Salt la conținutul principal

Subiect post: Securitatea dispozitivelor medicale

Tăcere de nepătruns: Cum poate MAUDE să amplifice apelul pentru dispozitive mai sigure

Compus de Julia Annaloro on . postat în Securitatea dispozitivelor medicale, Resurse și știri.

Blog despre dispozitive medicale de Phil Englert, vicepreședinte Health-ISAC pentru securitatea dispozitivelor medicale

Proprietarii de dispozitive medicale sunt din ce în ce mai frustrați de informațiile limitate pe care producătorii de dispozitive medicale le împărtășesc despre vulnerabilitățile cunoscute, dar nedivulgate, ale tehnologiilor medicale și despre viteza cu care acestea corectează vulnerabilitățile cunoscute. Valorificarea MAUDE (Metoda de Dezvoltare a Evaluării) a Administrației pentru Alimente și Medicamente (FDA) ar putea fi o modalitate de a crește rapiditatea.

Baza de date MAUDE a FDA – prescurtare de la Manufacturer and User Facility Device Experience – este un depozit public de rapoarte privind evenimentele adverse care implică dispozitive medicale și face parte din strategia de supraveghere post-comercializare a FDA. Scopul său principal este de a ajuta FDA să monitorizeze performanța dispozitivelor, să detecteze potențialele probleme de siguranță și să sprijine evaluările beneficiu-risc după ce dispozitivele sunt introduse pe piață. Persoanele care raportează obligatoriu (cum ar fi producătorii, importatorii și unitățile sanitare) trebuie să trimită rapoarte atunci când un dispozitiv ar fi putut cauza sau contribui la un deces, o vătămare gravă sau o defecțiune. De asemenea, raportorii voluntari (cum ar fi profesioniștii din domeniul sănătății, pacienții sau îngrijitorii) pot trimite rapoarte dacă observă sau se confruntă cu o problemă legată de dispozitiv.

Citește mai multe despre MAUDE, inclusiv o exemplu de narațiune a unui raport MAUDE legat de cibernetică, în TechNation.

Click aici

Securitatea dispozitivelor medicale: Ce își doresc cu adevărat cumpărătorii din domeniul sănătății

Compus de Julia Annaloro on . postat în Securitatea dispozitivelor medicale, Hartii albe.

Securitatea cibernetică este acum paznicul accesului pe piață

REZUMAT EXECUTIV AL INDICELUI DE CIBERSECURITATE A DISPOZITIVELOR MEDICALE DIN 2025

Sectorul medical a atins un punct de cotitură în domeniul securității cibernetice. 22% dintre organizațiile din domeniul sănătății au suferit atacuri cibernetice care au compromis dispozitive medicale, 75% dintre acestea fiind incidente care afectează direct îngrijirea pacienților. Când atacurile forțează transferul pacienților în alte facilități — ceea ce s-a întâmplat în aproape un sfert din cazuri — nu mai vorbim despre IT inconveniente, ci urgențe medicale.

 

CEREREA DE SECURITATE A DISPOZITIVELOR MEDICALE ESTE MARE

1. Transparență prin intermediul SBOM-urilor – 78% consideră că listele de materiale pentru software sunt esențiale în deciziile de achiziții. Nu este vorba doar de conformitate cu reglementările, ci și de gestionarea practică a vulnerabilităților într-un ecosistem interconectat.

2. Securitate încorporată vs. securitate cu șuruburi – 60% acordă prioritate protecțiilor integrate de securitate cibernetică în detrimentul soluțiilor modernizate. Liderii din domeniul sănătății au învățat că măsurile de securitate temporare eșuează împotriva atacurilor sofisticate.

3. Protecție avansată la rulare - 36% caută în mod activ dispozitive cu protecție runtime, în timp ce alți 38% sunt conștienți de existența acesteia, dar nu o au încă nevoie, ceea ce sugerează o evoluție rapidă a pieței de la adoptarea timpurie la așteptările generale.

Citiți documentul informativ realizat de RunSafe Security, un navigator Health-ISAC. Click aici

Starea securității cibernetice în domeniul sănătății: progrese și capcane

Compus de Julia Annaloro on . postat în La stiri, Securitatea dispozitivelor medicale.

