Vai al contenuto principale

Argomento del post: Sicurezza dei dispositivi medici

Silenzio inafferrabile: come MAUDE può amplificare la richiesta di dispositivi più sicuri

Scritto da Giulia Annaloro on . pubblicato in Sicurezza dei dispositivi medici, Risorse e notizie.

Blog sui dispositivi medici di Phil Englert, vicepresidente della sicurezza dei dispositivi medici di Health-ISAC

I proprietari di dispositivi medici sono sempre più frustrati dalle scarse informazioni che i produttori di dispositivi medici condividono sulle vulnerabilità note ma non divulgate nelle tecnologie mediche e dalla velocità con cui risolvono tali vulnerabilità. Sfruttare il sistema MAUDE della Food and Drug Administration potrebbe essere un modo per accelerare la transizione.

Il database MAUDE della FDA, acronimo di Manufacturer and User Facility Device Experience, è un archivio pubblico di segnalazioni di eventi avversi che coinvolgono dispositivi medici e fa parte della strategia di sorveglianza post-marketing della FDA. Il suo scopo principale è aiutare la FDA a monitorare le prestazioni dei dispositivi, individuare potenziali problemi di sicurezza e supportare le valutazioni del rapporto beneficio-rischio dopo l'immissione in commercio dei dispositivi. I soggetti obbligati a segnalare (come produttori, importatori e strutture sanitarie) devono inviare segnalazioni quando un dispositivo potrebbe aver causato o contribuito a un decesso, una lesione grave o un malfunzionamento. Anche i soggetti volontari a segnalare (come operatori sanitari, pazienti o assistenti) possono inviare segnalazioni se osservano o riscontrano un problema relativo al dispositivo.

Per saperne di più su MAUDE, incluso un esempio di un resoconto MAUDE correlato alla sicurezza informatica, in TechNation.

Clicca qui

Sicurezza dei dispositivi medici: cosa vogliono veramente gli acquirenti di servizi sanitari

Scritto da Giulia Annaloro on . pubblicato in Sicurezza dei dispositivi medici, White Papers.

La sicurezza informatica è ora il garante dell’accesso al mercato

RIASSUNTO DELL'INDICE DI SICUREZZA INFORMATICA DEI DISPOSITIVI MEDICI DEL 2025

L'assistenza sanitaria ha raggiunto un punto di svolta per la sicurezza informatica. Il 22% delle organizzazioni sanitarie hanno subito attacchi informatici che hanno compromesso i dispositivi medici, con il 75% di questi incidenti che hanno un impatto diretto sull'assistenza ai pazienti. Quando gli attacchi costringono i pazienti a trasferirsi in altri strutture—cosa che è accaduta in quasi un quarto dei casi—non stiamo più parlando di IT disagi, ma emergenze mediche.

 

LA RICHIESTA DI SICUREZZA DEI DISPOSITIVI MEDICI È ELEVATA

1. Trasparenza attraverso gli SBOM – Il 78% considera le distinte base del software essenziali nelle decisioni di approvvigionamento. Non si tratta solo di conformità normativa, ma anche di gestione pratica delle vulnerabilità in un ecosistema interconnesso.

2. Sicurezza integrata vs. sicurezza aggiuntiva – Il 60% dà priorità alle protezioni di sicurezza informatica integrate rispetto a soluzioni retrofit. I leader del settore sanitario hanno imparato che le misure di sicurezza tampone sono inefficaci contro gli attacchi sofisticati.

3. Protezione avanzata in fase di esecuzione - Il 36% ricerca attivamente dispositivi con protezione in fase di esecuzione, mentre un altro 38% ne è a conoscenza ma non ne ha ancora bisogno, il che suggerisce una rapida evoluzione del mercato, dall'adozione precoce all'aspettativa diffusa.

Leggi il white paper di RunSafe Security, un navigatore Health-ISAC. Clicca qui

Stato della sicurezza informatica in ambito sanitario: progressi e insidie

Scritto da Giulia Annaloro on . pubblicato in In The News, Sicurezza dei dispositivi medici.

