Hopp til hovedinnhold

Innleggsemne: Sikkerhet for medisinsk utstyr

Ufangbar stillhet: Hvordan MAUDE kan forsterke kravet om tryggere enheter

Written by Julia Annaloro on . Skrevet i Sikkerhet for medisinsk utstyr, Ressurser og nyheter.

Blogg om medisinsk utstyr av Phil Englert, visepresident for sikkerhet innen medisinsk utstyr hos Health-ISAC

Eiere av medisinsk utstyr blir stadig mer frustrerte over den begrensede informasjonen produsenter av medisinsk utstyr deler om kjente, men ikke avslørte sårbarheter i medisinsk teknologi, og hvor raskt de oppdaterer kjente sårbarheter. Å utnytte Food and Drug Administrations MAUDE-system kan være en måte å fremme effektivitet på.

FDAs MAUDE-database – forkortelse for Manufacturer and User Facility Device Experience – er et offentlig arkiv over bivirkningsrapporter som involverer medisinsk utstyr, og er en del av FDAs strategi for overvåking etter markedsføring. Hovedformålet er å hjelpe FDA med å overvåke utstyrets ytelse, oppdage potensielle sikkerhetsproblemer og støtte nytte-risikovurderinger etter at utstyr er på markedet. Obligatoriske rapporteringspersoner (som produsenter, importører og helseinstitusjoner) må sende inn rapporter når et utstyr kan ha forårsaket eller bidratt til død, alvorlig skade eller funksjonsfeil. Frivillige rapporteringspersoner (som helsepersonell, pasienter eller omsorgspersoner) kan også sende inn rapporter hvis de observerer eller opplever et utstyrsrelatert problem.

Les mer om MAUDE, inkludert en eksempel på en cyberrelatert MAUDE-rapportfortelling, i TechNation.

Klikk her

Medisinsk utstyrssikkerhet: Hva helsekunder virkelig ønsker seg

Written by Julia Annaloro on . Skrevet i Sikkerhet for medisinsk utstyr, white Paper.

Nettsikkerhet er nå portvokteren til markedsadgang

LEDERENS SAMMENFATTNING FRA CYBERSIKKERHETSINDEKSEN FOR MEDISINSK UTSTYR 2025

Helsevesenet har nådd et vippepunkt innen cybersikkerhet. 22 % av helseorganisasjonene har opplevd cyberangrep som har kompromittert medisinsk utstyr, med 75 % av disse hendelser som direkte påvirker pasientbehandlingen. Når angrep tvinger pasienten til å overføres til andre steder anlegg – noe som skjedde i nesten en fjerdedel av tilfellene – snakker vi ikke lenger om IT ulempe, men medisinske nødsituasjoner.

 

ETTERSPØRSELEN ETTER SIKKERHET FOR MEDISINSK UTSTYR ER HØY

1. Åpenhet gjennom SBOM-er – 78 % anser programvarefortegnelser som essensielle i anskaffelsesbeslutninger. Dette handler ikke bare om samsvar med regelverk – det er praktisk sårbarhetshåndtering i et sammenkoblet økosystem.

2. Innebygd kontra påbyggbar sikkerhet – 60 % prioriterer integrerte cybersikkerhetstiltak fremfor ettermonterte løsninger. Ledere innen helsevesenet har lært at plaster på sikkerhetstiltak mislykkes mot sofistikerte angrep.

3. Avansert beskyttelse ved kjøring - 36 % søker aktivt etter enheter med runtime-beskyttelse, mens ytterligere 38 % er klar over det, men ikke trenger det ennå – noe som tyder på rask markedsutvikling fra tidlig adopsjon til vanlige forventninger.

Les rapporten fra RunSafe Security, en Health-ISAC Navigator. Klikk her

Status for cybersikkerhet i helsevesenet: Fremgang og fallgruver

Written by Julia Annaloro on . Skrevet i På nyhetene, Sikkerhet for medisinsk utstyr.

Phil Englert fra Health-ISAC og Murad Dikeidek fra UI Health snakker om utfordringene knyttet til sikkerhet i helsesektoren og gir innsikt.

Selv om helsesektoren gjør fremskritt innen cyberrobusthet, står den fortsatt overfor dyptliggende utfordringer, inkludert samarbeid, problemer med cyberarbeidsstyrken og budsjettbegrensninger, noe som nødvendiggjør et konstant krav om tilpasning og omprioritering etter hvert som motstandere endrer taktikk, sier sikkerhetsekspertene Phil Englert og Murad Dikeidek.

