Ir ao contido principal

Tema da publicación: Seguridade dos dispositivos médicos

Silencio inalcanzable: como MAUDE pode amplificar a chamada a dispositivos máis seguros

escrito por Julia Annaloro on . Publicado en Seguridade dos dispositivos médicos, Recursos e noticias.

Blog sobre dispositivos médicos de Phil Englert, vicepresidente de seguridade de dispositivos médicos de Health-ISAC

Os propietarios de dispositivos médicos están cada vez máis frustrados pola información limitada que os fabricantes de dispositivos médicos comparten sobre vulnerabilidades coñecidas pero non reveladas nas tecnoloxías médicas e a velocidade á que as corrixen. Aproveitar o MAUDE da Administración de Alimentos e Medicamentos (FDA) pode ser unha forma de impulsar a axilidade.

A base de datos MAUDE da FDA (abreviatura de Manufacturer and User Facility Device Experience, Experiencia de Dispositivos en Instalacións e Usuarios) é un repositorio público de informes de eventos adversos relacionados con dispositivos médicos e forma parte da estratexia de vixilancia poscomercialización da FDA. O seu propósito principal é axudar á FDA a supervisar o rendemento dos dispositivos, detectar posibles problemas de seguridade e apoiar as avaliacións de risco-beneficio despois de que os dispositivos estean no mercado. Os informantes obrigatorios (como fabricantes, importadores e centros sanitarios) deben presentar informes cando un dispositivo poida ter causado ou contribuído a unha morte, lesión grave ou mal funcionamento. Os informantes voluntarios (como profesionais sanitarios, pacientes ou coidadores) tamén poden presentar informes se observan ou experimentan un problema relacionado co dispositivo.

Ler máis sobre MAUDE, incluíndo unha exemplo dunha narrativa dun informe MAUDE relacionado coa ciberseguridade, en TechNation.

Pulse AQUÍ

Seguridade dos dispositivos médicos: o que realmente queren os compradores de atención médica

escrito por Julia Annaloro on . Publicado en Seguridade dos dispositivos médicos, White Papers.

A ciberseguridade é agora a gardiá do acceso ao mercado

RESUMO EXECUTIVO DO ÍNDICE DE CIBERSEGURIDADE DE DISPOSITIVOS MÉDICOS DE 2025

A asistencia sanitaria chegou a un punto de inflexión na ciberseguridade. O 22 % das organizacións sanitarias sufriron ciberataques que comprometeron dispositivos médicos, cun 75 % destes incidentes que afectan directamente á atención ao paciente. Cando os ataques obrigan a trasladar pacientes a outros lugares instalacións (o que ocorreu en case unha cuarta parte dos casos) xa non estamos a falar de TI inconvenientes, senón emerxencias médicas.

 

A DEMANDA DE SEGURIDADE DE DISPOSITIVOS MÉDICOS É ALTA

1. Transparencia a través de SBOMs – O 78 % considera que as listas de materiais de software son esenciais nas decisións de adquisición. Non se trata só do cumprimento normativo, senón da xestión práctica de vulnerabilidades nun ecosistema interconectado.

2. Seguridade integrada fronte a seguridade atornillada – O 60 % prioriza as proteccións integradas de ciberseguridade sobre as solucións adaptadas. Os líderes sanitarios aprenderon que as medidas de seguridade provisorias fallan contra os ataques sofisticados.

3. Protección avanzada en tempo de execución - O 36 % busca activamente dispositivos con protección en tempo de execución, mentres que outro 38 % sabe que existe, pero aínda non a require, o que suxire unha rápida evolución do mercado desde unha adopción temperá ata a expectativa xeralizada.

Lea o informe técnico de RunSafe Security, un navegador de Health-ISAC. Pulse AQUÍ

Estado da ciberseguridade sanitaria: progreso e dificultades

escrito por Julia Annaloro on . Publicado en En The News, Seguridade dos dispositivos médicos.

