Ga naar hoofdinhoud

Bericht onderwerp: Beveiliging van medische apparaten

Ongrijpbare stilte: hoe MAUDE de roep om veiligere apparaten kan versterken

Geschreven door Julia Annaloro on . Geplaatst in Beveiliging van medische apparaten, Bronnen & Nieuws.

Blog over medische apparatuur door Phil Englert, Health-ISAC VP van Medical Device Security

Eigenaren van medische apparatuur raken steeds meer gefrustreerd door de beperkte informatie die fabrikanten van medische apparatuur delen over bekende maar niet openbaar gemaakte kwetsbaarheden in medische technologieën en de snelheid waarmee ze bekende kwetsbaarheden patchen. Het inzetten van MAUDE van de Food and Drug Administration kan een manier zijn om de snelheid te vergroten.

De MAUDE-database van de FDA – een afkorting voor Manufacturer and User Facility Device Experience – is een openbare database met meldingen van bijwerkingen van medische hulpmiddelen en maakt deel uit van de post-market surveillancestrategie van de FDA. Het primaire doel ervan is om de FDA te helpen de prestaties van hulpmiddelen te monitoren, potentiële veiligheidsproblemen op te sporen en baten-risicobeoordelingen te ondersteunen nadat hulpmiddelen op de markt zijn gebracht. Verplichte melders (zoals fabrikanten, importeurs en zorginstellingen) moeten meldingen indienen wanneer een hulpmiddel mogelijk een overlijden, ernstig letsel of een storing heeft veroorzaakt of daaraan heeft bijgedragen. Vrijwillige melders (zoals zorgprofessionals, patiënten of verzorgers) kunnen ook meldingen indienen als zij een probleem met het hulpmiddel waarnemen of ervaren.

Lees meer over MAUDE, inclusief een voorbeeld van een cybergerelateerd MAUDE-rapportverhaal, in TechNation.

Klik Hier

Beveiliging van medische apparatuur: wat kopers in de gezondheidszorg echt willen

Geschreven door Julia Annaloro on . Geplaatst in Beveiliging van medische apparaten, Witte papieren.

Cybersecurity is nu de poortwachter voor markttoegang

UITVOEREND BERICHT VAN DE MEDICAL DEVICE CYBERSECURITY INDEX VAN 2025

De gezondheidszorg heeft een keerpunt bereikt op het gebied van cyberbeveiliging. 22% van de zorginstellingen hebben cyberaanvallen meegemaakt die medische apparaten in gevaar brachten, waarvan 75% incidenten die direct van invloed zijn op de patiëntenzorg. Wanneer aanvallen de patiënt dwingen om naar een andere afdeling te gaan, faciliteiten - wat in bijna een kwart van de gevallen gebeurde - hebben we het niet meer over IT ongemak, maar medische noodgevallen.

 

DE VRAAG NAAR BEVEILIGING VAN MEDISCHE APPARATEN IS HOOG

1. Transparantie via SBOM's – 78% beschouwt softwarestuklijsten als essentieel bij inkoopbeslissingen. Dit gaat niet alleen om naleving van regelgeving, maar ook om praktisch kwetsbaarheidsbeheer in een onderling verbonden ecosysteem.

2. Ingebouwde versus extra beveiliging – 60% geeft prioriteit aan geïntegreerde cyberbeveiliging boven retrofitoplossingen. Leiders in de gezondheidszorg hebben geleerd dat pleisters op de wond niet werken tegen geavanceerde aanvallen.

3. Geavanceerde runtime-beveiliging - 36% is actief op zoek naar apparaten met runtime-beveiliging, terwijl nog eens 38% zich hiervan bewust is maar het nog niet nodig heeft. Dit wijst op een snelle marktontwikkeling van vroege acceptatie naar algemene verwachting.

Lees het whitepaper van RunSafe Security, een Health-ISAC Navigator. Klik Hier

De stand van zaken op het gebied van cyberbeveiliging in de gezondheidszorg: vooruitgang en valkuilen

Geschreven door Julia Annaloro on . Geplaatst in In het nieuws, Beveiliging van medische apparaten.