Phil Englert di Health-ISAC e Murad Dikeidek di UI Health parlano delle sfide della sicurezza nel settore sanitario e offrono spunti di riflessione.

Sebbene il settore sanitario stia facendo progressi in termini di resilienza informatica, deve ancora affrontare sfide radicate, tra cui collaborazione, problemi di personale informatico e limitazioni di bilancio, che richiedono una costante richiesta di adattamento e ridefinizione delle priorità man mano che gli avversari cambiano le loro tattiche, hanno affermato gli esperti di sicurezza Phil Englert e Murad Dikeidek.

"Una delle cose che vediamo accadere sempre più spesso, e che non è ancora abbastanza, è la condivisione delle informazioni", ha affermato Englert, vicepresidente della sicurezza dei dispositivi medici presso l'Health Information Sharing and Analysis Center.

La condivisione delle informazioni può essere fondamentale per aiutare l'intero settore a comprendere meglio le minacce che sta affrontando, ma in molte organizzazioni permane ancora incertezza sul livello di dettaglio che gli operatori sanitari dovrebbero divulgare, ha affermato.

Leggi o ascolta questa conversazione su Data Breach Today. Clicca qui

Vulnerabilità Contec CMS8000

Scritto da Giulia Annaloro on . pubblicato in Sicurezza dei dispositivi medici, Risorse e notizie.

Vulnerabilità di Contec CMS8000: un problema critico per la sicurezza informatica o una cattiva pratica di codifica?

Blog sulla sicurezza dei dispositivi medici Health-ISAC in TechNation

Scritto da Phil Englert, vicepresidente della sicurezza dei dispositivi medici di Health-ISAC

Il 30 gennaio 2025, la Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato l'avviso di sicurezza ICSMA-25-030-01, evidenziando vulnerabilità critiche nei monitor per pazienti Contec CMS8000. Queste vulnerabilità, tra cui una scrittura fuori limite, una funzionalità backdoor nascosta e una violazione della privacy, rappresentano rischi significativi per la sicurezza dei pazienti e la sicurezza dei dati. La Food and Drug Administration (FDA) statunitense ha emesso una comunicazione sulla sicurezza lo stesso giorno, sottolineando i rischi associati a queste vulnerabilità. La FDA ha evidenziato che il Contec CMS8000 e le versioni rietichettate, come l'Epsimed MN-120, potrebbero essere controllati da remoto da utenti non autorizzati, compromettendo potenzialmente i dati dei pazienti e la funzionalità del dispositivo. Il CMS8000 è stato immesso sul mercato intorno al 2005 e ha ottenuto l'autorizzazione FDA 510(k) nel giugno 2011.

Le raccomandazioni della FDA per gli operatori sanitari e i pazienti erano duplici: scollegare e interrompere l'uso del dispositivo se si fa affidamento sulle funzionalità di monitoraggio remoto. In secondo luogo, la FDA ha raccomandato di utilizzare solo le funzionalità di monitoraggio locali, come la disattivazione delle funzionalità wireless e lo scollegamento dei cavi Ethernet. I monitor fisiologici non forniscono trattamenti salvavita o di supporto vitale, ma sono essenziali per monitorare le condizioni dei pazienti a rischio. I monitor paziente sono monitorati centralmente per informare tempestivamente gli operatori sanitari di eventuali cambiamenti nelle condizioni del paziente. Una risposta rapida può fare la differenza tra esiti positivi e negativi.

Le vulnerabilità di Contec CMS8000 divulgate da CISA e analizzate da FDA, Claroty e Cylera evidenziano la necessità critica di robuste misure di sicurezza informatica in ambito sanitario. Evidenziano inoltre che le vulnerabilità possono derivare da una progettazione non sicura piuttosto che da intenti malevoli e il loro potenziale impatto sulla sicurezza dei pazienti e sulla sicurezza dei dati non può essere sottovalutato. Gli operatori sanitari dovrebbero agire rapidamente per mitigare questi rischi e garantire l'integrità dei loro dispositivi medici.