Phil Englert, de Health-ISAC, e Murad Dikeidek, de UI Health, falan sobre os desafíos da seguridade no sector sanitario e ofrecen as súas ideas.

Aínda que o sector sanitario está a progresar en ciberresiliencia, aínda se enfronta a desafíos profundamente arraigados, como a colaboración, os problemas de forza de traballo cibernética e as restricións orzamentarias, o que fai necesaria unha demanda constante de adaptación e repriorización a medida que os adversarios cambian as súas tácticas, afirmaron os expertos en seguridade Phil Englert e Murad Dikeidek.

«Unha das cousas que vemos que ocorre cada vez máis, e aínda non o suficiente, é o intercambio de información», dixo Englert, vicepresidente de seguridade de dispositivos médicos no Centro de Análise e Intercambio de Información Sanitaria.

Compartir información pode ser vital para axudar ao sector en xeral a comprender mellor as ameazas ás que se enfronta, pero aínda existe incerteza en moitas organizacións sobre o nivel de detalles que os provedores de atención médica deben divulgar, dixo.

Lea ou escoite esta conversa en Data Breach Today. Pulse AQUÍ

Vulnerabilidade de Contec CMS8000

escrito por Julia Annaloro on . Publicado en Seguridade dos dispositivos médicos, Recursos e noticias.

Vulnerabilidade de Contec CMS8000: un problema crítico de ciberseguridade ou unha mala práctica de codificación?

Health-ISAC Blog de seguridade de dispositivos médicos en TechNation

Escrito por Phil Englert, vicepresidente de Seguridade de Dispositivos Médicos de Health-ISAC

O 30 de xaneiro de 2025, a Axencia de Seguridade en Infraestruturas e Ciberseguridade (CISA) publicou o aviso médico ICSMA-25-030-01, no que destacaba vulnerabilidades críticas nos monitores de pacientes Contec CMS8000. Estas vulnerabilidades, que inclúen unha escritura fóra de límites, unha funcionalidade de porta traseira oculta e fugas de privacidade, supoñen riscos significativos para a seguridade dos pacientes e a seguridade dos datos. A Administración de Alimentos e Medicamentos dos Estados Unidos (FDA) emitiu unha comunicación de seguridade o mesmo día, facendo fincapé nos riscos asociados a estas vulnerabilidades. A FDA destacou que o Contec CMS8000 e as versións reetiquetadas, como o Epsimed MN-120, poden ser controladas remotamente por usuarios non autorizados, o que podería comprometer os datos dos pacientes e a funcionalidade do dispositivo. O CMS8000 entrou no mercado arredor de 2005 e obtivo a autorización 510(k) da FDA en xuño de 2011.

As recomendacións da FDA para os profesionais sanitarios e os pacientes eran dúas: desconectar e deixar de usar o dispositivo se se depende de funcións de monitorización remota. En segundo lugar, a FDA recomendou usar só funcións de monitorización local, como desactivar as capacidades sen fíos e desconectar os cables de Ethernet. Os monitores fisiolóxicos non proporcionan tratamento para salvar vidas ou manter a vida, pero son esenciais para monitorizar o estado dos pacientes en risco. Os monitores de pacientes monitorízanse de forma centralizada para notificar inmediatamente aos coidadores os cambios no estado do paciente. Unha resposta rápida pode marcar a diferenza entre bos e malos resultados.

As vulnerabilidades de Contec CMS8000 reveladas pola CISA e analizadas pola FDA, Claroty e Cylera salientan a necesidade crítica de medidas robustas de ciberseguridade nos entornos sanitarios. Tamén destacan que as vulnerabilidades poden derivar dun deseño inseguro en lugar de intencións maliciosas, e que o seu impacto potencial na seguridade dos pacientes e na seguridade dos datos non se pode subestimar. Os provedores de atención médica deben actuar con rapidez para mitigar estes riscos e garantir a integridade dos seus dispositivos médicos.