Phil Englert de la Health-ISAC și Murad Dikeidek de la UI Health vorbesc despre provocările securității sectorului sănătății și oferă perspective.

Deși sectorul medical face progrese în ceea ce privește reziliența cibernetică, acesta se confruntă în continuare cu provocări profunde, inclusiv colaborarea, problemele legate de forța de muncă în domeniul cibernetic și constrângerile bugetare, ceea ce necesită o cerere constantă de adaptare și reprioritizare pe măsură ce adversarii își schimbă tacticile, au declarat experții în securitate Phil Englert și Murad Dikeidek.

„Unul dintre lucrurile pe care le vedem din ce în ce mai des, și încă nu suficient, este schimbul de informații”, a declarat Englert, vicepreședinte pentru securitatea dispozitivelor medicale la Centrul de Partajare și Analiză a Informațiilor Medicale.

Schimbul de informații poate fi vital pentru a ajuta sectorul în ansamblu să înțeleagă mai bine amenințările cu care se confruntă, însă există încă incertitudine în cadrul multor organizații cu privire la nivelul detaliilor pe care furnizorii de servicii medicale ar trebui să le dezvăluie, a spus el.

Citește sau ascultă această conversație în Data Breach Today. Click aici

Vulnerabilitatea Contec CMS8000

Compus de Julia Annaloro on . postat în Securitatea dispozitivelor medicale, Resurse și știri.

Vulnerabilitatea Contec CMS8000: o problemă critică de securitate cibernetică sau o practică de programare deficitară?

Health-ISAC Medical Device Security Blog în TechNation

Scrisă de Phil Englert, VP Health-ISAC al Securității Dispozitivelor Medicale

Pe 30 ianuarie 2025, Agenția pentru Securitatea Cibernetică și Infrastructură (CISA) a emis avizul medical ICSMA-25-030-01, evidențiind vulnerabilități critice ale monitoarelor de pacienți Contec CMS8000. Aceste vulnerabilități – care includ o scriere în afara limitelor, funcționalitate ascunsă de backdoor și scurgeri de confidențialitate – prezintă riscuri semnificative pentru siguranța pacienților și securitatea datelor. Administrația pentru Alimente și Medicamente din SUA (FDA) a emis o comunicare de siguranță în aceeași zi, subliniind riscurile asociate cu aceste vulnerabilități. FDA a subliniat că Contec CMS8000 și versiunile reetichetate, cum ar fi Epsimed MN-120, pot fi controlate de la distanță de utilizatori neautorizați, compromițând potențial datele pacienților și funcționalitatea dispozitivului. CMS8000 a intrat pe piață în jurul anului 2005 și a obținut aprobarea FDA 510(k) în iunie 2011.

Recomandările FDA pentru furnizorii de servicii medicale și pacienți au fost duble: Deconectați dispozitivul și întrerupeți utilizarea acestuia dacă vă bazați pe funcții de monitorizare la distanță. În al doilea rând, FDA a recomandat utilizarea exclusivă a funcțiilor de monitorizare locală, cum ar fi dezactivarea capacităților wireless și deconectarea cablurilor ethernet. Monitoarele fiziologice nu oferă tratament salvator sau de susținere a vieții, dar sunt esențiale în monitorizarea stării pacienților cu risc. Monitoarele pacienților sunt monitorizate centralizat pentru a notifica prompt îngrijitorii cu privire la modificările stării pacientului. Răspunsul rapid poate face diferența dintre rezultatele bune și cele rele.

Vulnerabilitățile Contec CMS8000 dezvăluite de CISA și analizate de FDA, Claroty și Cylera evidențiază nevoia critică de măsuri robuste de securitate cibernetică în unitățile medicale. De asemenea, acestea evidențiază faptul că vulnerabilitățile pot proveni dintr-un design nesigur, mai degrabă decât dintr-o intenție răuvoitoare, iar impactul lor potențial asupra siguranței pacienților și securității datelor nu poate fi subestimat. Furnizorii de servicii medicale ar trebui să acționeze rapid pentru a atenua aceste riscuri și a asigura integritatea dispozitivelor lor medicale.

