메인 컨텐츠로 가기

게시물 주제: 의료기기 보안

잡을 수 없는 침묵: MAUDE가 더 안전한 장치에 대한 요구를 확대할 수 있는 방법

Written by 줄리아 아날로로 on . 에 게시 됨 의료기기 보안, 리소스 및 뉴스.

의료기기 보안 담당 Health-ISAC 부사장 Phil Englert의 의료기기 블로그

의료기기 소유주들은 의료기기 제조업체들이 의료 기술의 알려졌지만 공개되지 않은 취약점에 대해 공유하는 정보가 제한적이고, 알려진 취약점을 패치하는 속도가 너무 빠르다는 점에 점점 더 큰 좌절감을 느끼고 있습니다. 미국 식품의약국(FDA)의 MAUDE(메디케어 어드밴스드 에볼루션)를 활용하는 것이 신속성을 확보하는 한 가지 방법이 될 수 있습니다.

FDA의 MAUDE 데이터베이스(Manufacturer and User Facility Device Experience의 약자)는 의료기기 관련 부작용 보고를 공개하는 저장소이며, FDA의 시판 후 감시 전략의 일부입니다. 이 데이터베이스의 주요 목적은 FDA가 기기 성능을 모니터링하고, 잠재적 안전 문제를 감지하며, 기기 출시 후 유익성-위험성 평가를 지원하는 것입니다. 의무 보고자(제조업체, 수입업체, 의료기관 등)는 기기가 사망, 심각한 부상 또는 오작동을 유발하거나 이에 기여했을 가능성이 있는 경우 보고서를 제출해야 합니다. 자발적 보고자(의료 전문가, 환자 또는 간병인 등)도 기기 관련 문제를 관찰하거나 경험한 경우 보고서를 제출할 수 있습니다.

MAUDE에 대해 자세히 알아보세요. TechNation에 게재된 사이버 관련 MAUDE 보고서 서술의 예입니다.

Click Here

의료기기 보안: 의료 구매자가 진정 원하는 것

Written by 줄리아 아날로로 on . 에 게시 됨 의료기기 보안, 기술서.

사이버 보안은 이제 시장 접근의 관문입니다.

2025년 의료기기 사이버보안 지수 요약

의료는 사이버 보안 전환점에 도달했습니다. 의료 기관의 22%가 의료 기기를 손상시킨 사이버 공격을 경험했으며, 이 중 75%가 환자 치료에 직접적인 영향을 미치는 사건. 공격으로 인해 환자가 다른 곳으로 이송될 경우 시설(거의 4분의 1의 사례에서 발생)에 대해 더 이상 IT에 대해 이야기하지 않습니다. 불편함이 아니라 의료상의 응급상황입니다.

 

의료기기 보안에 대한 수요가 높습니다

1. SBOM을 통한 투명성 – 78%는 소프트웨어 자재 명세서(BOM)가 조달 결정에 필수적이라고 생각합니다. 이는 단순한 규정 준수가 아니라, 상호 연결된 생태계에서 실질적인 취약성 관리를 의미합니다.

2. 내장형 보안 vs. 볼트온 보안 – 60%는 기존 솔루션보다 통합 사이버 보안을 우선시합니다. 의료 분야 리더들은 임시방편식 보안 조치가 정교한 공격에 효과가 없다는 것을 깨달았습니다.

3. 고급 런타임 보호 - 36%는 런타임 보호 기능이 있는 기기를 적극적으로 찾고 있으며, 38%는 이를 알고 있지만 아직 필요하지 않다고 답했습니다. 이는 초기 도입에서 주류 기대로 시장이 빠르게 진화하고 있음을 보여줍니다.

Health-ISAC 네비게이터인 RunSafe Security가 작성한 백서를 읽어보세요. Click Here

의료 사이버 보안 현황: 진행 상황과 함정

Written by 줄리아 아날로로 on . 에 게시 됨 뉴스에서, 의료기기 보안.

