Preskoči na glavno vsebino

Tema objave: Varnost medicinskih pripomočkov

Neulovljiva tišina: Kako lahko MAUDE okrepi poziv k varnejšim napravam

Napisal Julija Annaloro on . Objavljeno v Varnost medicinskih pripomočkov, Viri in novice.

Blog o medicinskih pripomočkih, ki ga je napisal Phil Englert, podpredsednik za varnost medicinskih pripomočkov pri Health-ISAC

Lastniki medicinskih pripomočkov so vse bolj razočarani nad omejenimi informacijami, ki jih proizvajalci medicinskih pripomočkov delijo o znanih, a nerazkritih ranljivostih v medicinskih tehnologijah, in hitrostjo, s katero odpravljajo znane ranljivosti. Izkoriščanje sistema MAUDE Uprave za hrano in zdravila (FDA) je lahko način za povečanje hitrosti.

Podatkovna baza MAUDE FDA – okrajšava za izkušnje proizvajalcev in uporabnikov z medicinskimi pripomočki – je javno skladišče poročil o neželenih dogodkih, povezanih z medicinskimi pripomočki, in je del strategije FDA za nadzor po prodaji. Njen glavni namen je pomagati FDA pri spremljanju delovanja pripomočkov, odkrivanju morebitnih varnostnih težav in podpori pri ocenjevanju koristi in tveganj po tem, ko so pripomočki dani na trg. Obvezni poročevalci (kot so proizvajalci, uvozniki in zdravstvene ustanove) morajo predložiti poročila, kadar je pripomoček morda povzročil ali prispeval k smrti, resni poškodbi ali okvari. Prostovoljni poročevalci (kot so zdravstveni delavci, pacienti ali negovalci) lahko prav tako predložijo poročila, če opazijo ali izkusijo težavo, povezano s pripomočkom.

Preberite več o MAUDE, vključno z primer poročila MAUDE o kibernetskem področju, v TechNation.

Klikni tukaj

Varnost medicinskih pripomočkov: Kaj si kupci v zdravstvu resnično želijo

Napisal Julija Annaloro on . Objavljeno v Varnost medicinskih pripomočkov, bele knjige.

Kibernetska varnost je zdaj vratar dostopa do trga

KRATEK IZVODNI POVZETEK INDEKSA KIBERNETSKE VARNOSTI MEDICINSKIH NAPRAV ZA LETO 2025

Zdravstvo je doseglo prelomno točko na področju kibernetske varnosti. 22 % zdravstvenih organizacij so doživeli kibernetske napade, ki so ogrozili medicinske pripomočke, pri čemer jih je 75 % incidenti, ki neposredno vplivajo na oskrbo pacientov. Ko napadi prisilijo paciente k premestitvi v druge objektov – kar se je zgodilo v skoraj četrtini primerov – ne govorimo več o IT nevšečnosti, temveč medicinske nujne primere.

 

POVPRAŠEVANJE PO VARNOSTI MEDICINSKIH PRIPOMOČKOV JE VELIKO

1. Preglednost prek SBOM-ov – 78 % jih meni, da so seznami materialov za programsko opremo bistveni pri odločitvah o javnih naročilih. To ni le skladnost s predpisi – gre za praktično upravljanje ranljivosti v medsebojno povezanem ekosistemu.

2. Vgrajena v primerjavi z varnostnimi elementi, ki so nameščeni na vijakih – 60 % jih daje prednost integrirani kibernetski zaščiti pred naknadno vgrajenimi rešitvami. Vodilni v zdravstvu so se naučili, da varnostni ukrepi, ki so zgolj začasni, ne uspejo pred sofisticiranimi napadi.

3. Napredna zaščita med izvajanjem - 36 % jih aktivno išče naprave z zaščito med izvajanjem, medtem ko jih je 38 % seznanjenih z njo, vendar je še ne potrebujejo – kar kaže na hiter razvoj trga od zgodnjega sprejetja do pričakovanj splošne uporabe.

Preberite belo knjigo RunSafe Security, navigatorja Health-ISAC. Klikni tukaj

Stanje kibernetske varnosti v zdravstvu: napredek in pasti

Napisal Julija Annaloro on . Objavljeno v V Novicah, Varnost medicinskih pripomočkov.

Phil Englert iz Health-ISAC in Murad Dikeidek iz UI Health govorita o izzivih varnosti v zdravstvenem sektorju in ponujata vpoglede.

Čeprav zdravstveni sektor napreduje na področju kibernetske odpornosti, se še vedno sooča z globoko zakoreninjenimi izzivi, vključno s sodelovanjem, težavami s kibernetsko delovno silo in proračunskimi omejitvami, kar zahteva nenehno potrebo po prilagajanju in ponovnem določanju prioritet, saj nasprotniki spreminjajo svoje taktike, sta povedala varnostna strokovnjaka Phil Englert in Murad Dikeidek.