Citește articolul complet de pe blog pe TechNation. Click aici

 

Securitatea cibernetică a dispozitivelor medicale ar putea fi contestată de reducerea personalului HHS

Compus de Julia Annaloro on . postat în La stiri, Securitatea dispozitivelor medicale.

Audiere a subcomisiei Camerei privind protecția securității cibernetice pentru dispozitivele medicale vechi, umbrite de reducerile HHS.

Experții care au luat parte la discuția subcomitetului de supraveghere și investigații pe tema „Tehnologie în vârstă, amenințări emergente: examinarea vulnerabilităților de securitate cibernetică în dispozitivele medicale moștenite” au fost întrebați despre impactul reducerilor personalului FDA asupra securității dispozitivelor medicale. 

„Excelent”, a spus Kevin Fu, profesor de la departamentul de Inginerie Electrică și Calculatoare de la Colegiul Khoury de Științe Calculatoare de la Universitatea Northeastern. Fu a fost anterior director interimar inaugural al securității cibernetice a dispozitivelor medicale la Centrul pentru dispozitive și sănătate radiologică (CDRH) al FDA și director de program pentru securitate cibernetică la Centrul de excelență pentru sănătate digitală.

Erik Decker, vicepreședinte și CISO la Intermontană Sănătate, a spus FDA este o parte interesată cheie în eforturile de securitate cibernetică.

„Da, va avea un impact”, a spus Decker. 

Producătorii de dispozitive medicale, spitalele și partenerul FDA, a spus el. HHS, FDA și industria de asistență medicală au înființat numeroase grupuri de lucru în cadrul Grupului de lucru pentru securitate cibernetică (CWG) al Consiliului de coordonare a sectorului sănătății (HSCC).

Cu toate acestea, a spus Decker, analiza arată că, în medie, spitalele au implementate doar aproximativ 55% din practicile recomandate de practicile de securitate cibernetică din industria sănătății (IAPC) pentru securitatea dispozitivelor medicale. 

Decker a spus că există patru grupuri de actori ai amenințărilor: actori ai statului național, crima organizată, „hacktiviști” și amenințările interne. 

Panelistul Greg Garcia, director executiv, Grupul de lucru pentru securitatea cibernetică a Consiliului Coordonator al Sectorului Sănătății, a declarat săptămâna viitoare că va publica o carte albă despre modul în care sistemele de sănătate sunt insuficiente în finanțe și personal pentru protecția securității cibernetice.

Citiți articolul complet în Healthcare Finance News. Click aici

Cum se poate pregăti personalul HTM pentru modificările propuse la regulile de securitate HIPAA

Compus de Julia Annaloro on . postat în La stiri, Securitatea dispozitivelor medicale.

Health-ISAC Medical Device Security Blog în TechNation

Scrisă de Phil Englert, VP Health-ISAC al Securității Dispozitivelor Medicale

 

La 27 decembrie 2024, Oficiul pentru Drepturi Civile (OCR) din cadrul Departamentului de Sănătate și Servicii Umane (HHS) al SUA a emis un Notice of Proposed Rulemaking (NPRM) pentru a modifica Regula de Securitate din 1996 a Legii privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA). Scopul este de a întări apărările de securitate cibernetică care protejează informațiile electronice de sănătate (ePHI). Această actualizare propusă reprezintă o abordare proactivă pentru protejarea informațiilor sensibile de sănătate într-o eră a amenințărilor cibernetice în creștere.

Amendamentele propuse evidențiază câteva măsuri critice pentru a consolida protecția ePHI. Unele dintre aceste reguli sunt orientate spre proces, iar câteva sunt tehnice. Încorporarea acestor modificări propuse în procesul de achiziții va ajuta organizațiile să se pregătească pentru schimbări atunci când acestea vor intra în vigoare. Iată o selecție specifică dispozitivelor medicale.