Phil Englert van Health-ISAC en Murad Dikeidek van UI Health spreken over de uitdagingen op het gebied van beveiliging in de gezondheidszorg en bieden inzichten.

Hoewel de gezondheidszorgsector vooruitgang boekt op het gebied van cyberweerbaarheid, kampt deze nog steeds met diepgewortelde uitdagingen, waaronder samenwerking, problemen met cyberpersoneel en budgetbeperkingen. Dit vereist een constante vraag naar aanpassing en herprioritering naarmate tegenstanders hun tactieken wijzigen, aldus beveiligingsexperts Phil Englert en Murad Dikeidek.

"Een van de dingen die we steeds meer zien gebeuren, en nog steeds niet genoeg, is het delen van informatie", aldus Englert, vice-president beveiliging van medische apparatuur bij het Health Information Sharing and Analysis Center.

Het delen van informatie kan van groot belang zijn om de sector als geheel een beter inzicht te geven in de bedreigingen waarmee zij te maken heeft. Toch heerst er bij veel organisaties nog steeds onzekerheid over de mate van detail die zorgverleners openbaar moeten maken, zei hij.

Lees of luister naar dit gesprek in Data Breach Today. Klik Hier

Contec CMS8000 kwetsbaarheid

Geschreven door Julia Annaloro on . Geplaatst in Beveiliging van medische apparaten, Bronnen & Nieuws.

Kwetsbaarheid in Contec CMS8000: een ernstig probleem met de cyberbeveiliging of een gebrekkige programmeerpraktijk?

Health-ISAC Medical Device Security Blog in TechNation

Geschreven door Phil Englert, Health-ISAC VP van Medical Device Security

Op 30 januari 2025 publiceerde de Cybersecurity and Infrastructure Security Agency (CISA) medisch advies ICSMA-25-030-01, waarin kritieke kwetsbaarheden in de Contec CMS8000-patiëntmonitoren werden benadrukt. Deze kwetsbaarheden – waaronder een out-of-bounds write, verborgen backdoor-functionaliteit en privacylekken – vormen aanzienlijke risico's voor de veiligheid van patiënten en de beveiliging van gegevens. De Amerikaanse Food and Drug Administration (FDA) publiceerde op dezelfde dag een veiligheidsmededeling waarin de risico's die aan deze kwetsbaarheden verbonden zijn, werden benadrukt. De FDA benadrukte dat de Contec CMS8000 en herlabelde versies, zoals de Epsimed MN-120, op afstand kunnen worden bediend door onbevoegde gebruikers, waardoor patiëntgegevens en de functionaliteit van het apparaat in gevaar kunnen komen. De CMS8000 kwam rond 2005 op de markt en kreeg in juni 510 FDA 2011(k)-goedkeuring.

De aanbevelingen van de FDA voor zorgverleners en patiënten waren tweeledig: Koppel het apparaat los en stop met het gebruik ervan als u afhankelijk bent van functies voor externe monitoring. Ten tweede adviseerde de FDA om alleen lokale monitoringfuncties te gebruiken, zoals het uitschakelen van draadloze mogelijkheden en het loskoppelen van ethernetkabels. Fysiologische monitors bieden geen levensreddende of levensverlengende behandeling, maar ze zijn essentieel voor het monitoren van de toestand van risicopatiënten. Patiëntmonitors worden centraal bewaakt om zorgverleners snel op de hoogte te stellen van veranderingen in de toestand van de patiënt. Een snelle reactie kan het verschil betekenen tussen goede en slechte resultaten.

De kwetsbaarheden in de Contec CMS8000, die door CISA zijn onthuld en door de FDA, Claroty en Cylera zijn geanalyseerd, onderstrepen de dringende noodzaak van robuuste cybersecuritymaatregelen in de zorg. Het benadrukt ook dat kwetsbaarheden mogelijk voortkomen uit een onveilig ontwerp in plaats van kwaadaardige bedoelingen; hun potentiële impact op de veiligheid van patiënten en gegevensbeveiliging mag niet worden onderschat. Zorgverleners moeten snel handelen om deze risico's te beperken en de integriteit van hun medische apparatuur te waarborgen.