Leggi il blog completo su TechNation. Clicca qui

 

La sicurezza informatica dei dispositivi medici potrebbe essere messa a dura prova dai tagli al personale dell'HHS

Scritto da Giulia Annaloro on . pubblicato in In The News, Sicurezza dei dispositivi medici.

L'audizione della sottocommissione della Camera sulla protezione della sicurezza informatica per i dispositivi medici obsoleti è stata messa in ombra dai tagli dell'HHS.

Ai relatori che hanno preso parte alla discussione del sottocomitato di vigilanza e indagini su "Tecnologia obsoleta, minacce emergenti: esame delle vulnerabilità della sicurezza informatica nei dispositivi medici legacy" è stato chiesto quale fosse l'impatto delle riduzioni del personale della FDA sulla sicurezza dei dispositivi medici. 

"Tremendo", ha detto Kevin Fu, professore del dipartimento di Ingegneria elettrica e informatica presso il Khoury College of Computer Sciences della Northeastern University. Fu in precedenza è stato il direttore ad interim inaugurale di Medical Device Cybersecurity presso il Center for Devices and Radiological Health (CDRH) della FDA e direttore del programma per la Cybersecurity presso il Digital Health Center of Excellence.

Erik Decker, vicepresidente e CISO presso Intermontagna La FDA ha affermato che la sanità è un attore chiave negli sforzi per la sicurezza informatica.

"Sì, avrà un impatto", ha detto Decker. 

I produttori di dispositivi medici, gli ospedali e la FDA collaborano, ha affermato. HHS, FDA e il settore sanitario hanno istituito numerosi gruppi di lavoro nell'ambito del Cybersecurity Working Group (CWG) dell'Health Sector Coordinating Council (HSCC).

Tuttavia, ha affermato Decker, l'analisi mostra che, in media, gli ospedali implementano solo il 55% circa delle pratiche raccomandate dall'Health Industry Cybersecurity Practices (HICP) per la sicurezza dei dispositivi medici. 

Decker ha affermato che esistono quattro gruppi di attori della minaccia: gli attori degli stati nazionali, la criminalità organizzata, gli "hacktivisti" e le minacce interne. 

Greg Garcia, membro del panel e direttore esecutivo del gruppo di lavoro sulla sicurezza informatica del Consiglio di coordinamento del settore sanitario, ha affermato che la prossima settimana pubblicheranno un white paper su come i sistemi sanitari siano carenti in termini di risorse finanziarie e di personale per la protezione della sicurezza informatica.

Leggi l'articolo completo su Healthcare Finance News. Clicca qui

Come lo staff HTM può prepararsi alle modifiche proposte alla norma sulla sicurezza HIPAA

Scritto da Giulia Annaloro on . pubblicato in In The News, Sicurezza dei dispositivi medici.

Blog sulla sicurezza dei dispositivi medici Health-ISAC in TechNation

Scritto da Phil Englert, vicepresidente della sicurezza dei dispositivi medici di Health-ISAC

 

Il 27 dicembre 2024, l'Office for Civil Rights (OCR) presso il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (HHS) ha emesso un Avviso di proposta di regolamentazione (NPRM) per modificare la norma sulla sicurezza dell'Health Insurance Portability and Accountability Act del 1996 (HIPAA). L'obiettivo è rafforzare le difese di sicurezza informatica che proteggono le informazioni sanitarie elettroniche (ePHI). Questo aggiornamento proposto rappresenta un approccio proattivo alla salvaguardia delle informazioni sanitarie sensibili in un'epoca di crescenti minacce informatiche.

Gli emendamenti proposti evidenziano diverse misure critiche per rafforzare la protezione ePHI. Alcune di queste regole sono orientate al processo e molte sono tecniche. L'integrazione di queste modifiche proposte nel processo di approvvigionamento aiuterà le organizzazioni a prepararsi per i cambiamenti quando entreranno in vigore. Ecco una selezione specificamente pertinente ai dispositivi medici.

