Preskoči na glavni sadržaj

Objavi temu: Sigurnost medicinskih uređaja

Neuhvatljiva tišina: Kako MAUDE može pojačati poziv za sigurnije uređaje

Napisao Julija Annaloro on . Objavljeno u Sigurnost medicinskih uređaja, Resursi i vijesti.

Blog o medicinskim uređajima autora Phila Englerta, potpredsjednika Health-ISAC-a za sigurnost medicinskih uređaja

Vlasnici medicinskih uređaja sve su više frustrirani ograničenim informacijama koje proizvođači medicinskih uređaja dijele o poznatim, ali neotkrivenim ranjivostima u medicinskim tehnologijama i brzinom kojom zakrpaju poznate ranjivosti. Iskorištavanje MAUDE-a Agencije za hranu i lijekove (FDA) moglo bi biti način za poticanje brzine.

FDA-ina baza podataka MAUDE – kratica za Manufacturer and User Facility Device Experience (Iskustvo proizvođača i korisnika uređaja) – javno je spremište izvješća o štetnim događajima koji uključuju medicinske uređaje i dio je FDA-ine strategije postmarketinškog nadzora. Njezina je primarna svrha pomoći FDA-i u praćenju performansi uređaja, otkrivanju potencijalnih sigurnosnih problema i podršci procjenama koristi i rizika nakon što se uređaji nađu na tržištu. Obvezni prijavitelji (poput proizvođača, uvoznika i zdravstvenih ustanova) moraju podnijeti izvješća kada je uređaj mogao uzrokovati ili doprinijeti smrti, ozbiljnoj ozljedi ili kvaru. Dobrovoljni prijavitelji (poput zdravstvenih djelatnika, pacijenata ili njegovatelja) također mogu podnijeti izvješća ako primijete ili dožive problem vezan uz uređaj.

Pročitajte više o MAUDE-u, uključujući primjer naracije izvješća MAUDE vezanog uz kibernetičku sigurnost, u TechNationu.

Klikni ovdje

Sigurnost medicinskih uređaja: Što kupci u zdravstvu zaista žele

Napisao Julija Annaloro on . Objavljeno u Sigurnost medicinskih uređaja, White Papers.

Kibernetička sigurnost sada je vratar pristupa tržištu

SAŽETAK IZ INDEKSA KIBERSIGURNOSTI MEDICINSKIH UREĐAJA ZA 2025. GODINU

Zdravstvo je doseglo prekretnicu u kibernetičkoj sigurnosti. 22% zdravstvenih organizacija doživjeli su kibernetičke napade koji su ugrozili medicinske uređaje, od kojih je 75% incidenti koji izravno utječu na skrb o pacijentima. Kada napadi prisiljavaju pacijente da se premjeste u druge objekti - što se dogodilo u gotovo četvrtini slučajeva - više ne govorimo o IT-u neugodnosti, već medicinske hitne slučajeve.

 

POTRAŽNJA ZA SIGURNOŠĆU MEDICINSKIH UREĐAJA JE VELIKA

1. Transparentnost putem SBOM-ova – 78% smatra da su softverski popisi materijala ključni u odlukama o nabavi. To nije samo usklađenost s propisima - to je praktično upravljanje ranjivostima u međusobno povezanom ekosustavu.

2. Ugrađena u odnosu na pričvršćenu sigurnost – 60% daje prednost integriranim zaštitama kibernetičke sigurnosti u odnosu na naknadno ugrađena rješenja. Vodeći zdravstveni djelatnici naučili su da standardne sigurnosne mjere ne uspijevaju u borbi protiv sofisticiranih napada.

3. Napredna zaštita za vrijeme izvođenja - 36% aktivno traži uređaje sa zaštitom za vrijeme izvođenja, dok je dodatnih 38% svjesno, ali im je još nije potrebna, što sugerira brzu evoluciju tržišta od ranog prihvaćanja do očekivanja široke potrošnje.

Pročitajte bijelu knjigu tvrtke RunSafe Security, Health-ISAC Navigatora. Klikni ovdje

Stanje kibernetičke sigurnosti u zdravstvu: Napredak i zamke

Napisao Julija Annaloro on . Objavljeno u U vijestima, Sigurnost medicinskih uređaja.