Continuați să citiți acest articol în TechNation. Click aici

Analiza impactului riscului dispozitivelor medicale pentru furnizorii de servicii medicale

Compus de Julia Annaloro on . postat în Securitatea dispozitivelor medicale, Resurse și știri.

Health-ISAC Medical Device Security Blog în TechNation

Scrisă de Phil Englert, VP Health-ISAC al Securității Dispozitivelor Medicale

În industria medicală, asigurarea siguranței și eficacității dispozitivelor medicale este primordială. Prea des, securitatea cibernetică se concentrează pe vulnerabilități și, deși importantă, analiza vulnerabilităților este prea restrânsă. Vulnerabilitățile sunt evaluate utilizând Sistemul Comun de Scorare a Vulnerabilităților (CVSS), care încearcă să determine cât de periculoasă este o vulnerabilitate. Acestea sunt informații utile, dar iau în considerare riscul de vulnerabilitate din componenta în care se află, mai degrabă decât din produs. Această perspectivă limitată nu ia în considerare riscurile pe care le prezintă vulnerabilitatea pentru un mediu specific. Factorii contextuali, cum ar fi importanța activului, modul în care este utilizat activul sau controalele existente, fie în cadrul produsului, fie în cadrul rețelei, trebuie, de asemenea, luați în considerare la evaluarea riscului. Având în vedere aceste limitări, efectuarea unei Analize a Impactului Riscului asupra Dispozitivelor Medicale (MDRIA) este un proces critic care ajută furnizorii de servicii medicale să identifice, să evalueze și să atenueze riscurile asociate cu dispozitivele medicale. Acest eseu prezintă componentele esențiale ale unei MDRIA.

Citește articolul complet de pe blog pe TechNation.  Click aici

Logo industrial Cyber ​​în partea de sus Imagine a unui ecran TV cu o captură de ecran a acestui articol. Mențiune extrasă: Cronologia schimbării responsabilităților în timpul ciclului de viață al dispozitivului medical

Cartea albă Health-ISAC evidențiază responsabilitățile de securitate cibernetică în ciclul de viață al dispozitivelor medicale, se concentrează pe reziliență

Compus de Julia Annaloro on . postat în Sănătate-ISAC, La stiri, Hartii albe.

 

Health-ISAC a publicat o carte albă care abordează sarcinile necesare pentru a menține rezistența cibernetică a dispozitivelor medicale și modul în care responsabilitățile se pot schimba de la o parte la alta în întregul produs. Pe măsură ce dispozitivele medicale trec prin fazele ciclului de viață, responsabilitatea sarcinilor se poate transfera între producători și client. Cartea albă Health-ISAC identifică faptul că comunicarea dintre cele două părți este esențială pe măsură ce dispozitivul se deplasează pe parcursul ciclului de viață, astfel încât sarcinile să fie coordonate și lacunele de securitate din cadrul produsului să fie reduse.

Intitulată „Exploarea rolurilor de securitate cibernetică ale producătorilor și organizațiilor de asistență medicală în timpul ciclului de viață a dispozitivelor medicale”, cartea albă identificat că dispozitivele medicale trec prin patru faze ale ciclului de viață, cu niveluri diferite de responsabilități atribuite producătorului de dispozitive medicale și organizației de furnizare a asistenței medicale. Organizațiile de furnizare a asistenței medicale (HDO) ar trebui să efectueze evaluări mai regulate ale riscurilor la sfârșitul vieții (EOL) și la sfârșitul asistenței (EOS) pentru a determina dacă pot accepta riscul utilizării continue. De asemenea, subliniază că responsabilitatea pentru menținerea poziției de securitate cibernetică a unui dispozitiv medical evoluează pe tot parcursul ciclului de viață al unui dispozitiv. 

Citiți articolul complet în Industrial Cyber. Click aici

Explorarea rolurilor de securitate cibernetică ale producătorilor și organizațiilor din domeniul sănătății în timpul ciclului de viață al dispozitivelor medicale

Compus de Julia Annaloro on . postat în Sănătate-ISAC, Securitatea dispozitivelor medicale, Hartii albe.