Continua a leggere questo articolo su TechNation. Clicca qui

Analisi dell'impatto del rischio dei dispositivi medici per gli operatori sanitari

Scritto da Giulia Annaloro on . pubblicato in Sicurezza dei dispositivi medici, Risorse e notizie.

Blog sulla sicurezza dei dispositivi medici Health-ISAC in TechNation

Scritto da Phil Englert, vicepresidente della sicurezza dei dispositivi medici di Health-ISAC

Nel settore sanitario, garantire la sicurezza e l'efficacia dei dispositivi medici è fondamentale. Troppo spesso, la sicurezza informatica si concentra sulle vulnerabilità e, sebbene importante, l'analisi delle vulnerabilità è troppo limitata. Le vulnerabilità vengono valutate utilizzando il Common Vulnerability Scoring System (CVSS), che cerca di determinare la pericolosità di una vulnerabilità. Si tratta di informazioni utili, ma considera il rischio di vulnerabilità all'interno del componente in cui risiede piuttosto che nel prodotto. Questa visione limitata non tiene conto dei rischi che la vulnerabilità pone a un ambiente specifico. Nella valutazione del rischio, è necessario considerare anche fattori contestuali come l'importanza della risorsa, le modalità di utilizzo della risorsa o i controlli in atto, sia all'interno del prodotto che all'interno della rete. Date queste limitazioni, condurre un'Analisi dell'Impatto del Rischio dei Dispositivi Medici (MDRIA) è un processo fondamentale che aiuta gli operatori sanitari a identificare, valutare e mitigare i rischi associati ai dispositivi medici. Questo saggio delinea i componenti essenziali di una MDRIA.

Leggi il blog completo su TechNation.  Clicca qui

Logo di Industrial Cyber ​​in alto Immagine di uno schermo TV con uno screenshot di questo articolo. Menzione estratta: cronologia dei cambiamenti di responsabilità durante il ciclo di vita del dispositivo medico

Il whitepaper Health-ISAC evidenzia le responsabilità della sicurezza informatica nel ciclo di vita dei dispositivi medici, concentrandosi sulla resilienza

Scritto da Giulia Annaloro on . pubblicato in Salute-ISAC, In The News, White Papers.

 

Health-ISAC ha pubblicato un whitepaper che affronta le attività necessarie per mantenere la resilienza informatica dei dispositivi medici e come le responsabilità potrebbero passare da una parte all'altra nell'intero prodotto. Man mano che i dispositivi medici attraversano le fasi del ciclo di vita, la responsabilità delle attività potrebbe essere trasferita tra i produttori e il cliente. Il whitepaper Health-ISAC identifica che la comunicazione tra le due parti è essenziale mentre il dispositivo attraversa il ciclo di vita in modo che le attività siano coordinate e le lacune di sicurezza all'interno del prodotto siano ridotte.

Il white paper intitolato "Esplorazione dei ruoli di sicurezza informatica dei produttori e delle organizzazioni sanitarie durante il ciclo di vita dei dispositivi medici" identificato quello i dispositivi medici attraversano quattro fasi del ciclo di vita, con diversi livelli di responsabilità attribuiti al produttore del dispositivo medico e all'organizzazione di fornitura di assistenza sanitaria. Le organizzazioni di fornitura di assistenza sanitaria (HDO) dovrebbero eseguire valutazioni del rischio più regolari in vista della fine del ciclo di vita (EOL) e della fine del supporto (EOS) per determinare se possono accettare il rischio di un uso continuato. Sottolinea inoltre che la responsabilità di mantenere la postura di sicurezza informatica di un dispositivo medico si evolve durante l'intero ciclo di vita di un dispositivo. 

Leggi l'articolo completo su Industrial Cyber. Clicca qui

Esplorare i ruoli dei produttori e delle organizzazioni sanitarie in materia di sicurezza informatica durante il ciclo di vita dei dispositivi medici

Scritto da Giulia Annaloro on . pubblicato in Salute-ISAC, Sicurezza dei dispositivi medici, White Papers.