Phil Englert iz Health-ISAC-a i Murad Dikeidek iz UI Healtha govore o izazovima sigurnosti zdravstvenog sektora i nude uvide.

Iako zdravstveni sektor napreduje u kibernetičkoj otpornosti, još uvijek se suočava s duboko ukorijenjenim izazovima, uključujući suradnju, probleme s kibernetičkom radnom snagom i proračunska ograničenja, što zahtijeva stalnu potrebu za prilagodbom i preraspodjelom prioriteta dok protivnici mijenjaju svoje taktike, rekli su sigurnosni stručnjaci Phil Englert i Murad Dikeidek.

„Jedna od stvari koje vidimo da se događaju sve češće, a još uvijek nedovoljno, jest dijeljenje informacija“, rekao je Englert, potpredsjednik za sigurnost medicinskih uređaja u Centru za dijeljenje i analizu zdravstvenih informacija.

Dijeljenje informacija može biti ključno za bolje razumijevanje prijetnji s kojima se suočava cijeli sektor, no u mnogim organizacijama još uvijek postoji nesigurnost oko razine detalja koje bi pružatelji zdravstvene skrbi trebali otkriti, rekao je.

Pročitajte ili poslušajte ovaj razgovor u rubrici Data Breach Today. Klikni ovdje

Ranjivost Contec CMS8000

Napisao Julija Annaloro on . Objavljeno u Sigurnost medicinskih uređaja, Resursi i vijesti.

Ranjivost Contec CMS8000: Kritičan problem kibernetičke sigurnosti ili loša praksa kodiranja?

Health-ISAC Blog o sigurnosti medicinskih uređaja u TechNationu

Napisao Phil Englert, Health-ISAC potpredsjednik sigurnosti medicinskih uređaja

Dana 30. siječnja 2025. Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) objavila je medicinsko obavještenje ICSMA-25-030-01, ističući kritične ranjivosti u pacijentskim monitorima Contec CMS8000. Ove ranjivosti – koje uključuju pisanje izvan granica, skrivenu funkcionalnost stražnjih vrata i curenje privatnosti – predstavljaju značajne rizike za sigurnost pacijenata i sigurnost podataka. Američka Uprava za hranu i lijekove (FDA) istog je dana izdala sigurnosno priopćenje, naglašavajući rizike povezane s tim ranjivostima. FDA je istaknula da Contec CMS8000 i preimenovane verzije, poput Epsimed MN-120, mogu daljinski kontrolirati neovlašteni korisnici, što potencijalno ugrožava podatke o pacijentima i funkcionalnost uređaja. CMS8000 pojavio se na tržištu oko 2005. i dobio je odobrenje FDA 510(k) u lipnju 2011.

FDA je dala dvostruke preporuke zdravstvenim djelatnicima i pacijentima: Isključite uređaj iz struje i prekinite s korištenjem ako se oslanjate na značajke daljinskog praćenja. Drugo, FDA je preporučila korištenje samo lokalnih značajki praćenja, kao što su onemogućavanje bežičnih mogućnosti i isključivanje ethernet kabela. Fiziološki monitori ne pružaju liječenje koje spašava živote ili ga održava, ali su ključni za praćenje stanja pacijenata u riziku. Monitori pacijenata prate se centralno kako bi se njegovatelji odmah obavijestili o promjenama stanja pacijenata. Brza reakcija može biti razlika između dobrih i loših ishoda.

Ranjivosti Contec CMS8000 koje je otkrila CISA, a analizirali FDA, Claroty i Cylera, ističu kritičnu potrebu za robusnim mjerama kibernetičke sigurnosti u zdravstvenim ustanovama. Također se naglašava da ranjivosti mogu proizaći iz nesigurnog dizajna, a ne iz zlonamjerne namjere, a njihov potencijalni utjecaj na sigurnost pacijenata i sigurnost podataka ne smije se podcijeniti. Pružatelji zdravstvene zaštite trebali bi brzo djelovati kako bi ublažili te rizike i osigurali integritet svojih medicinskih uređaja.