 

TLP: ALB Acest raport poate fi partajat fără restricții.
Membrii Health-ISAC asigurați-vă că descărcați versiunea completă a raportului de pe portalul Health-ISAC Threat Intelligence Portal (HTIP)

Hotărârile cheie

  • Dispozitivele medicale trec prin patru faze ale ciclului de viață, cu niveluri diferite de responsabilități atribuite producătorului de dispozitive medicale și organizației de furnizare a asistenței medicale.

  • Organizațiile de furnizare a asistenței medicale ar trebui să efectueze evaluări mai regulate ale riscurilor până la Sfârșitul vieții și Sfârșitul asistenței pentru a determina dacă pot accepta riscul utilizării continue.

  • Producătorul implementează categorii de control de securitate în faza de dezvoltare pentru a se asigura că dispozitivul este Securizat prin proiectare, Securizat implicit și Securizat la cerere.

  • Documentarea și transparența sunt esențiale în menținerea securității cibernetice. Aceasta include furnizarea de documentație de securitate detaliată, o listă de materiale software (SBOM) și comunicare clară despre vulnerabilități și actualizări. 

 

Descărcați această carte albă.

Explorarea rolurilor de securitate cibernetică ale producătorilor și organizațiilor din domeniul sănătății în timpul ciclului de viață al dispozitivelor medicale
Mărimea : 3.2 MB Format: PDF

Introducere

Pe măsură ce dispozitivele medicale devin mai interconectate și au capacități de comunicații prin internet și fără fir, înțelegerea etapelor ciclului de viață și a sarcinilor necesare pentru a-și menține poziția de securitate va ajuta organizațiile să securizeze dispozitivele împotriva amenințărilor la adresa securității cibernetice. Ciclul de viață al dispozitivului reprezintă diferitele etape prin care va trece un dispozitiv, de la cercetare și dezvoltare, pe piață și, în cele din urmă, sfârșitul vieții și sfârșitul suportului. Pe măsură ce dispozitivele medicale trec prin fazele ciclului de viață, responsabilitatea sarcinilor se poate transfera între producători și client. Comunicarea dintre cele două părți este esențială pe măsură ce dispozitivul se deplasează pe parcursul ciclului de viață, astfel încât sarcinile să fie coordonate, iar lacunele de securitate din cadrul produsului sunt reduse.

Acest document explorează sarcinile necesare pentru a menține rezistența cibernetică a dispozitivelor medicale și modul în care responsabilitățile se pot schimba de la o parte la alta în întregul produs. Responsabilitatea pentru menținerea poziției de securitate cibernetică a unui dispozitiv medical evoluează pe tot parcursul ciclului de viață al unui dispozitiv. Procesul începe cu producătorul dispozitivului în timpul fazei de proiectare și dezvoltare și se poate trece din ce în ce mai mult la Organizația de furnizare a asistenței medicale (HDO) odată ce este utilizat clinic. Principiile și practicile Forumului Internațional de Reglementare a Dispozitivelor Medicale (IMDRF) pentru securitatea cibernetică a dispozitivelor medicale vechi subliniază patru faze ale ciclului de viață. Administrația pentru Alimente și Medicamente (FDA) oferă cerințe pentru securitatea cibernetică a dispozitivelor medicale în ghidul înainte și după introducerea pe piață. Producătorii pot aborda securitatea cibernetică a dispozitivului în timpul proiectării și dezvoltării utilizând cerințele premergătoare pieței. Cerințele post-piață sunt necesare din cauza riscurilor de securitate cibernetică care continuă să evolueze după ce dispozitivul medical ajunge pe piață.

Cum să gestionați riscul cibernetic al dispozitivelor medicale – pentru viață

Compus de Julia Annaloro on . postat în La stiri, Securitatea dispozitivelor medicale.

Experții oferă sfaturi pentru gestionarea stocurilor în creștere, resurse pentru furnizori

Ghidul HSCC „Health Industry Cybersecurity – Managing Legacy Technology Security” – sau HIC-MaLTS – oferă organizațiilor cele mai bune practici care pot fi utilizate pentru a gestiona riscurile cibernetice ale tehnologiilor medicale vechi, a declarat Phil Englert, vicepreședinte pentru securitatea dispozitivelor medicale la Health Information. Centru de partajare și analiză.