»Ena od stvari, ki se dogaja vedno pogosteje in še vedno ne dovolj, je izmenjava informacij,« je dejal Englert, podpredsednik za varnost medicinskih pripomočkov v Centru za izmenjavo in analizo zdravstvenih informacij.

Izmenjava informacij je lahko ključnega pomena za boljše razumevanje groženj, s katerimi se sooča celoten sektor, vendar v mnogih organizacijah še vedno obstaja negotovost glede ravni podrobnosti, ki jih morajo razkriti ponudniki zdravstvenih storitev, je dejal.

Preberite ali poslušajte ta pogovor v oddaji Data Breach Today. Klikni tukaj

Ranljivost Contec CMS8000

Napisal Julija Annaloro on . Objavljeno v Varnost medicinskih pripomočkov, Viri in novice.

Ranljivost Contec CMS8000: kritična skrb glede kibernetske varnosti ali slaba praksa kodiranja?

Blog Health-ISAC o varnosti medicinskih naprav v TechNation

Napisal Phil Englert, podpredsednik oddelka za varnost medicinskih pripomočkov Health-ISAC

Agencija za kibernetsko varnost in varnost infrastrukture (CISA) je 30. januarja 2025 izdala medicinsko obvestilo ICSMA-25-030-01, v katerem je izpostavila kritične ranljivosti v monitorjih za paciente Contec CMS8000. Te ranljivosti – ki vključujejo pisanje izven dovoljenega obsega, skrito funkcionalnost zadnjih vrat in uhajanje zasebnosti – predstavljajo znatno tveganje za varnost pacientov in varnost podatkov. Ameriška uprava za hrano in zdravila (FDA) je istega dne izdala varnostno sporočilo, v katerem je poudarila tveganja, povezana s temi ranljivostmi. FDA je poudarila, da lahko nepooblaščeni uporabniki na daljavo upravljajo Contec CMS8000 in preimenovane različice, kot je Epsimed MN-120, kar lahko ogrozi podatke o pacientih in delovanje naprave. CMS8000 je prišel na trg okoli leta 2005 in je junija 510 pridobil dovoljenje FDA 2011(k).

Priporočila FDA za zdravstvene delavce in paciente so bila dvojna: če se zanašate na funkcije oddaljenega spremljanja, izključite in prenehajte uporabljati napravo. Drugič, FDA je priporočila uporabo samo lokalnih funkcij spremljanja, kot sta onemogočanje brezžičnih zmogljivosti in izključitev ethernetnih kablov. Fiziološki monitorji ne zagotavljajo reševalnega ali ohranjanja življenja, vendar so bistveni za spremljanje stanja ogroženih pacientov. Monitorji pacientov se spremljajo centralno, da se negovalci takoj obvestijo o spremembah stanja pacientov. Hiter odziv je lahko razlika med dobrimi in slabimi izidi.

Ranljivosti Contec CMS8000, ki jih je razkrila CISA in analizirali FDA, Claroty in Cylera, poudarjajo kritično potrebo po robustnih ukrepih za kibernetsko varnost v zdravstvenih ustanovah. Prav tako poudarjajo, da lahko ranljivosti izvirajo iz nezanesljive zasnove in ne iz zlonamernega namena, njihovega potencialnega vpliva na varnost pacientov in varnost podatkov pa ne gre podcenjevati. Ponudniki zdravstvenih storitev bi morali hitro ukrepati, da bi ublažili ta tveganja in zagotovili integriteto svojih medicinskih pripomočkov.

Celoten blog si lahko preberete na TechNationu. Klikni tukaj

 

Kibernetska varnost medicinskih naprav bi lahko bila ogrožena zaradi zmanjšanja števila zaposlenih v HHS

Napisal Julija Annaloro on . Objavljeno v V Novicah, Varnost medicinskih pripomočkov.

Zaslišanje hišnega pododbora o zaščiti kibernetske varnosti za podedovane medicinske pripomočke v senci znižanj HHS.

Panelisti, ki so sodelovali v razpravi pododbora za nadzor in preiskave na temo "Starajoča se tehnologija, nastajajoče grožnje: preučevanje ranljivosti kibernetske varnosti v podedovanih medicinskih pripomočkih", so bili vprašani o vplivu zmanjšanja števila zaposlenih pri FDA na varnost medicinskih pripomočkov. 

"Izjemno," je dejal Kevin Fu, profesor z oddelka za elektrotehniko in računalništvo na Khoury College of Computer Sciences na Northeastern University. Fu je prej deloval kot uvodni vršilec dolžnosti direktorja kibernetske varnosti medicinskih pripomočkov v Centru za naprave in radiološko zdravje FDA (CDRH) in programski direktor za kibernetsko varnost v Centru odličnosti za digitalno zdravje.