Pročitajte cijeli blog na TechNationu. Klikni ovdje

 

Kibernetička sigurnost medicinskih uređaja mogla bi biti ugrožena smanjenjem broja zaposlenih u HHS-u

Napisao Julija Annaloro on . Objavljeno u U vijestima, Sigurnost medicinskih uređaja.

Saslušanje pododbora Doma o kibersigurnosnoj zaštiti za naslijeđene medicinske uređaje zasjenjeno rezovima HHS-a.

Panelisti koji su sudjelovali u raspravi Pododbora za nadzor i istrage na temu “Tehnologija starenja, nove prijetnje: Ispitivanje ranjivosti kibernetičke sigurnosti u starim medicinskim uređajima” upitani su o utjecaju smanjenja osoblja FDA-e na sigurnost medicinskih uređaja. 

"Nevjerojatno", rekao je Kevin Fu, profesor s Odsjeka za elektrotehniku ​​i računalni inženjering na Khoury College of Computer Sciences na Sveučilištu Northeastern. Fu je prije bio inauguracijski vršitelj dužnosti direktora kibernetičke sigurnosti medicinskih uređaja u FDA-ovom Centru za uređaje i radiološko zdravlje (CDRH) i direktor programa za kibernetičku sigurnost u Digitalnom zdravstvenom centru izvrsnosti.

Erik Decker, potpredsjednik i CISO u Međugorje Health, rekao je da je FDA ključni dionik u naporima za kibersigurnost.

"Da, to će imati utjecaja", rekao je Decker. 

Proizvođači medicinskih uređaja, bolnice i FDA partner, rekao je. HHS, FDA i zdravstvena industrija uspostavili su brojne radne skupine u okviru Radne skupine za kibersigurnost (CWG) Koordinacijskog vijeća zdravstvenog sektora (HSCC).

Međutim, rekao je Decker, analiza pokazuje da u prosjeku bolnice imaju samo oko 55% implementiranih praksi kibernetičke sigurnosti zdravstvene industrije (HICP) za sigurnost medicinskih uređaja. 

Decker je rekao da postoje četiri skupine aktera prijetnji: akteri nacionalne države, organizirani kriminal, "haktivisti" i prijetnje iznutra. 

Sudionik panela Greg Garcia, izvršni direktor Radne skupine za kibersigurnost Koordinacijskog vijeća zdravstvenog sektora, rekao je da će sljedeći tjedan objaviti bijelu knjigu o tome kako zdravstveni sustavi nemaju dovoljno financijskih resursa i osoblja za zaštitu kibernetičke sigurnosti.

Pročitajte cijeli članak u Healthcare Finance News. Klikni ovdje

Kako se HTM osoblje može pripremiti za predložene izmjene sigurnosnih pravila HIPAA

Napisao Julija Annaloro on . Objavljeno u U vijestima, Sigurnost medicinskih uređaja.

Health-ISAC Blog o sigurnosti medicinskih uređaja u TechNationu

Napisao Phil Englert, Health-ISAC potpredsjednik sigurnosti medicinskih uređaja

 

Dana 27. prosinca 2024. Ured za građanska prava (OCR) pri Ministarstvu zdravstva i socijalnih usluga SAD-a (HHS) izdao je Obavijest o predloženom donošenju pravila (NPRM) za izmjenu sigurnosnog pravila Zakona o prijenosu i odgovornosti zdravstvenog osiguranja iz 1996. (HIPAA). Cilj je ojačati obranu kibernetičke sigurnosti koja štiti elektroničke zdravstvene informacije (ePHI). Ovo predloženo ažuriranje predstavlja proaktivan pristup zaštiti osjetljivih zdravstvenih informacija u eri eskalacije kibernetičkih prijetnji.

Predložene izmjene i dopune ističu nekoliko ključnih mjera za jačanje zaštite ePHI. Neka od ovih pravila su orijentirana na proces, a neka su tehnička. Uključivanje ovih predloženih promjena u proces nabave pomoći će organizacijama da se pripreme za promjene kada one stupe na snagu. Ovdje je izbor koji se posebno odnosi na medicinske uređaje.

Nastavite čitati ovaj članak u TechNationu. Klikni ovdje

Analiza utjecaja rizika medicinskih uređaja za pružatelje zdravstvene zaštite

Napisao Julija Annaloro on . Objavljeno u Sigurnost medicinskih uređaja, Resursi i vijesti.