Lea o blog completo en TechNation. Pulse AQUÍ

 

A ciberseguridade dos dispositivos médicos podería verse cuestionada polos recortes de persoal do HHS

escrito por Julia Annaloro on . Publicado en En The News, Seguridade dos dispositivos médicos.

Audiencia do subcomité da Cámara sobre a protección da ciberseguridade para os dispositivos médicos legados eclipsados ​​polos recortes do HHS.

Aos panelistas que participaron na discusión do Subcomité de Supervisión e Investigacións sobre "Aging Technology, Emerging Threats: Examining Cybersecurity Vulnerabilities in Legacy Medical Devices" preguntáronse sobre o impacto das reducións do persoal da FDA na seguridade dos dispositivos médicos. 

"Estupendo", dixo Kevin Fu, profesor do departamento de Enxeñaría Eléctrica e Informática do Khoury College of Computer Sciences da Northeastern University. Fu anteriormente actuou como director en funcións inaugural de Ciberseguridade de Dispositivos Médicos no Centro de Dispositivos e Saúde Radiolóxica (CDRH) da FDA e director do programa de Ciberseguridade no Centro de Excelencia de Saúde Dixital.

Erik Decker, vicepresidente e CISO en Intermontaña Saúde, dixo que a FDA é un actor clave nos esforzos de ciberseguridade.

"Si, terá un impacto", dixo Decker. 

Os fabricantes de dispositivos médicos, os hospitais e o socio da FDA, dixo. O HHS, a FDA e a industria sanitaria estableceron numerosos grupos de tarefas baixo o Grupo de Traballo de Ciberseguridade (CWG) do Consello de Coordinación do Sector Sanitario (HSCC).

Non obstante, dixo Decker, a análise mostra que, de media, os hospitais só teñen implementadas preto do 55% das prácticas recomendadas polas prácticas de ciberseguridade da industria da saúde (IAPC) para a seguridade dos dispositivos médicos. 

Decker dixo que hai catro grupos de actores de ameaza: actores estatais-nación, crime organizado, "hacktivistas" e ameazas internas. 

O panelista Greg García, director executivo do Grupo de Traballo de Ciberseguridade do Consello de Coordinación do Sector Sanitario, dixo que a próxima semana publicarán un libro branco sobre como os sistemas de saúde están subcontratados en finanzas e persoal para a protección da ciberseguridade.

Lea o artigo completo en Healthcare Finance News. Pulse AQUÍ

Como o persoal de HTM pode prepararse para os cambios propostos nas normas de seguridade da HIPAA

escrito por Julia Annaloro on . Publicado en En The News, Seguridade dos dispositivos médicos.

Health-ISAC Blog de seguridade de dispositivos médicos en TechNation

Escrito por Phil Englert, vicepresidente de Seguridade de Dispositivos Médicos de Health-ISAC

 

O 27 de decembro de 2024, a Oficina de Dereitos Civís (OCR) do Departamento de Saúde e Servizos Humanos dos Estados Unidos (HHS) emitiu un Aviso de proposta de normativa (NPRM) para modificar a Regra de seguridade da Lei de portabilidade e rendición de contas do seguro de saúde de 1996 (HIPAA). O obxectivo é reforzar as defensas da ciberseguridade que protexen a información electrónica de saúde (ePHI). Esta actualización proposta representa un enfoque proactivo para salvagardar a información de saúde sensible nunha era de ameazas cibernéticas en aumento.

As emendas propostas destacan varias medidas críticas para reforzar a protección ePHI. Algunhas destas regras están orientadas a procesos e outras son técnicas. A incorporación destes cambios propostos ao proceso de contratación axudará ás organizacións a prepararse para os cambios cando entren en vigor. Aquí tes unha selección específicamente pertinente para os dispositivos médicos.

