Ir para o conteúdo principal

Tópico da postagem: Segurança de Dispositivos Médicos

Silêncio Inacessível: Como a MAUDE pode ampliar o apelo por dispositivos mais seguros

Escrito por Júlia Annaloro on . Publicado em Segurança de Dispositivos Médicos, Recursos e notícias.

Blog sobre dispositivos médicos de Phil Englert, vice-presidente de segurança de dispositivos médicos da Health-ISAC

Proprietários de dispositivos médicos estão cada vez mais frustrados com a escassez de informações que os fabricantes compartilham sobre vulnerabilidades conhecidas, mas não divulgadas, em tecnologias médicas e com a velocidade com que corrigem essas vulnerabilidades. Aproveitar a MAUDE da Food and Drug Administration pode ser uma maneira de impulsionar a agilidade.

O banco de dados MAUDE da FDA – abreviação de Manufacturer and User Facility Device Experience – é um repositório público de relatórios de eventos adversos envolvendo dispositivos médicos e faz parte da estratégia de vigilância pós-comercialização da FDA. Seu objetivo principal é ajudar a FDA a monitorar o desempenho dos dispositivos, detectar potenciais problemas de segurança e subsidiar avaliações de risco-benefício após a comercialização dos dispositivos. Notificadores obrigatórios (como fabricantes, importadores e instituições de saúde) devem enviar relatórios quando um dispositivo pode ter causado ou contribuído para morte, lesão grave ou mau funcionamento. Notificadores voluntários (como profissionais de saúde, pacientes ou cuidadores) também podem enviar relatórios se observarem ou vivenciarem um problema relacionado ao dispositivo.

Leia mais sobre MAUDE, incluindo uma exemplo de uma narrativa de relatório MAUDE relacionada à cibersegurança, no TechNation.

Clique aqui

Segurança de dispositivos médicos: o que os compradores de serviços de saúde realmente desejam

Escrito por Júlia Annaloro on . Publicado em Segurança de Dispositivos Médicos, White Papers.

A cibersegurança é agora a guardiã do acesso ao mercado

RESUMO EXECUTIVO DO ÍNDICE DE CIBERSEGURANÇA DE DISPOSITIVOS MÉDICOS DE 2025

A saúde atingiu um ponto crítico de segurança cibernética. 22% das organizações de saúde sofreram ataques cibernéticos que comprometeram dispositivos médicos, com 75% destes incidentes que impactam diretamente o atendimento ao paciente. Quando os ataques forçam a transferência do paciente para outro instalações — o que aconteceu em quase um quarto dos casos — não estamos mais falando de TI inconvenientes, mas emergências médicas.

 

A DEMANDA POR SEGURANÇA DE DISPOSITIVOS MÉDICOS É ALTA

1. Transparência através de SBOMs – 78% consideram as Listas de Materiais de Software essenciais nas decisões de aquisição. Não se trata apenas de conformidade regulatória, mas também de gerenciamento prático de vulnerabilidades em um ecossistema interconectado.

2. Segurança integrada vs. segurança aparafusada – 60% priorizam proteções integradas de segurança cibernética em vez de soluções modernizadas. Líderes da área da saúde aprenderam que medidas paliativas de segurança falham contra ataques sofisticados.

3. Proteção Avançada em Tempo de Execução - 36% buscam ativamente dispositivos com proteção de tempo de execução, enquanto outros 38% estão cientes, mas ainda não precisam dela, sugerindo uma rápida evolução do mercado, da adoção inicial à expectativa geral.

Leia o white paper da RunSafe Security, uma Health-ISAC Navigator. Clique aqui

Estado da Cibersegurança na Saúde: Progresso e Armadilhas

Escrito por Júlia Annaloro on . Publicado em Na Mídia , Segurança de Dispositivos Médicos.

Phil Englert, da Health-ISAC, e Murad Dikeidek, da UI Health, falam sobre os desafios da segurança do setor de saúde e oferecem insights.

Embora o setor de saúde esteja progredindo em resiliência cibernética, ele ainda enfrenta desafios profundamente enraizados, incluindo colaboração, problemas de força de trabalho cibernética e restrições orçamentárias, exigindo uma demanda constante por adaptação e repriorização à medida que os adversários mudam suas táticas, disseram os especialistas em segurança Phil Englert e Murad Dikeidek.

“Uma das coisas que vemos acontecendo cada vez mais, e ainda não o suficiente, é o compartilhamento de informações”, disse Englert, vice-presidente de segurança de dispositivos médicos do Health Information Sharing and Analysis Center.

