalt pärast meditsiiniseadme turule jõudmist.