Continúa lendo este artigo en TechNation. Pulse AQUÍ

Análise de impacto de riscos de dispositivos médicos para provedores de atención sanitaria

escrito por Julia Annaloro on . Publicado en Seguridade dos dispositivos médicos, Recursos e noticias.

Health-ISAC Blog de seguridade de dispositivos médicos en TechNation

Escrito por Phil Englert, vicepresidente de Seguridade de Dispositivos Médicos de Health-ISAC

No sector sanitario, garantir a seguridade e a eficacia dos dispositivos médicos é primordial. Con demasiada frecuencia, a ciberseguridade céntrase nas vulnerabilidades e, aínda que é importante, a análise de vulnerabilidades é demasiado limitada. As vulnerabilidades avalíanse mediante o Sistema Común de Puntuación de Vulnerabilidades (CVSS), que tenta determinar o perigosa que é unha vulnerabilidade. Esta é unha información útil, pero considera o risco de vulnerabilidade dentro do compoñente no que reside en lugar do produto. Esta visión limitada non considera os riscos que a vulnerabilidade supón para un ambiente específico. Os factores contextuais, como a importancia do activo, como se usa o activo ou os controis existentes, xa sexa dentro do produto ou dentro da rede, tamén deben considerarse ao avaliar o risco. Dadas estas limitacións, realizar unha Análise de Impacto do Risco de Dispositivos Médicos (MDRIA) é un proceso fundamental que axuda aos provedores de atención médica a identificar, avaliar e mitigar os riscos asociados aos dispositivos médicos. Este ensaio describe os compoñentes esenciais dunha MDRIA.

Lea o blog completo en TechNation.  Pulse AQUÍ

Logotipo Industrial Cyber ​​na parte superior Imaxe dunha pantalla de televisión cunha captura de pantalla deste artigo. Mención extraída: cronograma do cambio de responsabilidades durante o ciclo de vida do dispositivo médico

O libro branco de Health-ISAC destaca as responsabilidades da ciberseguridade no ciclo de vida dos dispositivos médicos e céntrase na resiliencia

escrito por Julia Annaloro on . Publicado en Saúde-ISAC, En The News, White Papers.

 

Health-ISAC publicou un libro branco no que aborda as tarefas necesarias para manter a resiliencia cibernética dos dispositivos médicos e como as responsabilidades poden cambiar dunha parte a outra en todo o produto. A medida que os dispositivos médicos pasan polas fases do ciclo de vida, a responsabilidade das tarefas pode transferirse entre os fabricantes e o cliente. O libro branco Health-ISAC identifica que a comunicación entre as dúas partes é esencial a medida que o dispositivo avanza ao longo do ciclo de vida para que as tarefas se coordinen e se reduzan as lagoas de seguridade dentro do produto.

Titulado "Explorando os roles de ciberseguridade dos fabricantes e das organizacións sanitarias durante o ciclo de vida dos dispositivos médicos", o libro branco identificado que Os dispositivos médicos pasan por catro fases do ciclo de vida, con diferentes niveis de responsabilidades imputadas ao fabricante de dispositivos médicos e á organización de prestación de asistencia sanitaria. As organizacións de prestación de asistencia sanitaria (HDO) deberían realizar avaliacións de risco máis regulares ao final da vida útil (EOL) e ao final do soporte (EOS) para determinar se poden aceptar o risco de continuar o seu uso. Tamén sinala que a responsabilidade de manter a postura de ciberseguridade dun dispositivo médico evoluciona ao longo do ciclo de vida dun dispositivo. 

Le o artigo completo en Industrial Cyber. Pulse AQUÍ

Explorando os roles de ciberseguridade dos fabricantes e das organizacións sanitarias durante o ciclo de vida dos dispositivos médicos

escrito por Julia Annaloro on . Publicado en Saúde-ISAC, Seguridade dos dispositivos médicos, White Papers.