«En av tingene vi ser skjer mer og mer, og fortsatt ikke nok, er informasjonsdeling», sa Englert, visepresident for medisinsk utstyrssikkerhet ved Health Information Sharing and Analysis Center.

Informasjonsdeling kan være avgjørende for å hjelpe sektoren som helhet med å bedre forstå truslene den står overfor, men det er fortsatt usikkerhet i mange organisasjoner om hvor mye informasjon helsepersonell bør offentliggjøre, sa han.

Les eller lytt til denne samtalen i Data Breach Today. Klikk her

Contec CMS8000-sårbarhet

Written by Julia Annaloro on . Skrevet i Sikkerhet for medisinsk utstyr, Ressurser og nyheter.

Contec CMS8000-sårbarhet: Et kritisk cybersikkerhetsproblem eller dårlig kodepraksis?

Health-ISAC Medical Device Security Blog i TechNation

Skrevet av Phil Englert, Health-ISAC VP of Medical Device Security

Den 30. januar 2025 publiserte Cybersecurity and Infrastructure Security Agency (CISA) medisinsk rådgivning ICSMA-25-030-01, som fremhever kritiske sårbarheter i Contec CMS8000 pasientmonitorer. Disse sårbarhetene – som inkluderer skrivefeil utenfor grensene, skjult bakdørfunksjonalitet og personvernlekkasje – utgjør betydelige risikoer for pasientsikkerhet og datasikkerhet. Det amerikanske mat- og legemiddeltilsynet (FDA) utstedte en sikkerhetsmelding samme dag, som understreket risikoene forbundet med disse sårbarhetene. FDA fremhevet at Contec CMS8000 og ommerkede versjoner, som Epsimed MN-120, kan fjernstyres av uautoriserte brukere, noe som potensielt kan kompromittere pasientdata og enhetsfunksjonalitet. CMS8000 kom på markedet rundt 2005 og fikk FDA 510(k)-godkjenning i juni 2011.

FDAs anbefalinger for helsepersonell og pasienter var todelte: Koble fra og slutt å bruke enheten hvis du er avhengig av eksterne overvåkingsfunksjoner. For det andre anbefalte FDA å kun bruke lokale overvåkingsfunksjoner, for eksempel å deaktivere trådløse funksjoner og koble fra Ethernet-kabler. Fysiologiske monitorer gir ikke livreddende eller livsforlengende behandling, men de er viktige for å overvåke tilstanden til risikopasienter. Pasientmonitorer overvåkes sentralt for å raskt varsle omsorgspersoner om endringer i pasientens tilstand. Rask respons kan være forskjellen mellom gode og dårlige utfall.

Sårbarhetene i Contec CMS8000, som ble avslørt av CISA og analysert av FDA, Claroty og Cylera, fremhever det kritiske behovet for robuste cybersikkerhetstiltak i helsevesenet. Det fremhever også at sårbarheter kan stamme fra usikker design snarere enn ondsinnede hensikter, og deres potensielle innvirkning på pasientsikkerhet og datasikkerhet kan ikke undervurderes. Helsepersonell bør handle raskt for å redusere disse risikoene og sikre integriteten til medisinsk utstyr.

Les hele blogginnlegget i TechNation. Klikk her

 

Medisinsk utstyrs cybersikkerhet kan bli utfordret av HHS bemanningskutt

Written by Julia Annaloro on . Skrevet i På nyhetene, Sikkerhet for medisinsk utstyr.

Høring i husets underutvalg om nettsikkerhetsbeskyttelse for eldre medisinsk utstyr overskygget av HHS-kutt.

Paneldeltakere som deltok i tilsyns- og undersøkelsesunderutvalgets diskusjon om "Aldringsteknologi, nye trusler: Undersøkelse av cybersikkerhetssårbarheter i eldre medisinske enheter" ble spurt om virkningen av FDA-reduksjoner på medisinsk utstyrssikkerhet. 

"Enormt," sa Kevin Fu, professor fra avdelingen for elektro- og datateknikk ved Khoury College of Computer Sciences ved Northeastern University. Fu fungerte tidligere som den første fungerende direktøren for Medical Device Cybersecurity ved FDAs Center for Devices and Radiological Health (CDRH) og programdirektør for Cybersecurity ved Digital Health Center of Excellence.

Erik Decker, visepresident og CISO kl Interfjell Helse, sa FDA er en nøkkelaktør i cybersikkerhetsarbeid.

"Ja, det vil ha en innvirkning," sa Decker. 

Produsenter av medisinsk utstyr, sykehus og FDA-partneren, sa han. HHS, FDA og helsesektoren har etablert en rekke arbeidsgrupper under Health Sector Coordinating Council (HSCC) Cybersecurity Working Group (CWG).