Lees het volledige blog op TechNation. Klik Hier

 

Cyberbeveiliging van medische apparatuur kan worden uitgedaagd door personeelsbezuinigingen bij HHS

Geschreven door Julia Annaloro on . Geplaatst in In het nieuws, Beveiliging van medische apparaten.

Hoorzitting van subcommissie van het Huis van Afgevaardigden over cyberbeveiliging van oudere medische apparatuur overschaduwd door bezuinigingen op HHS.

Panelleden die deelnamen aan de discussie van de Toezicht- en Onderzoekscommissie over "Verouderende technologie, opkomende bedreigingen: onderzoek naar kwetsbaarheden in de cyberbeveiliging van oudere medische apparaten" kregen vragen over de impact van personeelsreducties bij de FDA op de beveiliging van medische apparaten. 

"Geweldig", zei Kevin Fu, hoogleraar van de afdeling Electrical and Computer Engineering aan het Khoury College of Computer Sciences aan de Northeastern University. Fu was voorheen de eerste waarnemend directeur van Medical Device Cybersecurity bij het Center for Devices and Radiological Health (CDRH) van de FDA en programmadirecteur voor Cybersecurity bij het Digital Health Center of Excellence.

Erik Decker, vice-president en CISO bij Tussen de bergen Volgens Health is de FDA een belangrijke belanghebbende bij cyberbeveiligingsinspanningen.

"Ja, het zal impact hebben", zei Decker. 

Fabrikanten van medische apparatuur, ziekenhuizen en de FDA werken samen, zei hij. HHS, de FDA en de gezondheidszorgindustrie hebben talloze taakgroepen opgericht onder de Health Sector Coordinating Council (HSCC) Cybersecurity Working Group (CWG).

Uit analyses blijkt echter dat ziekenhuizen gemiddeld slechts 55% van de door de Health Industry Cybersecurity Practices (HICP) aanbevolen praktijken voor de beveiliging van medische apparatuur hebben geïmplementeerd, aldus Decker. 

Decker zei dat er vier groepen dreigingsactoren zijn: actoren van natiestaten, georganiseerde misdaad, 'hacktivisten' en insider-dreigingen. 

Panellid Greg Garcia, directeur van de Health Sector Coordinating Council Cybersecurity Working Group, zei dat er volgende week een whitepaper wordt gepubliceerd over de manier waarop zorgstelsels te weinig financiële middelen en personeel hebben voor cyberbeveiliging.

Lees het volledige artikel in Healthcare Finance News. Klik Hier

Hoe HTM-personeel zich kan voorbereiden op de voorgestelde wijzigingen in de HIPAA-beveiligingsregels

Geschreven door Julia Annaloro on . Geplaatst in In het nieuws, Beveiliging van medische apparaten.

Health-ISAC Medical Device Security Blog in TechNation

Geschreven door Phil Englert, Health-ISAC VP van Medical Device Security

 

Op 27 december 2024 heeft het Office for Civil Rights (OCR) van het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) een Notice of Proposed Rulemaking (NPRM) uitgegeven om de Health Insurance Portability and Accountability Act van 1996 (HIPAA) Security Rule te wijzigen. Het doel is om cybersecurity-verdedigingen te versterken die elektronische gezondheidsinformatie (ePHI) beschermen. Deze voorgestelde update vertegenwoordigt een proactieve benadering om gevoelige gezondheidsinformatie te beschermen in een tijdperk van toenemende cyberdreigingen.

De voorgestelde wijzigingen benadrukken verschillende cruciale maatregelen om de ePHI-bescherming te versterken. Sommige van deze regels zijn procesgericht en verschillende zijn technisch. Het opnemen van deze voorgestelde wijzigingen in het inkoopproces zal organisaties helpen zich voor te bereiden op de wijzigingen wanneer deze van kracht worden. Hier is een selectie die specifiek relevant is voor medische hulpmiddelen.

Lees dit artikel verder op TechNation. Klik Hier

Risico-impactanalyse van medische hulpmiddelen voor zorgverleners

Geschreven door Julia Annaloro on . Geplaatst in Beveiliging van medische apparaten, Bronnen & Nieuws.