 

TLP: BIANCO Questo rapporto può essere condiviso senza restrizioni.
I membri dell'Health-ISAC devono assicurarsi di scaricare la versione completa del rapporto dal portale Health-ISAC Threat Intelligence Portal (HTIP)

Sentenze chiave

  • I dispositivi medici attraversano quattro fasi del ciclo di vita, con diversi livelli di responsabilità a carico del produttore del dispositivo medico e dell'organizzazione che fornisce assistenza sanitaria.

  • Le organizzazioni che erogano assistenza sanitaria dovrebbero effettuare valutazioni dei rischi più regolari prima della fine del ciclo di vita e del supporto per determinare se possono accettare il rischio di un uso continuato.

  • Il produttore implementa le categorie di controllo di sicurezza nella fase di sviluppo per garantire che il dispositivo sia sicuro per progettazione, sicuro per impostazione predefinita e sicuro su richiesta.

  • Documentazione e trasparenza sono essenziali per mantenere la sicurezza informatica. Ciò include fornire documentazione di sicurezza dettagliata, una distinta base del software (SBOM) e una comunicazione chiara su vulnerabilità e aggiornamenti. 

 

Scarica questo white paper.

Esplorare i ruoli di sicurezza informatica dei produttori e delle organizzazioni sanitarie durante il ciclo di vita dei dispositivi medici
Dimensione : 3.2 MB formato: PDF

Introduzione

Man mano che i dispositivi medici diventano più interconnessi e hanno capacità di comunicazione Internet e wireless, comprendere le fasi del ciclo di vita e le attività necessarie per mantenere la loro posizione di sicurezza aiuterà le organizzazioni a proteggere i dispositivi dalle minacce alla sicurezza informatica. Il ciclo di vita del dispositivo è costituito dalle varie fasi che un dispositivo attraverserà, dalla ricerca e sviluppo, alla commercializzazione e, infine, alla fine del ciclo di vita e alla fine del supporto. Man mano che i dispositivi medici attraversano le fasi del ciclo di vita, la responsabilità delle attività può essere trasferita tra i produttori e il cliente. La comunicazione tra le due parti è essenziale man mano che il dispositivo attraversa il ciclo di vita, in modo che le attività siano coordinate e le lacune di sicurezza all'interno del prodotto siano ridotte.

Questo documento esplora le attività necessarie per mantenere la resilienza informatica dei dispositivi medici e come le responsabilità possono passare da una parte all'altra per tutto il prodotto. La responsabilità di mantenere la postura di sicurezza informatica di un dispositivo medico si evolve per tutto il ciclo di vita di un dispositivo. Il processo inizia con il produttore del dispositivo durante la fase di progettazione e sviluppo e può sempre più passare all'Healthcare Delivery Organization (HDO) una volta in uso clinico. I principi e le pratiche per la sicurezza informatica dei dispositivi medici legacy dell'International Medical Device Regulators Forum (IMDRF) delineano quattro fasi del ciclo di vita. La Food and Drug Administration (FDA) fornisce requisiti per la sicurezza informatica dei dispositivi medici nelle linee guida pre e post-commercializzazione. I produttori possono affrontare la sicurezza informatica di un dispositivo durante la progettazione e lo sviluppo utilizzando i requisiti pre-commercializzazione. I requisiti post-commercializzazione sono necessari a causa dei rischi per la sicurezza informatica che continuano a evolversi dopo che il dispositivo medico raggiunge il mercato.

Come gestire il rischio informatico dei dispositivi medici – per tutta la vita

Scritto da Giulia Annaloro on . pubblicato in In The News, Sicurezza dei dispositivi medici.

Gli esperti offrono consigli per la gestione di inventari in crescita, risorse per i fornitori

Le linee guida dell'HSCC "Health Industry Cybersecurity – Managing Legacy Technology Security" (HIC-MaLTS) offrono alle organizzazioni le best practice che possono essere utilizzate per gestire i rischi informatici delle tecnologie mediche legacy, ha affermato Phil Englert, vicepresidente della sicurezza dei dispositivi medici presso l'Health Information Sharing and Analysis Center.