Health-ISAC의 필 잉글러트와 UI Health의 무라드 디케이덱이 건강 부문 보안의 과제에 대해 이야기하고 통찰력을 제공합니다.

보안 전문가 필 잉글러트와 무라드 디케이덱은 의료 분야가 사이버 회복력 측면에서 진전을 이루고 있지만 협업, 사이버 인력 문제, 예산 제약 등 뿌리 깊은 과제에 여전히 직면해 있어 적대 세력이 전술을 전환함에 따라 지속적인 적응과 우선순위 재조정이 필요하다고 말했습니다.

건강 정보 공유 및 분석 센터의 의료 기기 보안 부사장인 잉글러트는 "점점 더 자주 발생하고 있지만 여전히 충분하지 않은 일 중 하나는 정보 공유입니다."라고 말했습니다.

그는 정보 공유는 전체 의료 분야가 직면한 위협을 더 잘 이해하는 데 필수적일 수 있지만, 많은 기관에서는 의료 서비스 제공자가 어느 정도의 세부 정보를 공개해야 하는지에 대해 여전히 불확실성이 있다고 말했습니다.

Data Breach Today에서 이 대화를 읽거나 들어보세요. Click Here

Contec CMS8000 취약점

Written by 줄리아 아날로로 on . 에 게시 됨 의료기기 보안, 리소스 및 뉴스.

Contec CMS8000 취약점: 심각한 사이버보안 문제인가, 아니면 코딩 관행의 오류인가?

Health-ISAC 의료 기기 보안 블로그 in TechNation

작성자: Phil Englert, Health-ISAC 의료 기기 보안 담당 부사장

30년 2025월 25일, 사이버보안 및 인프라 보안국(CISA)은 Contec CMS030 환자 모니터의 심각한 취약점을 강조하는 의료 권고 ICSMA-01-8000-8000을 발표했습니다. 이러한 취약점에는 범위 외 쓰기(out-of-bounds write), 숨겨진 백도어 기능, 개인정보 유출 등이 포함되며, 환자 안전 및 데이터 보안에 심각한 위험을 초래합니다. 미국 식품의약국(FDA)도 같은 날 이러한 취약점과 관련된 위험을 강조하는 안전 관련 공지문을 발표했습니다. FDA는 Contec CMS120과 Epsimed MN-8000과 같은 재라벨링된 버전이 무단 사용자가 원격으로 제어하여 환자 데이터 및 기기 기능을 손상시킬 수 있다고 강조했습니다. CMS2005은 510년경 출시되었으며, 2011년 XNUMX월 FDA XNUMX(k) 승인을 받았습니다.

FDA는 의료 서비스 제공자와 환자를 위해 두 가지 권고안을 제시했습니다. 원격 모니터링 기능에 의존하는 경우 기기의 플러그를 뽑고 사용을 중단하십시오. 둘째, FDA는 무선 기능 비활성화 및 이더넷 케이블 분리와 같은 로컬 모니터링 기능만 사용할 것을 권고했습니다. 생리학적 모니터는 생명을 구하거나 생명을 유지하는 치료를 제공하지는 않지만, 고위험 환자의 상태를 모니터링하는 데 필수적입니다. 환자 모니터는 중앙에서 모니터링되어 환자 상태 변화를 간병인에게 신속하게 알립니다. 신속한 대응은 좋은 결과와 나쁜 결과를 가르는 중요한 요소입니다.

CISA가 공개하고 FDA, Claroty, Cylera가 분석한 Contec CMS8000 취약점은 의료 환경에서 강력한 사이버 보안 조치의 필요성을 강조합니다. 또한 취약점이 악의적인 의도보다는 안전하지 않은 설계에서 비롯될 수 있으며, 환자 안전 및 데이터 보안에 미치는 잠재적 영향을 과소평가해서는 안 됩니다. 의료 서비스 제공자는 이러한 위험을 완화하고 의료 기기의 무결성을 보장하기 위해 신속하게 조치를 취해야 합니다.