Imidlertid, sa Decker, viser analyse at i gjennomsnitt har sykehus bare rundt 55 % av helseindustriens cybersikkerhetspraksis (HICP) anbefalt praksis for medisinsk utstyrssikkerhet implementert. 

Decker sa at det er fire grupper trusselaktører: nasjonalstatsaktører, organisert kriminalitet, "hacktivister" og innsidetrusler. 

Paneldeltaker Greg Garcia, administrerende direktør, Health Sector Coordinating Council Cybersecurity Working Group, sa neste uke at de vil gi ut en hvitbok om hvordan helsesystemer er undersourcet i økonomi og bemanning for nettsikkerhetsbeskyttelse.

Les hele artikkelen i Healthcare Finance News. Klikk her

Hvordan HTM-ansatte kan forberede seg på de foreslåtte endringene i HIPAA-sikkerhetsregelen

Written by Julia Annaloro on . Skrevet i På nyhetene, Sikkerhet for medisinsk utstyr.

Health-ISAC Medical Device Security Blog i TechNation

Skrevet av Phil Englert, Health-ISAC VP of Medical Device Security

 

27. desember 2024 utstedte Office for Civil Rights (OCR) ved US Department of Health and Human Services (HHS) en Notice of Proposed Rulemaking (NPRM) for å endre sikkerhetsregelen for helseforsikringsportabilitet og ansvarlighet fra 1996 (HIPAA). Målet er å styrke cybersikkerhetsforsvar som beskytter elektronisk helseinformasjon (ePHI). Denne foreslåtte oppdateringen representerer en proaktiv tilnærming til å beskytte sensitiv helseinformasjon i en tid med eskalerende cybertrusler.

De foreslåtte endringene fremhever flere kritiske tiltak for å styrke ePHI-beskyttelsen. Noen av disse reglene er prosessorienterte, og flere er tekniske. Å inkludere disse foreslåtte endringene i anskaffelsesprosessen vil hjelpe organisasjoner med å forberede seg på endringene når de trer i kraft. Her er et utvalg spesielt relevant for medisinsk utstyr.

Fortsett å lese denne artikkelen i TechNation. Klikk her

Risikokonsekvensanalyse av medisinsk utstyr for helsepersonell

Written by Julia Annaloro on . Skrevet i Sikkerhet for medisinsk utstyr, Ressurser og nyheter.

Health-ISAC Medical Device Security Blog i TechNation

Skrevet av Phil Englert, Health-ISAC VP of Medical Device Security

I helsevesenet er det avgjørende å sikre sikkerheten og effektiviteten til medisinsk utstyr. Altfor ofte fokuserer cybersikkerhet på sårbarheter, og selv om det er viktig, er sårbarhetsanalysen for snever. Sårbarheter evalueres ved hjelp av Common Vulnerability Scoring System (CVSS), som forsøker å bestemme hvor farlig en sårbarhet er. Dette er nyttig informasjon, men vurderer sårbarhetsrisikoen i komponenten den ligger i, snarere enn produktet. Dette begrensede synet unnlater å vurdere risikoen sårbarheten utgjør for et bestemt miljø. Kontekstuelle faktorer som viktighet av eiendeler, hvordan eiendelen brukes, eller kontrollene som er på plass, enten i produktet eller i nettverket, må også vurderes når man vurderer risiko. Gitt disse begrensningene er det å gjennomføre en risikokonsekvensanalyse for medisinsk utstyr (MDRIA) en kritisk prosess som hjelper helsepersonell med å identifisere, vurdere og redusere risikoer forbundet med medisinsk utstyr. Dette essayet skisserer de viktigste komponentene i en MDRIA.

Les hele blogginnlegget i TechNation.  Klikk her

Industrial Cyber-logo på toppen Bilde av en TV-skjerm med et skjermbilde av denne artikkelen på. Trekk omtale: Tidslinje for skiftende ansvar i løpet av livssyklusen for medisinsk utstyr

Helse-ISAC-hvitbok fremhever cybersikkerhetsansvar i medisinsk utstyrs livssyklus, fokuserer på motstandskraft

Written by Julia Annaloro on . Skrevet i Helse-ISAC, På nyhetene, white Paper.