 

TLP: BRANCO Este informe pódese compartir sen restricións.
Os membros de Health-ISAC asegúrate de descargar a versión completa do informe desde o Health-ISAC Threat Intelligence Portal (HTIP)

Sentenzas clave

  • Os dispositivos médicos pasan por catro fases do ciclo de vida, con diferentes niveis de responsabilidades imputadas ao fabricante de dispositivos médicos e á organización de prestación de asistencia sanitaria.

  • As organizacións de prestación de asistencia sanitaria deberían realizar avaliacións de risco máis regulares ao final da vida útil e ao final do soporte para determinar se poden aceptar o risco de continuar o seu uso.

  • O fabricante implementa categorías de control de seguranza na fase de desenvolvemento para garantir que o dispositivo sexa seguro por deseño, seguro por defecto e seguro por demanda.

  • A documentación e a transparencia son fundamentais para manter a ciberseguridade. Isto inclúe proporcionar documentación de seguridade detallada, unha lista de materiais de software (SBOM) e unha comunicación clara sobre vulnerabilidades e actualizacións. 

 

Descarga este libro branco.

Explorando os roles de ciberseguridade dos fabricantes e das organizacións sanitarias durante o ciclo de vida dos dispositivos médicos
Tamaño: 3.2 MB Formato: PDF

introdución

A medida que os dispositivos médicos están máis interconectados e teñen capacidades de comunicacións sen fíos e internet, comprender as etapas do ciclo de vida e as tarefas necesarias para manter a súa postura de seguridade axudará ás organizacións a protexer os dispositivos contra as ameazas da ciberseguridade. O ciclo de vida do dispositivo son as distintas etapas polas que pasará un dispositivo, desde a investigación e o desenvolvemento, no mercado e, finalmente, o final da vida útil e o final do soporte. A medida que os dispositivos médicos pasan polas fases do ciclo de vida, a responsabilidade das tarefas pode transferirse entre os fabricantes e o cliente. A comunicación entre as dúas partes é esencial xa que o dispositivo avanza ao longo do ciclo de vida para que as tarefas se coordinen e se reduzan as lagoas de seguridade dentro do produto.

Este documento explora as tarefas necesarias para manter a resiliencia cibernética dos dispositivos médicos e como as responsabilidades poden cambiar dunha parte a outra en todo o produto. A responsabilidade de manter a postura de ciberseguridade dun dispositivo médico evoluciona ao longo do ciclo de vida dun dispositivo. O proceso comeza co fabricante do dispositivo durante a fase de deseño e desenvolvemento e pode pasar cada vez máis á Organización de prestación de servizos sanitarios (HDO) unha vez que estea en uso clínico. O Foro Internacional de Reguladores de Dispositivos Médicos (IMDRF) Principles and Practices for the Cybersecurity of Legacy Medical Devices describe catro fases do ciclo de vida. A Food and Drug Administration (FDA) proporciona requisitos para a ciberseguridade dos dispositivos médicos nas orientacións previas e posteriores á comercialización. Os fabricantes poden abordar a ciberseguridade dun dispositivo durante o deseño e o desenvolvemento utilizando os requisitos previos ao mercado. Os requisitos posteriores ao mercado son necesarios debido a que os riscos de ciberseguridade seguen evolucionando despois de que o dispositivo médico chega ao mercado.

Como xestionar o risco cibernético dos dispositivos médicos: de por vida

escrito por Julia Annaloro on . Publicado en En The News, Seguridade dos dispositivos médicos.

Os expertos ofrecen consellos para xestionar inventarios en crecemento, recursos para provedores

A orientación do HSCC "Health Industry Cybersecurity - Managing Legacy Technology Security" - ou HIC-MaLTS - ofrece ás organizacións mellores prácticas que se poden usar para xestionar os riscos cibernéticos das tecnoloxías médicas legadas, dixo Phil Englert, vicepresidente de seguridade de dispositivos médicos da Health Information. Centro de Análise e Compartimento.