O compartilhamento de informações pode ser vital para ajudar o setor como um todo a entender melhor as ameaças que enfrenta, mas ainda há incerteza em muitas organizações sobre o nível de detalhes que os provedores de saúde devem divulgar, disse ele.

Leia ou ouça esta conversa no Data Breach Today. Clique aqui

Vulnerabilidade do Contec CMS8000

Escrito por Júlia Annaloro on . Publicado em Segurança de Dispositivos Médicos, Recursos e notícias.

Vulnerabilidade do Contec CMS8000: uma preocupação crítica de segurança cibernética ou uma prática de codificação ruim?

Blog de segurança de dispositivos médicos Health-ISAC na TechNation

Escrito por Phil Englert, vice-presidente de segurança de dispositivos médicos da Health-ISAC

Em 30 de janeiro de 2025, a Agência de Segurança Cibernética e de Infraestrutura (CISA) divulgou o comunicado médico ICSMA-25-030-01, destacando vulnerabilidades críticas nos monitores de pacientes Contec CMS8000. Essas vulnerabilidades – que incluem gravação fora dos limites, funcionalidade de backdoor oculta e vazamento de privacidade – representam riscos significativos à segurança do paciente e à segurança dos dados. A Food and Drug Administration (FDA) dos EUA emitiu um comunicado de segurança no mesmo dia, enfatizando os riscos associados a essas vulnerabilidades. A FDA destacou que o Contec CMS8000 e versões remarcadas, como o Epsimed MN-120, podem ser controlados remotamente por usuários não autorizados, potencialmente comprometendo os dados do paciente e a funcionalidade do dispositivo. O CMS8000 chegou ao mercado por volta de 2005 e obteve a aprovação 510(k) da FDA em junho de 2011.

As recomendações da FDA para profissionais de saúde e pacientes foram duplas: desconecte e interrompa o uso do dispositivo se você depender de recursos de monitoramento remoto. Em segundo lugar, a FDA recomendou o uso apenas de recursos de monitoramento local, como desativar recursos sem fio e desconectar cabos Ethernet. Monitores fisiológicos não fornecem tratamento que salva ou mantém a vida, mas são essenciais para monitorar a condição de pacientes em risco. Os monitores de pacientes são monitorados centralmente para notificar prontamente os cuidadores sobre mudanças na condição do paciente. Uma resposta rápida pode ser a diferença entre bons e maus resultados.

As vulnerabilidades do Contec CMS8000 divulgadas pela CISA e analisadas pela FDA, Claroty e Cylera destacam a necessidade crítica de medidas robustas de segurança cibernética em ambientes de saúde. Também ressaltam que as vulnerabilidades podem advir de um design inseguro e não de intenções maliciosas; seu potencial impacto na segurança do paciente e dos dados não pode ser subestimado. Os provedores de saúde devem agir rapidamente para mitigar esses riscos e garantir a integridade de seus dispositivos médicos.

Leia o blog completo no TechNation. Clique aqui

 

A segurança cibernética dos dispositivos médicos pode ser desafiada pelos cortes de pessoal do HHS

Escrito por Júlia Annaloro on . Publicado em Na Mídia , Segurança de Dispositivos Médicos.

Audiência da subcomissão da Câmara sobre proteção de segurança cibernética para dispositivos médicos legados é ofuscada pelos cortes do HHS.

Os painelistas que participaram da discussão do Subcomitê de Supervisão e Investigações sobre “Tecnologia envelhecida, ameaças emergentes: examinando vulnerabilidades de segurança cibernética em dispositivos médicos legados” foram questionados sobre o impacto das reduções de pessoal da FDA na segurança de dispositivos médicos. 

“Tremendo”, disse Kevin Fu, professor do departamento de Engenharia Elétrica e de Computação do Khoury College of Computer Sciences da Northeastern University. Fu atuou anteriormente como diretor interino inaugural de Segurança Cibernética de Dispositivos Médicos no Center for Devices and Radiological Health (CDRH) da FDA e diretor de programa de Segurança Cibernética no Digital Health Center of Excellence.

Erik Decker, vice-presidente e CISO da Montanha Saúde, disse que o FDA é uma parte interessada fundamental nos esforços de segurança cibernética.

“Sim, terá um impacto”, disse Decker. 

Fabricantes de dispositivos médicos, hospitais e a FDA fazem parceria, ele disse. O HHS, a FDA e o setor de saúde estabeleceram vários grupos de tarefas sob o Health Sector Coordinating Council (HSCC) Cybersecurity Working Group (CWG).