TechNation에서 전체 블로그를 읽어보세요. Click Here

 

HHS 인력 감축으로 의료 기기 사이버 보안에 문제가 생길 수 있다

Written by 줄리아 아날로로 on . 에 게시 됨 뉴스에서, 의료기기 보안.

HHS 예산 삭감으로 기존 의료 기기의 사이버 보안 보호에 대한 하원 소위원회 청문회가 빛을 보지 못했습니다.

"노후화된 기술, 새로운 위협: 기존 의료 기기의 사이버 보안 취약성 조사"에 대한 감독 및 조사 소위원회 토론에 참여한 패널리스트들은 FDA 직원 감축이 의료 기기 보안에 미치는 영향에 대해 질문을 받았습니다. 

"엄청나다"고 Northeastern University의 Khoury College of Computer Sciences에서 전기 및 컴퓨터 공학과 교수인 Kevin Fu는 말했습니다. Fu는 이전에 FDA의 Center for Devices and Radiological Health(CDRH)에서 의료 기기 사이버 보안의 초대 대행 이사를 역임했고 Digital Health Center of Excellence에서 사이버 보안 프로그램 이사를 역임했습니다.

Erik Decker, 부사장 겸 CISO 인터마운틴 보건부는 FDA가 사이버보안 노력에 있어 핵심 이해 관계자라고 밝혔습니다.

"그렇습니다. 영향이 있을 겁니다." 데커가 말했다. 

의료 기기 제조업체, 병원 및 FDA 파트너라고 그는 말했습니다. HHS, FDA 및 의료 산업은 Health Sector Coordinating Council(HSCC) Cybersecurity Working Group(CWG)에 수많은 태스크 그룹을 설립했습니다.

하지만 데커는 분석 결과 평균적으로 병원에서는 의료 기기 보안을 위해 권장하는 건강 산업 사이버 보안 관행(HICP)의 약 55%만 구현하고 있다고 밝혔습니다. 

데커는 위협 행위자에는 국가 단위 행위자, 조직 범죄, "해커 활동가" 및 내부 위협의 네 가지 그룹이 있다고 말했습니다. 

패널리스트이자 보건 부문 조정 위원회 사이버 보안 실무 그룹의 대표이사인 그렉 가르시아는 다음 주에 사이버 보안 보호를 위한 재정과 인력 측면에서 보건 시스템의 자원이 부족하다는 문제에 대한 백서를 발표할 것이라고 말했습니다.

Healthcare Finance News에서 전체 기사를 읽어보세요. Click Here

HTM 직원이 제안된 HIPAA 보안 규칙 변경에 대비할 수 있는 방법

Written by 줄리아 아날로로 on . 에 게시 됨 뉴스에서, 의료기기 보안.

Health-ISAC 의료 기기 보안 블로그 in TechNation

작성자: Phil Englert, Health-ISAC 의료 기기 보안 담당 부사장

 

27년 2024월 1996일, 미국 보건복지부(HHS)의 시민권 사무국(OCR)은 XNUMX년 건강보험 양도성 및 책임법(HIPAA) 보안 규칙을 개정하기 위한 제안된 규칙 제정 통지(NPRM)를 발표했습니다. 목표는 전자 건강 정보(ePHI)를 보호하는 사이버 보안 방어를 강화하는 것입니다. 이 제안된 업데이트는 사이버 위협이 증가하는 시대에 민감한 건강 정보를 보호하기 위한 사전 예방적 접근 방식을 나타냅니다.

제안된 개정안은 ePHI 보호를 강화하기 위한 몇 가지 중요한 조치를 강조합니다. 이러한 규칙 중 일부는 프로세스 지향적이며, 일부는 기술적입니다. 이러한 제안된 변경 사항을 조달 프로세스에 통합하면 조직이 변경 사항이 발효될 때 대비하는 데 도움이 됩니다. 다음은 의료 기기와 특히 관련된 선택 사항입니다.