HIC-MaLTS preia provocările comune de securitate cibernetică a sănătății. De exemplu, „multe tipuri diferite de dispozitive medicale și diversele locații în care sunt utilizate posedă profiluri de risc unice și includ, printre altele, caracteristici de diagnosticare, terapeutice, purtabile, implantabile și software ca dispozitiv medical, printre altele, care pot fi utilizate. în spitale, clinici și alte instituții non-clinice și de îngrijire la domiciliu”, a spus el.

Tot in acest articol:

  • patru faze ale ciclului de viață ale dispozitivelor medicale
  • Inventare „de vizualizare a sistemului” combinate cu segmentare și controale de acces la rețea
  • Modelul contractului-limbaj al HSCC pentru securitatea cibernetică Medtech 

Citiți articolul din Healthcare Infosecurity aici. Click aici

Îmbunătățirea securității cibernetice în asistența medicală: rolul sănătății-ISAC

Compus de Julia Annaloro on . postat în La stiri, Securitatea dispozitivelor medicale.

Participarea la Health-ISAC poate face furnizorii de servicii medicale mai puțin sensibili la hack-uri și încălcări.

 

Într-o eră a amenințărilor cibernetice din ce în ce mai sofisticate și predominante, furnizorii de servicii medicale se confruntă cu provocări unice în protejarea datelor sensibile ale pacienților și în menținerea integrității sistemelor lor. Un instrument puternic în lupta împotriva criminalității cibernetice este participarea la Centrul de analiză și schimb de informații privind sănătatea (Health-ISAC). Această organizație de colaborare face furnizorii de servicii medicale mai puțin sensibili la hack-uri și încălcări.

Unul dintre cele mai semnificative beneficii ale calității de membru Health-ISAC este accesul la informații despre amenințări în timp real. Amenințările cibernetice evoluează rapid, iar informațiile actualizate sunt esențiale pentru o apărare eficientă. Health-ISAC colectează și difuzează informații despre amenințările, vulnerabilitățile și vectorii de atac emergente. Această informație permite furnizorilor de servicii medicale să abordeze riscurile potențiale înainte ca actorii rău intenționați să le poată exploata în mod proactiv. De exemplu, dacă este detectată o nouă tulpină de ransomware care vizează sistemele de îngrijire a sănătății, Health-ISAC își poate alerta rapid membrii, oferind detalii despre amenințare și strategiile de atenuare recomandate. Această diseminare rapidă a informațiilor poate fi diferența dintre un incident minor și o încălcare semnificativă.

Securitatea cibernetică nu este un efort solitar.

Citiți blogul complet de la Health-ISAC VP al Securității Dispozitivelor Medicale Phil Englert în TechNation. Click aici

AI, ransomware și dispozitive medicale: protecția asistenței medicale

Compus de Julia Annaloro on . postat în La stiri.

Podcast Cyber ​​Focus al Institutului McCrary

Gazda Frank Cilluffo îl intervievează pe Errol Weiss, Chief Security Officer la Centrul de Partajare și Analiză a Informațiilor de Sănătate (Health ISAC).

Ei discută despre provocările în evoluție ale securității cibernetice în sectorul sănătății, inclusiv ransomware, vulnerabilitățile lanțului de aprovizionare și nevoia critică de măsuri de securitate mai bune pentru a proteja dispozitivele medicale și datele pacienților. Weiss împărtășește perspective din experiența sa vastă în securitatea cibernetică atât în ​​domeniul sănătății, cât și al serviciilor financiare, evidențiind lecțiile învățate, rolul schimbului de informații și importanța măsurilor proactive pentru atenuarea riscurilor.

Ascultă podcastul pe YouTube Click aici

Subiectele includ:

  • Sănătate și Ransomware

  • Întreruperi în spitale

  • Bugetele cibernetice pentru sănătate

  • Securitate și conformitate

  • Lecții de la FS

  • Tehnologia viitoare

  • Dispozitive medicale

  • Partajarea intersectorială a informațiilor

  • Pași practici către securitate