TLP: BIELA Táto správa môže byť zdieľaná bez obmedzenia.
Členovia Health-ISAC si určite stiahnu plnú verziu správy z portálu Health-ISAC Threat Intelligence Portal (HTIP)
Kľúčové rozsudky
Zdravotnícke pomôcky prechádzajú štyrmi fázami životného cyklu, pričom na výrobcov zdravotníckych pomôcok a organizácii poskytujúcej zdravotnú starostlivosť sú kladené rôzne úrovne zodpovednosti.
Organizácie poskytujúce zdravotnú starostlivosť by mali vykonávať pravidelnejšie hodnotenia rizík až do konca životnosti a ukončenia podpory, aby zistili, či môžu akceptovať riziko ďalšieho používania.
Výrobca implementuje Security Control Categories vo vývojovej fáze, aby zabezpečil, že zariadenie je Secure by Design, Secure by Default a Secure by Demand.
Dokumentácia a transparentnosť sú rozhodujúce pre zachovanie kybernetickej bezpečnosti. To zahŕňa poskytnutie podrobnej bezpečnostnej dokumentácie, softvérového zoznamu materiálov (SBOM) a jasnú komunikáciu o zraniteľnostiach a aktualizáciách.
Keďže zdravotnícke zariadenia sú čoraz viac prepojené a majú možnosti internetovej a bezdrôtovej komunikácie, pochopenie fáz životného cyklu a úloh potrebných na udržanie ich bezpečnostnej pozície pomôže organizáciám zabezpečiť zariadenia pred hrozbami kybernetickej bezpečnosti. Životný cyklus zariadenia sú rôzne fázy, ktorými zariadenie prejde, od výskumu a vývoja, na trhu až po koniec životnosti a koniec podpory. Keď zdravotnícke pomôcky prechádzajú fázami životného cyklu, zodpovednosť za úlohy sa môže presunúť medzi výrobcov a zákazníka. Komunikácia medzi oboma stranami je nevyhnutná, pretože zariadenie prechádza životným cyklom, aby sa úlohy koordinovali a zmenšili sa bezpečnostné medzery v rámci produktu.
V tomto dokumente sa skúmajú úlohy potrebné na udržanie kybernetickej odolnosti zdravotníckych pomôcok a ako sa môžu zodpovednosti presúvať zo strany na stranu v rámci celého produktu. Zodpovednosť za udržiavanie polohy zdravotníckeho zariadenia v oblasti kybernetickej bezpečnosti sa vyvíja počas celého životného cyklu zariadenia. Proces začína u výrobcu zariadenia vo fáze návrhu a vývoja a po klinickom použití sa môže čoraz viac presúvať na organizáciu poskytovania zdravotnej starostlivosti (HDO). Zásady a postupy pre kybernetickú bezpečnosť starších zdravotníckych pomôcok Medzinárodného fóra regulátorov zdravotníckych pomôcok (IMDRF) načrtávajú štyri fázy životného cyklu. Úrad pre potraviny a liečivá (FDA) poskytuje požiadavky na kybernetickú bezpečnosť zdravotníckych zariadení v usmerneniach pred uvedením na trh a po ňom. Výrobcovia môžu riešiť kybernetickú bezpečnosť zariadenia počas navrhovania a vývoja pomocou požiadaviek pred uvedením na trh. Požiadavky po uvedení na trh sú potrebné z dôvodu pokračujúceho vývoja rizík kybernetickej bezpečnosti po tom, ako sa zdravotnícka pomôcka dostane na trh.