TechNation에서 이 기사를 계속 읽어보세요. Click Here

의료 서비스 제공자를 위한 의료 기기 위험 영향 분석

Written by 줄리아 아날로로 on . 에 게시 됨 의료기기 보안, 리소스 및 뉴스.

Health-ISAC 의료 기기 보안 블로그 in TechNation

작성자: Phil Englert, Health-ISAC 의료 기기 보안 담당 부사장

의료 산업에서 의료기기의 안전성과 효능을 보장하는 것은 매우 중요합니다. 사이버 보안은 취약점에만 집중하는 경우가 많고, 취약점 분석은 중요하지만 그 범위가 너무 좁습니다. 취약점은 CVSS(Common Vulnerability Scoring System)를 사용하여 평가되는데, 이 시스템은 취약점의 위험성을 판단합니다. 이는 유용한 정보이지만, 제품 자체보다는 취약점이 존재하는 구성 요소 내의 취약점 위험을 고려합니다. 이러한 제한된 관점은 취약점이 특정 환경에 미치는 위험을 고려하지 못합니다. 위험을 평가할 때는 자산 중요성, 자산 사용 방식, 제품 또는 네트워크 내 통제 장치와 같은 맥락적 요소도 고려해야 합니다. 이러한 한계를 고려할 때, 의료기기 위험 영향 분석(MDRIA)은 의료 서비스 제공자가 의료기기와 관련된 위험을 식별, 평가 및 완화하는 데 도움이 되는 중요한 프로세스입니다. 이 글에서는 MDRIA의 필수 구성 요소를 간략하게 설명합니다.

TechNation에서 전체 블로그를 읽어보세요.  Click Here

위에 Industrial Cyber ​​로고가 있습니다. 이 기사의 스크린샷이 있는 TV 화면 이미지. 꺼낸 언급: 의료 기기 수명 주기 동안의 책임 전환 타임라인

Health-ISAC 백서에서는 의료 기기 수명 주기의 사이버 보안 책임을 강조하고 회복력에 초점을 맞춥니다.

Written by 줄리아 아날로로 on . 에 게시 됨 건강-ISAC, 뉴스에서, 기술서.

 

Health-ISAC은 의료 기기의 사이버 회복성을 유지하는 데 필요한 작업과 책임이 전체 제품 전반에 걸쳐 당사자 간에 어떻게 전이될 수 있는지에 대한 백서를 발표했습니다. 의료 기기가 수명 주기 단계를 거치면서 작업에 대한 책임이 제조업체와 고객 간에 전이될 수 있습니다. Health-ISAC 백서는 작업이 조정되고 제품 내의 보안 격차가 줄어들기 위해 기기가 수명 주기를 거치면서 두 당사자 간의 커뮤니케이션이 필수적이라고 밝힙니다.

의료 기기 수명 주기 동안 제조업체 및 의료 기관의 사이버 보안 역할 탐색'이라는 제목의 백서 그것을 확인했다 의료 기기는 4가지 수명 주기 단계를 거치며, 의료 기기 제조업체와 의료 제공 기관에 다양한 수준의 책임이 부여됩니다. 의료 제공 기관(HDO)은 수명 종료(EOL) 및 지원 종료(EOS)에 들어가면서 보다 정기적인 위험 평가를 수행하여 계속 사용할 경우의 위험을 감수할 수 있는지 확인해야 합니다. 또한 의료 기기의 사이버 보안 태세를 유지해야 하는 책임은 기기의 수명 주기 내내 진화한다는 점을 지적합니다. 

Industrial Cyber에서 전체 기사를 읽어보세요. Click Here

의료 기기 수명 주기 동안 제조업체 및 의료 기관의 사이버 보안 역할 탐색

Written by 줄리아 아날로로 on . 에 게시 됨 건강-ISAC, 의료기기 보안, 기술서.

 

TLP: 흰색 이 보고서는 제한 없이 공유될 수 있습니다.
Health-ISAC 회원은 Health-ISAC 위협 인텔리전스 포털(HTIP)에서 보고서 전체 버전을 다운로드해야 합니다.