Erik Decker, podpredsednik in CISO pri Medgorje Health, je dejal, da je FDA ključni deležnik v prizadevanjih za kibernetsko varnost.

"Da, imelo bo vpliv," je dejal Decker. 

Proizvajalci medicinskih pripomočkov, bolnišnice in partner FDA, je dejal. HHS, FDA in zdravstvena industrija so ustanovili številne delovne skupine v okviru delovne skupine za kibernetsko varnost (CWG) Koordinacijskega sveta zdravstvenega sektorja (HSCC).

Vendar pa je Decker dejal, da analiza kaže, da imajo bolnišnice v povprečju le približno 55 % priporočenih praks kibernetske varnosti v zdravstveni industriji (HICP) za varnost medicinskih naprav. 

Decker je dejal, da obstajajo štiri skupine akterjev groženj: akterji iz nacionalne države, organizirani kriminal, "haktivisti" in grožnje iz notranjih organov. 

Udeleženec razprave Greg Garcia, izvršni direktor delovne skupine za kibernetsko varnost Koordinacijskega sveta zdravstvenega sektorja, je dejal, da bodo naslednji teden objavili belo knjigo o tem, kako imajo zdravstveni sistemi premalo finančnih sredstev in osebja za zaščito kibernetske varnosti.

Preberite celoten članek v Healthcare Finance News. Klikni tukaj

Kako se lahko osebje HTM pripravi na predlagane spremembe varnostnih pravil HIPAA

Napisal Julija Annaloro on . Objavljeno v V Novicah, Varnost medicinskih pripomočkov.

Blog Health-ISAC o varnosti medicinskih naprav v TechNation

Napisal Phil Englert, podpredsednik oddelka za varnost medicinskih pripomočkov Health-ISAC

 

27. decembra 2024 je Urad za državljanske pravice (OCR) pri Ministrstvu za zdravje in socialne zadeve ZDA (HHS) izdal obvestilo o predlaganem oblikovanju pravil (NPRM) za spremembo varnostnega pravila Zakona o prenosljivosti in odgovornosti zdravstvenega zavarovanja iz leta 1996 (HIPAA). Cilj je okrepiti obrambo kibernetske varnosti, ki ščiti elektronske zdravstvene informacije (ePHI). Ta predlagana posodobitev predstavlja proaktiven pristop k varovanju občutljivih zdravstvenih informacij v dobi stopnjevanja kibernetskih groženj.

Predlagane spremembe poudarjajo več kritičnih ukrepov za okrepitev zaščite ePHI. Nekatera od teh pravil so usmerjena v proces, več pa jih je tehničnih. Vključitev teh predlaganih sprememb v postopek javnega naročanja bo pomagala organizacijam, da se pripravijo na spremembe, ko bodo začele veljati. Tukaj je izbor, ki se posebej nanaša na medicinske pripomočke.

Nadaljujte z branjem tega članka v TechNation. Klikni tukaj

Analiza vpliva tveganja medicinskih pripomočkov za zdravstvene delavce

Napisal Julija Annaloro on . Objavljeno v Varnost medicinskih pripomočkov, Viri in novice.

Blog Health-ISAC o varnosti medicinskih naprav v TechNation

Napisal Phil Englert, podpredsednik oddelka za varnost medicinskih pripomočkov Health-ISAC

V zdravstveni industriji je zagotavljanje varnosti in učinkovitosti medicinskih pripomočkov izjemnega pomena. Prepogosto se kibernetska varnost osredotoča na ranljivosti in čeprav je pomembna, je analiza ranljivosti preozka. Ranljivosti se ocenjujejo z uporabo sistema skupnega ocenjevanja ranljivosti (CVSS), ki poskuša ugotoviti, kako nevarna je ranljivost. To so koristne informacije, vendar upoštevajo tveganje ranljivosti znotraj komponente, v kateri se nahaja, in ne izdelka. Ta omejen pogled ne upošteva tveganj, ki jih ranljivost predstavlja za določeno okolje. Pri ocenjevanju tveganja je treba upoštevati tudi kontekstualne dejavnike, kot so pomen sredstva, način uporabe sredstva ali vzpostavljeni nadzor, bodisi znotraj izdelka bodisi znotraj omrežja. Glede na te omejitve je izvedba analize vpliva tveganja medicinskih pripomočkov (MDRIA) ključni postopek, ki pomaga zdravstvenim delavcem prepoznati, oceniti in ublažiti tveganja, povezana z medicinskimi pripomočki. Ta esej opisuje bistvene komponente MDRIA.