 

Health-ISAC publiserte en whitepaper som tar for seg oppgavene som trengs for å opprettholde cyberresiliensen til medisinsk utstyr og hvordan ansvaret kan skifte fra part til parti gjennom hele produktet. Etter hvert som medisinsk utstyr beveger seg gjennom livssyklusfasene, kan ansvaret for oppgavene overføres mellom produsentene og kunden. Helse-ISAC-hvitboken identifiserer at kommunikasjon mellom de to partene er avgjørende ettersom enheten beveger seg gjennom livssyklusen, slik at oppgavene koordineres, og sikkerhetshull i produktet reduseres.

Med tittelen "Utforsking av cybersikkerhetsrollene til produsenter og helseorganisasjoner under livssyklusen for medisinsk utstyr," hvitboken identifiserte det medisinsk utstyr går gjennom fire livssyklusfaser, med varierende ansvarsnivåer plassert på produsenten av det medisinske utstyret og organisasjonen for helsetjenester. Organisasjoner for levering av helsetjenester (HDO-er) bør utføre mer regelmessige risikovurderinger inn i livets slutt (EOL) og slutten av støtte (EOS) for å avgjøre om de kan akseptere risikoen ved fortsatt bruk. Den påpeker også at ansvaret for å opprettholde en medisinsk enhets cybersikkerhetsstilling utvikler seg gjennom hele livssyklusen til en enhet. 

Les hele artikkelen i Industrial Cyber. Klikk her

Utforske cybersikkerhetsrollene til produsenter og helseorganisasjoner i løpet av livssyklusen for medisinsk utstyr

Written by Julia Annaloro on . Skrevet i Helse-ISAC, Sikkerhet for medisinsk utstyr, white Paper.

 

TLP: HVIT Denne rapporten kan deles uten begrensninger.
Health-ISAC-medlemmer sørg for å laste ned den fullstendige versjonen av rapporten fra Health-ISAC Threat Intelligence Portal (HTIP)

Nøkkeldommer

  • Medisinsk utstyr går gjennom fire livssyklusfaser, med varierende ansvarsnivåer plassert på produsenten av medisinsk utstyr og organisasjonen for helsetjenester.

  • Organisasjoner for helsetjenester bør utføre mer regelmessige risikovurderinger for å gå inn i End of Life og End of Support for å avgjøre om de kan akseptere risikoen ved fortsatt bruk.

  • Produsenten implementerer sikkerhetskontrollkategorier i utviklingsfasen for å sikre at enheten er Secure by Design, Secure by Default og Secure by Demand.

  • Dokumentasjon og åpenhet er avgjørende for å opprettholde cybersikkerhet. Dette inkluderer å gi detaljert sikkerhetsdokumentasjon, en Software Bill of Materials (SBOM) og tydelig kommunikasjon om sårbarheter og oppdateringer. 

 

Last ned denne hvitboken.

Utforsker cybersikkerhetsrollene til produsenter og helseorganisasjoner i løpet av livssyklusen for medisinsk utstyr
Størrelse: 3.2 MB Format: PDF

Introduksjon

Etter hvert som medisinsk utstyr blir mer sammenkoblet og har internett- og trådløs kommunikasjonsevne, vil forståelse av livssyklusstadiene og oppgavene som trengs for å opprettholde deres sikkerhetsstilling hjelpe organisasjoner med å sikre enheter mot cybersikkerhetstrusler. Enhetens livssyklus er de ulike stadiene en enhet vil gå gjennom, fra forskning og utvikling, på markedet, og til slutt, slutten av levetiden og slutten av støtten. Etter hvert som medisinsk utstyr beveger seg gjennom livssyklusfasene, kan ansvaret for oppgavene overføres mellom produsentene og kunden. Kommunikasjon mellom de to partene er avgjørende ettersom enheten beveger seg gjennom livssyklusen slik at oppgavene koordineres, og sikkerhetshull i produktet reduseres.

Dette dokumentet utforsker oppgavene som trengs for å opprettholde cyberresiliensen til medisinsk utstyr og hvordan ansvaret kan flyttes fra part til parti gjennom hele produktet. Ansvaret for å opprettholde en medisinsk enhets cybersikkerhetsstilling utvikler seg gjennom hele livssyklusen til en enhet. Prosessen begynner med enhetsprodusenten under design- og utviklingsfasen og kan i økende grad skifte til Healthcare Delivery Organization (HDO) en gang i klinisk bruk. The International Medical Device Regulators Forum (IMDRF) Prinsipper og praksis for Cybersecurity of Legacy Medical Devices skisserer fire livssyklusfaser. Food and Drug Administration (FDA) gir krav til cybersikkerhet for medisinsk utstyr i veiledningen før og etter markedsføring. Produsenter kan adressere en enhets cybersikkerhet under design og utvikling ved å bruke forhåndsmarkedskravene. Post-markedskrav er nødvendige på grunn av cybersikkerhetsrisikoer som fortsetter å utvikle seg etter at det medisinske utstyret når markedet.