주요 판단

  • 의료 기기는 4가지 수명 주기 단계를 거치며, 의료 기기 제조업체와 의료 서비스 제공 기관의 책임 수준도 다릅니다.

  • 의료 서비스 제공 기관에서는 제품 수명 종료 및 지원 종료 시점에 위험 평가를 정기적으로 실시하여 계속 사용에 따른 위험을 수용할 수 있는지 확인해야 합니다.

  • 제조업체는 개발 단계에서 보안 제어 범주를 구현하여 장치가 설계상 보안, 기본적으로 보안, 수요에 따라 보안되도록 보장합니다.

  • 문서화와 투명성은 사이버 보안을 유지하는 데 중요합니다. 여기에는 자세한 보안 문서, 소프트웨어 자재 청구서(SBOM), 취약성 및 업데이트에 대한 명확한 커뮤니케이션이 포함됩니다. 

 

이 백서를 다운로드하세요.

의료 기기 수명 주기 동안 제조업체 및 의료 기관의 사이버 보안 역할 탐색
크기 : 3.2 MB 형식 : PDF

개요

의료 기기가 더욱 상호 연결되고 인터넷 및 무선 통신 기능을 갖추게 되면서 수명 주기 단계와 보안 태세를 유지하는 데 필요한 작업을 이해하면 조직에서 사이버 보안 위협으로부터 기기를 보호하는 데 도움이 됩니다. 기기 수명 주기는 기기가 연구 개발, 출시, 그리고 결국 수명 종료 및 지원 종료까지 거치는 다양한 단계입니다. 의료 기기가 수명 주기 단계를 거치면서 작업에 대한 책임이 제조업체와 고객 간에 이전될 수 있습니다. 기기가 수명 주기를 거치면서 두 당사자 간의 커뮤니케이션이 필수적이므로 작업을 조정하고 제품 내의 보안 격차를 줄일 수 있습니다.

이 문서에서는 의료 기기의 사이버 회복력을 유지하는 데 필요한 작업과 전체 제품 전반에 걸쳐 당사자 간에 책임이 어떻게 전이될 수 있는지 살펴봅니다. 의료 기기의 사이버 보안 태세를 유지하는 책임은 기기의 수명 주기 내내 진화합니다. 이 프로세스는 설계 및 개발 단계에서 기기 제조업체에서 시작하여 임상적으로 사용되면 점점 더 Healthcare Delivery Organization(HDO)으로 전환될 수 있습니다. 국제 의료 기기 규제 기관 포럼(IMDRF)의 기존 의료 기기 사이버 보안 원칙 및 관행은 4가지 수명 주기 단계를 설명합니다. 식품의약국(FDA)은 출시 전 및 출시 후 지침에서 의료 기기의 사이버 보안에 대한 요구 사항을 제공합니다. 제조업체는 출시 전 요구 사항을 사용하여 설계 및 개발 중에 기기의 사이버 보안을 해결할 수 있습니다. 의료 기기가 시장에 출시된 후에도 사이버 보안 위험이 계속 진화하기 때문에 출시 후 요구 사항이 필요합니다.

의료 기기의 사이버 위험을 관리하는 방법 – 평생 동안

Written by 줄리아 아날로로 on . 에 게시 됨 뉴스에서, 의료기기 보안.

전문가, 증가하는 재고 관리에 대한 조언과 공급업체를 위한 리소스 제공

HSCC의 "건강 산업 사이버 보안 - 레거시 기술 보안 관리" 또는 HIC-MaLTS 지침은 조직에 레거시 의료 기술의 사이버 위험을 관리하는 데 사용할 수 있는 모범 사례를 제공한다고 건강 정보 공유 및 분석 센터의 의료 기기 보안 부사장인 필 잉글러트가 말했습니다.