Health-ISAC Medical Device Security Blog in TechNation

Geschreven door Phil Englert, Health-ISAC VP van Medical Device Security

In de gezondheidszorg is het waarborgen van de veiligheid en effectiviteit van medische hulpmiddelen van het grootste belang. Cybersecurity richt zich te vaak op kwetsbaarheden en hoewel belangrijk, is de kwetsbaarheidsanalyse te beperkt. Kwetsbaarheden worden beoordeeld met behulp van het Common Vulnerability Scoring System (CVSS), dat probeert te bepalen hoe gevaarlijk een kwetsbaarheid is. Dit is nuttige informatie, maar houdt rekening met het kwetsbaarheidsrisico binnen het onderdeel waarin het zich bevindt in plaats van het product. Deze beperkte visie houdt geen rekening met de risico's die de kwetsbaarheid vormt voor een specifieke omgeving. Contextuele factoren zoals het belang van activa, hoe de activa worden gebruikt of de bestaande controles, zowel binnen het product als binnen het netwerk, moeten ook worden meegenomen bij de risicobeoordeling. Gezien deze beperkingen is het uitvoeren van een Medical Device Risk Impact Analysis (MDRIA) een cruciaal proces dat zorgverleners helpt bij het identificeren, beoordelen en beperken van risico's die verband houden met medische hulpmiddelen. Dit essay schetst de essentiële onderdelen van een MDRIA.

Lees het volledige blog op TechNation.  Klik Hier

Industrial Cyber-logo bovenaan Afbeelding van een tv-scherm met een screenshot van dit artikel erop. Getrokken vermelding: Tijdlijn van verschuivende verantwoordelijkheden tijdens de levenscyclus van medische apparatuur

Het Health-ISAC-whitepaper benadrukt de verantwoordelijkheden op het gebied van cyberbeveiliging in de levenscyclus van medische apparatuur en richt zich op veerkracht

Geschreven door Julia Annaloro on . Geplaatst in Gezondheid-ISAC, In het nieuws, Witte papieren.

 

Health-ISAC publiceerde een whitepaper waarin de taken worden behandeld die nodig zijn om de cyberveerkracht van medische apparaten te behouden en hoe de verantwoordelijkheden van partij tot partij kunnen verschuiven in het totale product. Naarmate medische apparaten door de levenscyclusfasen gaan, kan de verantwoordelijkheid voor taken worden overgedragen tussen de fabrikanten en de klant. De Health-ISAC whitepaper identificeert dat communicatie tussen de twee partijen essentieel is naarmate het apparaat door de levenscyclus gaat, zodat taken worden gecoördineerd en beveiligingslekken in het product worden verkleind.

Het whitepaper, getiteld 'Exploring the Cybersecurity Roles of Manufacturers and Healthcare Organizations During the Medical Device Lifecycle', heeft dat geïdentificeerd medische apparaten doorlopen vier levenscyclusfasen, met verschillende niveaus van verantwoordelijkheden die worden gelegd bij de fabrikant van het medische apparaat en de zorgverlenende organisatie. Zorgverlenende organisaties (HDO's) zouden regelmatiger risicobeoordelingen moeten uitvoeren aan het einde van de levensduur (EOL) en het einde van de ondersteuning (EOS) om te bepalen of ze het risico van voortgezet gebruik kunnen accepteren. Het wijst er ook op dat de verantwoordelijkheid voor het handhaven van de cybersecurity-houding van een medisch apparaat evolueert gedurende de levenscyclus van een apparaat. 

Lees het volledige artikel in Industrial Cyber. Klik Hier

Onderzoek naar de cybersecurityrollen van fabrikanten en zorginstellingen tijdens de levenscyclus van medische apparatuur

Geschreven door Julia Annaloro on . Geplaatst in Gezondheid-ISAC, Beveiliging van medische apparaten, Witte papieren.