No entanto, disse Decker, a análise mostra que, em média, os hospitais têm apenas cerca de 55% das práticas recomendadas pelas Práticas de Segurança Cibernética do Setor de Saúde (HICP) para segurança de dispositivos médicos implementadas. 

Decker disse que há quatro grupos de agentes de ameaças: agentes de estados-nação, crime organizado, “hacktivistas” e ameaças internas. 

O palestrante Greg Garcia, diretor executivo do Grupo de Trabalho de Segurança Cibernética do Conselho de Coordenação do Setor de Saúde, disse que na próxima semana eles lançarão um white paper sobre como os sistemas de saúde não têm recursos financeiros e de pessoal suficientes para proteção da segurança cibernética.

Leia o artigo completo no Healthcare Finance News. Clique aqui

Como a equipe da HTM pode se preparar para as mudanças propostas na regra de segurança da HIPAA

Escrito por Júlia Annaloro on . Publicado em Na Mídia , Segurança de Dispositivos Médicos.

Blog de segurança de dispositivos médicos Health-ISAC na TechNation

Escrito por Phil Englert, vice-presidente de segurança de dispositivos médicos da Health-ISAC

 

Em 27 de dezembro de 2024, o Office for Civil Rights (OCR) do Departamento de Saúde e Serviços Humanos dos EUA (HHS) emitiu um Aviso de Proposta de Regulamentação (NPRM) para alterar a Regra de Segurança do Health Insurance Portability and Accountability Act de 1996 (HIPAA). O objetivo é fortalecer as defesas de segurança cibernética que protegem as informações eletrônicas de saúde (ePHI). Esta atualização proposta representa uma abordagem proativa para proteger informações de saúde confidenciais em uma era de crescentes ameaças cibernéticas.

As emendas propostas destacam várias medidas críticas para reforçar a proteção de ePHI. Algumas dessas regras são orientadas a processos e várias são técnicas. Incorporar essas mudanças propostas no processo de aquisição ajudará as organizações a se prepararem para as mudanças quando elas entrarem em vigor. Aqui está uma seleção especificamente pertinente a dispositivos médicos.

Continue lendo este artigo no TechNation. Clique aqui

Análise de Impacto de Risco de Dispositivos Médicos para Profissionais de Saúde

Escrito por Júlia Annaloro on . Publicado em Segurança de Dispositivos Médicos, Recursos e notícias.

Blog de segurança de dispositivos médicos Health-ISAC na TechNation

Escrito por Phil Englert, vice-presidente de segurança de dispositivos médicos da Health-ISAC

No setor de saúde, garantir a segurança e a eficácia dos dispositivos médicos é fundamental. Muitas vezes, a segurança cibernética se concentra em vulnerabilidades e, embora importante, a análise de vulnerabilidades é muito restrita. As vulnerabilidades são avaliadas usando o Common Vulnerability Scoring System (CVSS), que tenta determinar o quão perigosa uma vulnerabilidade é. Essa é uma informação útil, mas considera o risco de vulnerabilidade dentro do componente em que ela reside, e não no produto. Essa visão limitada não considera os riscos que a vulnerabilidade representa para um ambiente específico. Fatores contextuais, como a importância do ativo, como o ativo é usado ou os controles implementados, seja no produto ou na rede, também devem ser considerados na avaliação de riscos. Dadas essas limitações, a realização de uma Análise de Impacto de Risco de Dispositivos Médicos (MDRIA) é um processo crítico que ajuda os profissionais de saúde a identificar, avaliar e mitigar os riscos associados a dispositivos médicos. Este ensaio descreve os componentes essenciais de uma MDRIA.

Leia o blog completo no TechNation.  Clique aqui

Logotipo da Industrial Cyber ​​no topo Imagem de uma tela de TV com uma captura de tela deste artigo. Menção retirada: Linha do tempo de mudança de responsabilidades durante o ciclo de vida do dispositivo médico

O whitepaper Health-ISAC destaca as responsabilidades de segurança cibernética no ciclo de vida do dispositivo médico, com foco na resiliência

Escrito por Júlia Annaloro on . Publicado em Saúde-ISAC, Na Mídia , White Papers.

 

O Health-ISAC publicou um whitepaper abordando as tarefas necessárias para manter a resiliência cibernética de dispositivos médicos e como as responsabilidades podem mudar de parte para parte ao longo do produto total. À medida que os dispositivos médicos passam pelas fases do ciclo de vida, a responsabilidade pelas tarefas pode ser transferida entre os fabricantes e o cliente. O whitepaper do Health-ISAC identifica que a comunicação entre as duas partes é essencial à medida que o dispositivo passa pelo ciclo de vida para que as tarefas sejam coordenadas e as lacunas de segurança dentro do produto sejam reduzidas.