Health-ISAC Blog o sigurnosti medicinskih uređaja u TechNationu

Napisao Phil Englert, Health-ISAC potpredsjednik sigurnosti medicinskih uređaja

U zdravstvenoj industriji, osiguranje sigurnosti i učinkovitosti medicinskih uređaja je od najveće važnosti. Prečesto se kibernetička sigurnost fokusira na ranjivosti i, iako važna, analiza ranjivosti je preuska. Ranjivosti se procjenjuju pomoću Zajedničkog sustava bodovanja ranjivosti (CVSS), koji pokušava utvrditi koliko je ranjivost opasna. Ovo je korisna informacija, ali uzima u obzir rizik ranjivosti unutar komponente u kojoj se nalazi, a ne unutar proizvoda. Ovaj ograničeni pogled ne uzima u obzir rizike koje ranjivost predstavlja za određeno okruženje. Kontekstualni čimbenici poput važnosti imovine, načina korištenja imovine ili kontrola koje su na snazi, bilo unutar proizvoda ili unutar mreže, također se moraju uzeti u obzir prilikom procjene rizika. S obzirom na ova ograničenja, provođenje Analize utjecaja rizika medicinskih uređaja (MDRIA) ključan je proces koji pomaže pružateljima zdravstvene skrbi da identificiraju, procijene i ublaže rizike povezane s medicinskim uređajima. Ovaj esej ocrtava bitne komponente MDRIA-e.

Pročitajte cijeli blog na TechNationu.  Klikni ovdje

Industrial Cyber ​​logo na vrhu Slika TV ekrana sa snimkom zaslona ovog članka na njemu. Izvučeno spominjanje: Vremenski okvir prebacivanja odgovornosti tijekom životnog ciklusa medicinskog uređaja

Health-ISAC bijela knjiga naglašava odgovornosti kibernetičke sigurnosti u životnom ciklusu medicinskih uređaja, fokusirajući se na otpornost

Napisao Julija Annaloro on . Objavljeno u Zdravlje-ISAC, U vijestima, White Papers.

 

Health-ISAC je objavio bijeli dokument koji se bavi zadacima potrebnim za održavanje kibernetičke otpornosti medicinskih uređaja i kako se odgovornosti mogu prenijeti od strane do strane u cijelom proizvodu. Kako medicinski uređaji prolaze kroz faze životnog ciklusa, odgovornost za zadatke može se prenijeti između proizvođača i kupca. Whitepaper Health-ISAC utvrđuje da je komunikacija između dviju strana ključna dok se uređaj kreće kroz životni ciklus kako bi se zadaci koordinirali i smanjili sigurnosni nedostaci unutar proizvoda.

Pod nazivom "Istraživanje kibersigurnosnih uloga proizvođača i zdravstvenih organizacija tijekom životnog ciklusa medicinskih uređaja", bijela knjiga identificirao da medicinski uređaji prolaze kroz četiri faze životnog ciklusa, s različitim razinama odgovornosti proizvođača medicinskih uređaja i organizacije za pružanje zdravstvene skrbi. Organizacije za pružanje zdravstvene skrbi (HDO) trebale bi provoditi redovitije procjene rizika do kraja životnog vijeka (EOL) i kraja podrške (EOS) kako bi utvrdile mogu li prihvatiti rizik od nastavka upotrebe. Također ističe da se odgovornost za održavanje kibernetičke sigurnosti medicinskog uređaja razvija tijekom životnog ciklusa uređaja. 

Pročitajte cijeli članak u Industrial Cyberu. Klikni ovdje

Istraživanje uloga proizvođača i zdravstvenih organizacija u kibernetičkoj sigurnosti tijekom životnog ciklusa medicinskih uređaja

Napisao Julija Annaloro on . Objavljeno u Zdravlje-ISAC, Sigurnost medicinskih uređaja, White Papers.