 

TLP: WIT Dit rapport mag zonder beperking worden gedeeld.
Leden van Health-ISAC moeten ervoor zorgen dat ze de volledige versie van het rapport downloaden van de Health-ISAC Threat Intelligence Portal (HTIP)

Belangrijke oordelen

  • Medische hulpmiddelen doorlopen vier levenscyclusfasen, waarbij de fabrikant van het medische hulpmiddel en de zorgverlenende organisatie verschillende verantwoordelijkheden hebben.

  • Zorginstellingen moeten vaker risicobeoordelingen uitvoeren aan het einde van de levensduur en het einde van de ondersteuning om te bepalen of zij het risico van voortgezet gebruik kunnen accepteren.

  • De fabrikant implementeert beveiligingscontrolecategorieën in de ontwikkelingsfase om ervoor te zorgen dat het apparaat veilig is door ontwerp, veilig door standaardinstellingen en veilig op aanvraag.

  • Documentatie en transparantie zijn cruciaal bij het handhaven van cybersecurity. Dit omvat het verstrekken van gedetailleerde beveiligingsdocumentatie, een Software Bill of Materials (SBOM) en duidelijke communicatie over kwetsbaarheden en updates. 

 

Download dit whitepaper.

Onderzoek naar de cybersecurityrollen van fabrikanten en zorginstellingen tijdens de levenscyclus van medische apparatuur
Grootte: 3.2 MB formaat: PDF

Introductie

Naarmate medische apparaten meer met elkaar verbonden raken en internet- en draadloze communicatiemogelijkheden hebben, zal het begrijpen van de levenscyclusfasen en de taken die nodig zijn om hun beveiligingshouding te behouden, organisaties helpen apparaten te beveiligen tegen cyberbeveiligingsbedreigingen. De levenscyclus van het apparaat is de verschillende fases die een apparaat doorloopt, van onderzoek en ontwikkeling, op de markt en uiteindelijk het einde van de levensduur en het einde van de ondersteuning. Naarmate medische apparaten door de levenscyclusfasen gaan, kan de verantwoordelijkheid voor taken worden overgedragen tussen de fabrikanten en de klant. Communicatie tussen de twee partijen is essentieel naarmate het apparaat door de levenscyclus gaat, zodat taken worden gecoördineerd en beveiligingshiaten binnen het product worden verkleind.

Dit document onderzoekt de taken die nodig zijn om de cyberveerkracht van medische apparaten te behouden en hoe de verantwoordelijkheden van partij tot partij kunnen verschuiven in het totale product. De verantwoordelijkheid voor het behouden van de cybersecurityhouding van een medisch apparaat evolueert gedurende de levenscyclus van een apparaat. Het proces begint bij de fabrikant van het apparaat tijdens de ontwerp- en ontwikkelingsfase en kan steeds meer verschuiven naar de Healthcare Delivery Organization (HDO) zodra het apparaat klinisch wordt gebruikt. De Principles and Practices for the Cybersecurity of Legacy Medical Devices van het International Medical Device Regulators Forum (IMDRF) schetst vier levenscyclusfasen. De Food and Drug Administration (FDA) stelt vereisten op voor de cybersecurity van medische apparaten in de pre- en post-market-richtlijnen. Fabrikanten kunnen de cybersecurity van een apparaat aanpakken tijdens ontwerp en ontwikkeling met behulp van de premarket-vereisten. Post-market-vereisten zijn nodig vanwege cybersecurityrisico's die zich blijven ontwikkelen nadat het medische apparaat op de markt komt.

Hoe u cyberrisico's van medische apparaten beheert – voor het leven

Geschreven door Julia Annaloro on . Geplaatst in In het nieuws, Beveiliging van medische apparaten.

Deskundigen bieden advies voor het beheren van groeiende voorraden, bronnen voor leveranciers

De richtlijnen van de HSCC 'Health Industry Cybersecurity – Managing Legacy Technology Security' (HIC-MaLTS) bieden organisaties best practices die kunnen worden gebruikt om cyberrisico's van verouderde medische technologieën te beheren, aldus Phil Englert, vice-president van de afdeling beveiliging van medische apparaten bij het Health Information Sharing and Analysis Center.