Intitulado 'Explorando as funções de segurança cibernética de fabricantes e organizações de saúde durante o ciclo de vida do dispositivo médico', o white paper identificou que dispositivos médicos passam por quatro fases do ciclo de vida, com vários níveis de responsabilidades colocadas no fabricante do dispositivo médico e na organização de prestação de serviços de saúde. Organizações de prestação de serviços de saúde (HDOs) devem realizar avaliações de risco mais regulares indo para o fim da vida útil (EOL) e fim do suporte (EOS) para determinar se podem aceitar o risco do uso contínuo. Ele também aponta que a responsabilidade de manter a postura de segurança cibernética de um dispositivo médico evolui ao longo do ciclo de vida de um dispositivo. 

Leia o artigo completo na Industrial Cyber. Clique aqui

Explorando as funções de segurança cibernética de fabricantes e organizações de saúde durante o ciclo de vida do dispositivo médico

Escrito por Júlia Annaloro on . Publicado em Saúde-ISAC, Segurança de Dispositivos Médicos, White Papers.

 

TLP: BRANCO Este relatório pode ser compartilhado sem restrições.
Os membros do Health-ISAC devem baixar a versão completa do relatório no Portal de Inteligência de Ameaças do Health-ISAC (HTIP)

Julgamentos Chave

  • Os dispositivos médicos passam por quatro fases do ciclo de vida, com diferentes níveis de responsabilidade atribuídos ao fabricante do dispositivo médico e à organização prestadora de serviços de saúde.

  • As organizações de prestação de serviços de saúde devem realizar avaliações de risco mais regulares no fim da vida útil e no fim do suporte para determinar se podem aceitar o risco do uso contínuo.

  • O fabricante implementa Categorias de Controle de Segurança na fase de desenvolvimento para garantir que o dispositivo seja Seguro por Design, Seguro por Padrão e Seguro por Demanda.

  • Documentação e Transparência são essenciais para manter a segurança cibernética. Isso inclui fornecer documentação de segurança detalhada, uma Lista de Materiais de Software (SBOM) e comunicação clara sobre vulnerabilidades e atualizações. 

 

Baixe este white paper.

Explorando as funções de segurança cibernética de fabricantes e organizações de saúde durante o ciclo de vida do dispositivo médico
Tamanho: 3.2 MB Formato: PDF

Conheça

À medida que os dispositivos médicos se tornam mais interconectados e têm recursos de comunicação sem fio e pela Internet, entender os estágios do ciclo de vida e as tarefas necessárias para manter sua postura de segurança ajudará as organizações a proteger os dispositivos contra ameaças de segurança cibernética. O ciclo de vida do dispositivo são os vários estágios pelos quais um dispositivo passará, desde pesquisa e desenvolvimento, no mercado e, eventualmente, fim da vida útil e fim do suporte. À medida que os dispositivos médicos passam pelas fases do ciclo de vida, a responsabilidade pelas tarefas pode ser transferida entre os fabricantes e o cliente. A comunicação entre as duas partes é essencial à medida que o dispositivo passa pelo ciclo de vida para que as tarefas sejam coordenadas e as lacunas de segurança dentro do produto sejam reduzidas.

Este documento explora as tarefas necessárias para manter a resiliência cibernética de dispositivos médicos e como as responsabilidades podem mudar de parte para parte ao longo do produto total. A responsabilidade por manter a postura de segurança cibernética de um dispositivo médico evolui ao longo do ciclo de vida de um dispositivo. O processo começa com o fabricante do dispositivo durante a fase de design e desenvolvimento e pode mudar cada vez mais para a Organização de Prestação de Serviços de Saúde (HDO) uma vez em uso clínico. Os Princípios e Práticas do Fórum Internacional de Reguladores de Dispositivos Médicos (IMDRF) para a Segurança Cibernética de Dispositivos Médicos Legados descrevem quatro fases do ciclo de vida. A Food and Drug Administration (FDA) fornece requisitos para a segurança cibernética de dispositivos médicos nas orientações pré e pós-mercado. Os fabricantes podem abordar a segurança cibernética de um dispositivo durante o design e desenvolvimento usando os requisitos pré-mercado. Os requisitos pós-mercado são necessários devido aos riscos de segurança cibernética que continuam a evoluir após o dispositivo médico chegar ao mercado.