Hvordan håndtere cyberrisiko ved medisinsk utstyr – for livet

Written by Julia Annaloro on . Skrevet i På nyhetene, Sikkerhet for medisinsk utstyr.

Eksperter tilbyr råd for å administrere voksende varelager, ressurser for leverandører

HSCCs «Health Industry Cybersecurity – Managing Legacy Technology Security» – eller HIC-MaLTS – veiledning tilbyr organisasjoner beste praksis som kan brukes til å håndtere cyberrisikoer ved eldre medisinske teknologier, sa Phil Englert, visepresident for medisinsk utstyrssikkerhet ved Health Information Delings- og analysesenter.

HIC-MaLTS tar på seg vanlige cybersikkerhetsutfordringer i helsevesenet. For eksempel, "mange forskjellige typer medisinsk utstyr og de forskjellige stedene der de brukes har unike risikoprofiler og inkluderer blant annet diagnostiske, terapeutiske, bærbare, implanterbare og programvare-som-en-medisinsk utstyrsfunksjoner som kan brukes. på sykehus, klinikker og andre ikke-kliniske og hjemmehelsetjenester,” sa han.

Også i denne artikkelen:

  • fire livssyklusfaser for medisinsk utstyr
  • "system-view" inventar kombinert med segmentering og nettverkstilgangskontroller
  • HSCCs modellkontraktsspråk for Meditech Cybersecurity 

Les artikkelen i Healthcare Infosecurity her. Klikk her

Enhancing Cybersecurity in Healthcare: The Role of Health-ISAC

Written by Julia Annaloro on . Skrevet i På nyhetene, Sikkerhet for medisinsk utstyr.

Deltakelse i Health-ISAC kan gjøre helsepersonell mindre utsatt for hacks og brudd.

 

I en tid med stadig mer sofistikerte og utbredte cybertrusler, står helsepersonell overfor unike utfordringer med å beskytte sensitive pasientdata og opprettholde integriteten til systemene deres. Et kraftig verktøy i kampen mot nettkriminalitet er deltakelse i Health Information Sharing and Analysis Center (Health-ISAC). Denne samarbeidsorganisasjonen gjør helsepersonell mindre utsatt for hacks og brudd.

En av de viktigste fordelene med Health-ISAC-medlemskap er tilgang til trusselinformasjon i sanntid. Cybertrusler utvikler seg raskt, og å ha oppdatert informasjon er avgjørende for effektivt forsvar. Health-ISAC samler inn og sprer informasjon om nye trusler, sårbarheter og angrepsvektorer. Denne intelligensen lar helsepersonell håndtere potensielle risikoer før ondsinnede aktører kan utnytte dem proaktivt. For eksempel, hvis en ny løsepengevare-stamme oppdages rettet mot helsevesenet, kan Health-ISAC raskt varsle medlemmene sine, gi detaljer om trusselen og anbefalte avbøtende strategier. Denne raske spredningen av informasjon kan utgjøre forskjellen mellom en mindre hendelse og et betydelig brudd.

Cybersikkerhet er ikke en ensom bestrebelse.

Les hele bloggen av Health-ISAC VP for Medical Device Security Phil Englert i TechNation. Klikk her

AI, løsepengevare og medisinske enheter: Beskyttelse av helsetjenester

Written by Julia Annaloro on . Skrevet i På nyhetene.

McCrary Institute Cyber ​​Focus Podcast

Vert Frank Cilluffo intervjuer Errol Weiss, Chief Security Officer ved Health Information Sharing and Analysis Center (Health ISAC).

De diskuterer de utviklende cybersikkerhetsutfordringene i helsesektoren, inkludert løsepengevare, forsyningskjedesårbarheter og det kritiske behovet for bedre sikkerhetstiltak for å beskytte medisinsk utstyr og pasientdata. Weiss deler innsikt fra sin omfattende erfaring innen cybersikkerhet både innen helsevesen og finanstjenester, og fremhever erfaringer, informasjonsdelingens rolle og viktigheten av proaktive tiltak for å redusere risiko.

Hør podcasten på YouTube Klikk her

Emner inkluderer:

  • Helse og løsepengeprogramvare

  • Avbrudd på sykehus

  • Helse cyberbudsjetter

  • Sikkerhet og samsvar

  • Leksjoner fra FS

  • Fremtidig teknologi

  • Medisinsk utstyr

  • Tverrsektoriell informasjonsdeling

  • Praktiske skritt mot sikkerhet