HIC-MaLTS pakt veelvoorkomende uitdagingen op het gebied van cybersecurity in de gezondheidszorg aan. Bijvoorbeeld, "veel verschillende soorten medische apparaten en de diverse locaties waar ze worden gebruikt, hebben unieke risicoprofielen en omvatten diagnostische, therapeutische, draagbare, implanteerbare en software-as-a-medische apparaatfuncties, onder andere, die kunnen worden gebruikt in ziekenhuizen, klinieken en andere niet-klinische en thuiszorgomgevingen," zei hij.

Ook in dit artikel:

  • vier levenscyclusfasen van medische hulpmiddelen
  • “System-view”-inventarissen gecombineerd met segmentatie en netwerktoegangscontroles
  • Modelcontracttaal van HSCC voor Medtech Cybersecurity 

Lees hier het artikel in Healthcare Infosecurity. Klik Hier

Verbetering van cyberbeveiliging in de gezondheidszorg: de rol van Health-ISAC

Geschreven door Julia Annaloro on . Geplaatst in In het nieuws, Beveiliging van medische apparaten.

Deelname aan Health-ISAC kan zorgverleners minder vatbaar maken voor hacks en inbreuken.

 

In een tijdperk van steeds geavanceerdere en wijdverspreidere cyberdreigingen, worden zorgverleners geconfronteerd met unieke uitdagingen bij het beschermen van gevoelige patiëntgegevens en het handhaven van de integriteit van hun systemen. Een krachtig hulpmiddel in de strijd tegen cybercriminaliteit is deelname aan het Health Information Sharing and Analysis Center (Health-ISAC). Deze samenwerkingsorganisatie maakt zorgverleners minder vatbaar voor hacks en inbreuken.

Een van de belangrijkste voordelen van Health-ISAC-lidmaatschap is toegang tot realtime threat intelligence. Cyberdreigingen ontwikkelen zich snel en up-to-date informatie is cruciaal voor effectieve verdediging. Health-ISAC verzamelt en verspreidt informatie over opkomende bedreigingen, kwetsbaarheden en aanvalsvectoren. Deze intelligentie stelt zorgverleners in staat om potentiële risico's aan te pakken voordat kwaadwillende actoren deze proactief kunnen exploiteren. Als er bijvoorbeeld een nieuwe ransomware-stam wordt gedetecteerd die gericht is op gezondheidszorgsystemen, kan Health-ISAC haar leden snel waarschuwen en details verstrekken over de bedreiging en aanbevolen mitigatiestrategieën. Deze snelle verspreiding van informatie kan het verschil maken tussen een klein incident en een significante inbreuk.

Cybersecurity is geen eenzame aangelegenheid.

Lees de volledige blog van Phil Englert, VP Medical Device Security bij Health-ISAC, in TechNation. Klik Hier

AI, ransomware en medische apparaten: de gezondheidszorg beschermen

Geschreven door Julia Annaloro on . Geplaatst in In het nieuws.

McCrary Institute Cyber ​​Focus-podcast

Presentator Frank Cilluffo interviewt Errol Weiss, Chief Security Officer bij het Health Information Sharing and Analysis Center (Health ISAC).

Ze bespreken de evoluerende cybersecurity-uitdagingen in de gezondheidszorgsector, waaronder ransomware, kwetsbaarheden in de toeleveringsketen en de cruciale behoefte aan betere beveiligingsmaatregelen om medische apparaten en patiëntgegevens te beschermen. Weiss deelt inzichten uit zijn uitgebreide ervaring in cybersecurity in zowel de gezondheidszorg als financiële dienstverlening, waarbij hij de geleerde lessen, de rol van informatiedeling en het belang van proactieve maatregelen om risico's te beperken, benadrukt.

Luister naar de podcast op YouTube Klik Hier

Onderwerpen zijn onder meer:

  • Gezondheid en ransomware

  • Stroomuitval in ziekenhuizen

  • Gezondheidscyberbudgetten

  • Beveiliging en naleving

  • Lessen uit FS

  • Toekomstige technologie

  • Medische hulpmiddelen

  • Informatie delen tussen sectoren

  • Praktische stappen richting veiligheid