Como gerenciar o risco cibernético de dispositivos médicos – para a vida

Escrito por Júlia Annaloro on . Publicado em Na Mídia , Segurança de Dispositivos Médicos.

Especialistas oferecem conselhos para gerenciar estoques crescentes e recursos para provedores

A orientação do HSCC “Health Industry Cybersecurity – Managing Legacy Technology Security” (Segurança cibernética do setor de saúde – Gerenciando a segurança de tecnologias legadas) – ou HIC-MaLTS – oferece às organizações as melhores práticas que podem ser usadas para gerenciar riscos cibernéticos de tecnologias médicas legadas, disse Phil Englert, vice-presidente de segurança de dispositivos médicos no Health Information Sharing and Analysis Center.

O HIC-MaLTS enfrenta desafios comuns de segurança cibernética na área da saúde. Por exemplo, “muitos tipos diferentes de dispositivos médicos e os diversos locais em que são usados ​​possuem perfis de risco exclusivos e incluem recursos de diagnóstico, terapêuticos, vestíveis, implantáveis ​​e de software como dispositivo médico, entre outros, que podem ser usados ​​em hospitais, clínicas e outros ambientes de assistência médica não clínica e domiciliar”, disse ele.

Também neste artigo:

  • quatro fases do ciclo de vida dos dispositivos médicos
  • inventários de “visão do sistema” combinados com segmentação e controles de acesso à rede
  • Linguagem de contrato modelo do HSCC para segurança cibernética de tecnologia médica 

Leia o artigo no Healthcare Infosecurity aqui. Clique aqui

Melhorando a segurança cibernética na área da saúde: o papel do Health-ISAC

Escrito por Júlia Annaloro on . Publicado em Na Mídia , Segurança de Dispositivos Médicos.

A participação no Health-ISAC pode tornar os prestadores de cuidados de saúde menos suscetíveis a hacks e violações.

 

Em uma era de ameaças cibernéticas cada vez mais sofisticadas e prevalentes, os provedores de assistência médica enfrentam desafios únicos na proteção de dados confidenciais de pacientes e na manutenção da integridade de seus sistemas. Uma ferramenta poderosa na luta contra o crime cibernético é a participação no Health Information Sharing and Analysis Center (Health-ISAC). Essa organização colaborativa torna os provedores de assistência médica menos suscetíveis a hacks e violações.

Um dos benefícios mais significativos da associação ao Health-ISAC é o acesso à inteligência de ameaças em tempo real. As ameaças cibernéticas evoluem rapidamente, e ter informações atualizadas é essencial para uma defesa eficaz. O Health-ISAC coleta e dissemina informações sobre ameaças emergentes, vulnerabilidades e vetores de ataque. Essa inteligência permite que os provedores de assistência médica abordem riscos potenciais antes que agentes mal-intencionados possam explorá-los proativamente. Por exemplo, se uma nova cepa de ransomware for detectada visando sistemas de assistência médica, o Health-ISAC pode alertar rapidamente seus membros, fornecendo detalhes sobre a ameaça e estratégias de mitigação recomendadas. Essa rápida disseminação de informações pode ser a diferença entre um incidente menor e uma violação significativa.

A segurança cibernética não é um esforço solitário.

Leia o blog completo do vice-presidente de segurança de dispositivos médicos da Health-ISAC, Phil Englert, na TechNation. Clique aqui

IA, Ransomware e Dispositivos Médicos: Protegendo a Assistência Médica

Escrito por Júlia Annaloro on . Publicado em Na Mídia .

Podcast do Instituto McCrary Cyber ​​Focus

O apresentador Frank Cilluffo entrevista Errol Weiss, diretor de segurança do Health Information Sharing and Analysis Center (Health ISAC).

Eles discutem os desafios de segurança cibernética em evolução no setor de saúde, incluindo ransomware, vulnerabilidades da cadeia de suprimentos e a necessidade crítica de melhores medidas de segurança para proteger dispositivos médicos e dados de pacientes. Weiss compartilha insights de sua vasta experiência em segurança cibernética de serviços de saúde e financeiros, destacando lições aprendidas, o papel do compartilhamento de informações e a importância de medidas proativas para mitigar riscos.

Ouça o podcast no YouTube Clique aqui

Os tópicos incluem:

  • Saúde e Ransomware

  • Interrupções em hospitais

  • Orçamentos cibernéticos de saúde

  • Segurança e conformidade

  • Lições do FS

  • Tecnologia do futuro

  • Dispositivos Médicos

  • Compartilhamento de informações entre setores

  • Passos práticos em direção à segurança