 

TLP: BIJELA Ovo se izvješće može dijeliti bez ograničenja.
Članovi Health-ISAC-a svakako preuzmite punu verziju izvješća s portala Health-ISAC Threat Intelligence Portal (HTIP)

Ključne presude

  • Medicinski uređaji prolaze kroz četiri faze životnog ciklusa, s različitim razinama odgovornosti proizvođača medicinskih uređaja i organizacije za pružanje zdravstvene skrbi.

  • Organizacije za pružanje zdravstvene skrbi trebale bi provoditi redovitije procjene rizika do kraja životnog vijeka i kraja podrške kako bi utvrdile mogu li prihvatiti rizik od daljnje upotrebe.

  • Proizvođač implementira kategorije sigurnosne kontrole u razvojnoj fazi kako bi osigurao da je uređaj siguran prema dizajnu, siguran prema zadanim postavkama i siguran prema zahtjevu.

  • Dokumentacija i transparentnost ključni su za održavanje kibernetičke sigurnosti. To uključuje pružanje detaljne sigurnosne dokumentacije, popis materijala za softver (SBOM) i jasnu komunikaciju o ranjivostima i ažuriranjima. 

 

Preuzmite ovaj bijeli papir.

Istraživanje uloga proizvođača i zdravstvenih organizacija u kibernetičkoj sigurnosti tijekom životnog ciklusa medicinskih uređaja
Veličina: 3.2 MB format: PDF

Uvod

Kako medicinski uređaji postaju međusobno povezaniji i imaju mogućnosti interneta i bežične komunikacije, razumijevanje faza životnog ciklusa i zadataka potrebnih za održavanje njihovog sigurnosnog položaja pomoći će organizacijama da zaštite uređaje od prijetnji kibernetičkom sigurnošću. Životni ciklus uređaja različite su faze kroz koje će uređaj proći, od istraživanja i razvoja, na tržištu i na kraju do kraja životnog vijeka i kraja podrške. Kako medicinski uređaji prolaze kroz faze životnog ciklusa, odgovornost za zadatke može se prenijeti između proizvođača i kupca. Komunikacija između dviju strana ključna je dok se uređaj kreće kroz životni ciklus kako bi se zadaci koordinirali i smanjili sigurnosni nedostaci unutar proizvoda.

Ovaj dokument istražuje zadatke potrebne za održavanje kibernetičke otpornosti medicinskih uređaja i kako se odgovornosti mogu prenijeti od strane do strane u cijelom proizvodu. Odgovornost za održavanje kibernetičke sigurnosti medicinskog uređaja razvija se tijekom životnog ciklusa uređaja. Proces počinje s proizvođačem uređaja tijekom faze dizajna i razvoja i može se sve više prebaciti na Healthcare Delivery Organization (HDO) nakon kliničke upotrebe. Načela i prakse Međunarodnog foruma regulatora medicinskih uređaja (IMDRF) za kibersigurnost naslijeđenih medicinskih uređaja ocrtavaju četiri faze životnog ciklusa. Uprava za hranu i lijekove (FDA) daje zahtjeve za kibernetičku sigurnost medicinskih uređaja u smjernicama prije i nakon stavljanja na tržište. Proizvođači se mogu pozabaviti kibersigurnošću uređaja tijekom dizajna i razvoja koristeći zahtjeve prije stavljanja na tržište. Zahtjevi nakon stavljanja na tržište potrebni su zbog rizika kibernetičke sigurnosti koji se nastavljaju razvijati nakon što medicinski uređaj stigne na tržište.

Kako upravljati kibernetičkim rizikom medicinskih uređaja – doživotno

Napisao Julija Annaloro on . Objavljeno u U vijestima, Sigurnost medicinskih uređaja.

Stručnjaci nude savjete za upravljanje rastućim zalihama, resurse za dobavljače

HSCC-ove “Kibersigurnost zdravstvene industrije – Upravljanje sigurnošću naslijeđene tehnologije” – ili HIC-MaLTS – smjernice organizacijama nude najbolje prakse koje se mogu koristiti za upravljanje kibernetičkim rizicima naslijeđenih medicinskih tehnologija, rekao je Phil Englert, potpredsjednik za sigurnost medicinskih uređaja u Health Information. Centar za dijeljenje i analizu.