HIC-MaLTS는 일반적인 의료 사이버 보안 과제를 해결합니다. 예를 들어, "다양한 유형의 의료 기기와 이를 사용하는 다양한 장소는 고유한 위험 프로필을 가지고 있으며, 병원, 진료소 및 기타 비임상 및 가정 의료 환경에서 사용할 수 있는 진단, 치료, 착용, 이식 및 소프트웨어 의료 기기 기능을 포함합니다."라고 그는 말했습니다.

또한 이 기사에서:

  • 의료 기기의 4가지 수명 주기 단계
  • 세분화 및 네트워크 액세스 제어와 결합된 "시스템 뷰" 인벤토리
  • HSCC의 Medtech 사이버 보안을 위한 모델 계약 언어 

여기에서 Healthcare Infosecurity 기사를 읽어보세요. Click Here

의료 분야의 사이버 보안 강화: Health-ISAC의 역할

Written by 줄리아 아날로로 on . 에 게시 됨 뉴스에서, 의료기기 보안.

Health-ISAC에 참여하면 의료 서비스 제공자가 다음과 같은 위험에 덜 취약해질 수 있습니다. 해킹 및 침해.

 

점점 더 정교해지고 만연한 사이버 위협의 시대에, 의료 서비스 제공자는 민감한 환자 데이터를 보호하고 시스템의 무결성을 유지하는 데 있어 고유한 과제에 직면합니다. 사이버 범죄와의 싸움에서 강력한 도구 중 하나는 Health Information Sharing and Analysis Center(Health-ISAC)에 참여하는 것입니다. 이 협력 조직은 의료 서비스 제공자가 해킹과 침해에 덜 취약하게 만듭니다.

Health-ISAC 멤버십의 가장 중요한 이점 중 하나는 실시간 위협 인텔리전스에 대한 액세스입니다. 사이버 위협은 빠르게 진화하고 있으며, 효과적인 방어를 위해서는 최신 정보를 보유하는 것이 중요합니다. Health-ISAC은 새로운 위협, 취약성 및 공격 벡터에 대한 정보를 수집하고 배포합니다. 이 인텔리전스를 통해 의료 서비스 제공자는 악의적인 행위자가 사전에 악용하기 전에 잠재적 위험을 해결할 수 있습니다. 예를 들어, 의료 시스템을 표적으로 하는 새로운 랜섬웨어 변종이 감지되면 Health-ISAC은 신속하게 멤버에게 경고하여 위협에 대한 세부 정보와 권장되는 완화 전략을 제공할 수 있습니다. 이러한 정보의 빠른 배포는 사소한 사고와 심각한 침해의 차이가 될 수 있습니다.

사이버보안은 단독으로 이루어지는 노력이 아닙니다.

TechNation에 실린 Health-ISAC 의료기기 보안 담당 부사장 Phil Englert의 전체 블로그를 읽어보세요. Click Here

AI, 랜섬웨어 및 의료 기기: 의료 보호

Written by 줄리아 아날로로 on . 에 게시 됨 뉴스에서.

McCrary Institute Cyber ​​Focus 팟캐스트

진행자 프랭크 실루포가 건강 정보 공유 및 분석 센터(Health ISAC)의 최고 보안 책임자인 에롤 바이스를 인터뷰합니다.

그들은 랜섬웨어, 공급망 취약성, 의료 기기와 환자 데이터를 보호하기 위한 더 나은 보안 조치의 절실한 필요성을 포함하여 의료 분야에서 진화하는 사이버 보안 과제에 대해 논의합니다. Weiss는 의료 및 금융 서비스 사이버 보안 분야에서의 광범위한 경험에서 얻은 통찰력을 공유하며, 얻은 교훈, 정보 공유의 역할, 위험을 완화하기 위한 사전 예방 조치의 중요성을 강조합니다.

YouTube에서 팟캐스트를 들어보세요 Click Here

항목은 다음과 같습니다 :

  • 건강과 랜섬웨어

  • 병원의 정전

  • 건강 사이버 예산

  • 컴플라이언스

  • FS의 교훈

  • 미래기술

  • 의료 기기

  • 부문 간 정보 공유

  • 보안을 향한 실질적인 단계