HIC-MaLTS affronta le comuni sfide della sicurezza informatica sanitaria. Ad esempio, "molti tipi diversi di dispositivi medici e le diverse sedi in cui vengono utilizzati presentano profili di rischio unici e includono funzionalità diagnostiche, terapeutiche, indossabili, impiantabili e software-as-a-medical device, tra le altre, che possono essere utilizzate in ospedali, cliniche e altri contesti sanitari non clinici e domiciliari", ha affermato.

Anche in questo articolo:

  • quattro fasi del ciclo di vita dei dispositivi medici
  • inventari “system-view” combinati con segmentazione e controlli di accesso alla rete
  • Modello di contratto di HSCC per la sicurezza informatica Medtech 

Leggi l'articolo su Healthcare Infosecurity qui. Clicca qui

Migliorare la sicurezza informatica nell'assistenza sanitaria: il ruolo di Health-ISAC

Scritto da Giulia Annaloro on . pubblicato in In The News, Sicurezza dei dispositivi medici.

La partecipazione al programma Health-ISAC può rendere gli operatori sanitari meno suscettibili a attacchi informatici e violazioni.

 

In un'epoca di minacce informatiche sempre più sofisticate e diffuse, gli operatori sanitari affrontano sfide uniche nel proteggere i dati sensibili dei pazienti e nel mantenere l'integrità dei loro sistemi. Uno strumento potente nella lotta contro la criminalità informatica è la partecipazione all'Health Information Sharing and Analysis Center (Health-ISAC). Questa organizzazione collaborativa rende gli operatori sanitari meno vulnerabili ad attacchi informatici e violazioni.

Uno dei vantaggi più significativi dell'iscrizione a Health-ISAC è l'accesso a informazioni sulle minacce in tempo reale. Le minacce informatiche evolvono rapidamente e avere informazioni aggiornate è fondamentale per una difesa efficace. Health-ISAC raccoglie e diffonde informazioni su minacce emergenti, vulnerabilità e vettori di attacco. Questa intelligence consente ai fornitori di servizi sanitari di affrontare potenziali rischi prima che gli attori malintenzionati possano sfruttarli in modo proattivo. Ad esempio, se viene rilevato un nuovo ceppo di ransomware che prende di mira i sistemi sanitari, Health-ISAC può avvisare rapidamente i propri membri, fornendo dettagli sulla minaccia e strategie di mitigazione consigliate. Questa rapida diffusione di informazioni può fare la differenza tra un incidente minore e una violazione significativa.

La sicurezza informatica non è un'impresa solitaria.

Leggi il blog completo di Phil Englert, vicepresidente per la sicurezza dei dispositivi medici di Health-ISAC, su TechNation. Clicca qui

Intelligenza artificiale, ransomware e dispositivi medici: tutelare l'assistenza sanitaria

Scritto da Giulia Annaloro on . pubblicato in In The News.

Podcast Cyber ​​Focus dell'istituto McCrary

Il conduttore Frank Cilluffo intervista Errol Weiss, responsabile della sicurezza presso l'Health Information Sharing and Analysis Center (Health ISAC).

Discutono delle sfide in continua evoluzione della sicurezza informatica nel settore sanitario, tra cui ransomware, vulnerabilità della supply chain e la necessità critica di migliori misure di sicurezza per proteggere i dispositivi medici e i dati dei pazienti. Weiss condivide approfondimenti tratti dalla sua vasta esperienza nella sicurezza informatica sia sanitaria che dei servizi finanziari, evidenziando le lezioni apprese, il ruolo della condivisione delle informazioni e l'importanza di misure proattive per mitigare i rischi.

Ascolta il podcast su YouTube Clicca qui

Gli argomenti includono:

  • Salute e Ransomware

  • Interruzioni negli ospedali

  • Budget informatici per la salute

  • Sicurezza e conformità

  • Lezioni da FS

  • Tecnologia del futuro

  • Dispositivi medicali

  • Condivisione di informazioni intersettoriali

  • Misure pratiche per la sicurezza