HIC-MaLTS preuzima uobičajene izazove kibernetičke sigurnosti u zdravstvu. Na primjer, „mnoge različite vrste medicinskih uređaja i različite lokacije na kojima se koriste posjeduju jedinstvene profile rizika i uključuju značajke dijagnostičkih, terapeutskih, nosivih, implantabilnih i softvera kao medicinskog uređaja, među ostalim, koje se mogu koristiti u bolnicama, klinikama i drugim nekliničkim i kućnim zdravstvenim ustanovama,” rekao je.

Također u ovom članku:

  • četiri faze životnog ciklusa medicinskih proizvoda
  • Inventari “sistemskog prikaza” u kombinaciji sa segmentacijom i kontrolama pristupa mreži
  • HSCC-ov model ugovornog jezika za Medtech Cybersecurity 

Ovdje pročitajte članak u Healthcare Infosecurity. Klikni ovdje

Poboljšanje kibernetičke sigurnosti u zdravstvu: Uloga Health-ISAC-a

Napisao Julija Annaloro on . Objavljeno u U vijestima, Sigurnost medicinskih uređaja.

Sudjelovanje u Health-ISAC-u može učiniti pružatelje zdravstvenih usluga manje osjetljivima na hakiranja i proboja.

 

U eri sve sofisticiranijih i raširenijih cyber prijetnji, pružatelji zdravstvenih usluga suočavaju se s jedinstvenim izazovima u zaštiti osjetljivih podataka pacijenata i održavanju integriteta svojih sustava. Jedan snažan alat u borbi protiv kibernetičkog kriminala je sudjelovanje u Centru za razmjenu i analizu zdravstvenih informacija (Health-ISAC). Ova suradnička organizacija pružatelje zdravstvenih usluga čini manje osjetljivima na hakiranje i provale.

Jedna od najznačajnijih prednosti članstva u Health-ISAC-u je pristup podacima o prijetnjama u stvarnom vremenu. Kibernetičke prijetnje brzo se razvijaju, a ažurnost informacija ključna je za učinkovitu obranu. Health-ISAC prikuplja i širi informacije o novim prijetnjama, ranjivostima i vektorima napada. Ova inteligencija pružateljima zdravstvenih usluga omogućuje rješavanje potencijalnih rizika prije nego što ih zlonamjerni akteri mogu proaktivno iskoristiti. Na primjer, ako se otkrije novi soj ransomwarea koji cilja na zdravstvene sustave, Health-ISAC može brzo upozoriti svoje članove, pružajući pojedinosti o prijetnji i preporučenim strategijama ublažavanja. Ovo brzo širenje informacija može biti razlika između manjeg incidenta i značajnog kršenja.

Kibernetička sigurnost nije usamljeni pothvat.

Pročitajte cijeli blog potpredsjednika Health-ISAC-a za sigurnost medicinskih uređaja Phila Englerta u TechNationu. Klikni ovdje

AI, Ransomware i medicinski uređaji: Zaštita zdravstvene zaštite

Napisao Julija Annaloro on . Objavljeno u U vijestima.

McCrary Institut Cyber ​​Focus Podcast

Voditelj Frank Cilluffo intervjuirao je Errola Weissa, glavnog službenika za sigurnost u Centru za razmjenu i analizu zdravstvenih informacija (Health ISAC).

Oni raspravljaju o rastućim izazovima kibernetičke sigurnosti u zdravstvenom sektoru, uključujući ransomware, ranjivosti opskrbnog lanca i kritičnu potrebu za boljim sigurnosnim mjerama za zaštitu medicinskih uređaja i podataka pacijenata. Weiss dijeli uvide iz svog opsežnog iskustva u kibersigurnosti zdravstvenih i financijskih usluga, ističući naučene lekcije, ulogu dijeljenja informacija i važnost proaktivnih mjera za ublažavanje rizika.

Poslušajte podcast na YouTubeu Klikni ovdje

Teme uključuju:

  • Zdravlje i Ransomware

  • Ispadi u bolnicama

  • Cyber ​​proračuni za zdravstvo

  • Sigurnost i usklađenost

  • Lekcije iz FS-a

  • Tehnologija budućnosti

  • Medicinski uređaji

  • Razmjena informacija među sektorima

  • Praktični koraci prema sigurnosti