HIC-MaLTS asume desafíos comúns de ciberseguridade sanitaria. Por exemplo, "moitos tipos diferentes de dispositivos médicos e os diversos lugares nos que se usan posúen perfís de risco únicos e inclúen características de diagnóstico, terapéuticos, portátiles, implantables e de software como dispositivo médico, entre outras, que se poden utilizar. en hospitais, clínicas e outros ámbitos de atención sanitaria non clínica e domiciliaria", dixo.

Tamén neste artigo:

  • catro fases do ciclo de vida dos dispositivos médicos
  • Inventarios de "vista do sistema" combinados con controis de segmentación e acceso á rede
  • Linguaxe de contrato modelo de HSCC para a ciberseguridade de tecnoloxía médica 

Le o artigo en Healthcare Infosecurity aquí. Pulse AQUÍ

Mellora da ciberseguridade na sanidade: o papel da saúde-ISAC

escrito por Julia Annaloro on . Publicado en En The News, Seguridade dos dispositivos médicos.

A participación en Health-ISAC pode facer que os provedores de atención sanitaria sexan menos susceptibles hackeos e violacións.

 

Nunha era de ameazas cibernéticas cada vez máis sofisticadas e prevalentes, os provedores de coidados de saúde afrontan desafíos únicos para protexer os datos sensibles dos pacientes e manter a integridade dos seus sistemas. Unha poderosa ferramenta na loita contra a ciberdelincuencia é a participación no Centro de Análise e Compartimento de Información Sanitaria (Health-ISAC). Esta organización colaborativa fai que os provedores de coidados de saúde sexan menos susceptibles a hackeos e violacións.

Un dos beneficios máis significativos da adhesión a Health-ISAC é o acceso á intelixencia sobre ameazas en tempo real. As ameazas cibernéticas evolucionan rapidamente e ter información actualizada é fundamental para unha defensa eficaz. Health-ISAC recolle e difunde información sobre ameazas, vulnerabilidades e vectores de ataque emerxentes. Esta intelixencia permite aos provedores de atención sanitaria abordar os riscos potenciais antes de que os actores maliciosos poidan explotalos de forma proactiva. Por exemplo, se se detecta unha nova cepa de ransomware dirixida aos sistemas de atención sanitaria, Health-ISAC pode alertar rapidamente aos seus membros, proporcionando detalles sobre a ameaza e as estratexias de mitigación recomendadas. Esta rápida difusión de información pode ser a diferenza entre un incidente menor e un incumprimento significativo.

A ciberseguridade non é un esforzo solitario.

Lea o blog completo do vicepresidente de Seguridade de Dispositivos Médicos de Health-ISAC Phil Englert en TechNation. Pulse AQUÍ

Intelixencia artificial, ransomware e dispositivos médicos: salvagardando a asistencia sanitaria

escrito por Julia Annaloro on . Publicado en En The News.

Podcast Cyber ​​Focus do Instituto McCrary

O presentador Frank Cilluffo entrevista a Errol Weiss, Xefe de Seguridade do Centro de Análise e Compartimento de Información Sanitaria (Health ISAC).

Discuten os desafíos da ciberseguridade en evolución no sector da saúde, incluído o ransomware, as vulnerabilidades da cadea de subministración e a necesidade crítica de mellores medidas de seguridade para protexer os dispositivos médicos e os datos dos pacientes. Weiss comparte ideas da súa ampla experiencia en ciberseguridade tanto sanitaria como financeira, destacando as leccións aprendidas, o papel do intercambio de información e a importancia de medidas proactivas para mitigar os riscos.

Escoita o podcast en YouTube Pulse AQUÍ

Os temas inclúen:

  • Saúde e ransomware

  • Paros nos hospitais

  • Ciberorzamentos sanitarios

  • Seguridade e cumprimento

  • Leccións de FS

  • Tecnoloxía do futuro

  • Dispositivos Médicos

  • Compartir información intersectorial

  • Pasos prácticos para a seguridade