Celoten blog si lahko preberete na TechNationu.  Klikni tukaj

Logotip Industrial Cyber ​​na vrhu Slika TV zaslona s posnetkom zaslona tega članka. Izvlečena omemba: Časovnica prenosa odgovornosti med življenjskim ciklom medicinskega pripomočka

Bela knjiga Health-ISAC poudarja odgovornosti glede kibernetske varnosti v življenjskem ciklu medicinskih pripomočkov in se osredotoča na odpornost

Napisal Julija Annaloro on . Objavljeno v Zdravje-ISAC, V Novicah, bele knjige.

 

Health-ISAC je objavil belo knjigo, ki obravnava naloge, potrebne za vzdrževanje kibernetske odpornosti medicinskih naprav, in kako se lahko odgovornosti prenašajo od stranke do stranke v celotnem izdelku. Ko se medicinske naprave premikajo skozi faze življenjskega cikla, se lahko odgovornost za naloge prenese med proizvajalce in kupce. Bela knjiga Health-ISAC ugotavlja, da je komunikacija med obema stranema bistvenega pomena, ko se naprava premika skozi življenjski cikel, tako da so naloge usklajene, varnostne vrzeli v izdelku pa zmanjšane.

Bela knjiga z naslovom "Raziskovanje vlog proizvajalcev in zdravstvenih organizacij v življenjskem ciklu medicinskih pripomočkov v kibernetski varnosti" ugotovil, da Medicinski pripomočki gredo skozi štiri faze življenjskega cikla, z različnimi stopnjami odgovornosti proizvajalca medicinskih pripomočkov in organizacije za zagotavljanje zdravstvene oskrbe. Organizacije za zagotavljanje zdravstvene oskrbe (HDO) bi morale izvajati bolj redne ocene tveganja do konca življenjske dobe (EOL) in konca podpore (EOS), da ugotovijo, ali lahko sprejmejo tveganje nadaljnje uporabe. Poudarja tudi, da se odgovornost za vzdrževanje položaja kibernetske varnosti medicinskega pripomočka razvija v celotnem življenjskem ciklu pripomočka. 

Preberite celoten članek v Industrial Cyber. Klikni tukaj

Raziskovanje vlog proizvajalcev in zdravstvenih organizacij v kibernetski varnosti med življenjskim ciklom medicinskih pripomočkov

Napisal Julija Annaloro on . Objavljeno v Zdravje-ISAC, Varnost medicinskih pripomočkov, bele knjige.

 

TLP: BELA To poročilo se lahko deli brez omejitev.
Člani Health-ISAC obvezno prenesite celotno različico poročila s portala Health-ISAC Threat Intelligence Portal (HTIP)

Ključne sodbe

  • Medicinski pripomočki gredo skozi štiri faze življenjskega cikla, z različnimi ravnmi odgovornosti proizvajalca medicinskih pripomočkov in organizacije za zagotavljanje zdravstvene oskrbe.

  • Organizacije za zagotavljanje zdravstvene oskrbe bi morale izvajati bolj redne ocene tveganja ob koncu življenjske dobe in koncu podpore, da ugotovijo, ali lahko sprejmejo tveganje nadaljnje uporabe.

  • Proizvajalec implementira kategorije varnostnega nadzora v razvojni fazi, da zagotovi, da je naprava varna po zasnovi, varna po privzetku in varna po zahtevi.

  • Dokumentacija in preglednost sta ključni pri ohranjanju kibernetske varnosti. To vključuje zagotavljanje podrobne varnostne dokumentacije, popis materiala programske opreme (SBOM) in jasno komunikacijo o ranljivostih in posodobitvah. 

 

Prenesite to belo knjigo.

Raziskovanje vlog proizvajalcev in zdravstvenih organizacij v kibernetski varnosti med življenjskim ciklom medicinskih pripomočkov
Velikost: 3.2 MB Oblika: PDF

Uvod

Ko postajajo medicinske naprave medsebojno bolj povezane in imajo internetne in brezžične komunikacijske zmogljivosti, bo razumevanje stopenj življenjskega cikla in nalog, potrebnih za ohranjanje njihove varnostne drže, pomagalo organizacijam zaščititi naprave pred grožnjami kibernetske varnosti. Življenjski cikel naprave so različne faze, skozi katere bo šla naprava, od raziskav in razvoja, na trgu ter na koncu do konca življenjske dobe in konca podpore. Ko se medicinske naprave premikajo skozi faze življenjskega cikla, se lahko odgovornost za naloge prenese med proizvajalce in stranko. Komunikacija med obema stranema je bistvena, ko se naprava premika skozi življenjski cikel, tako da so naloge usklajene, varnostne vrzeli v izdelku pa zmanjšane.

Ta dokument raziskuje naloge, ki so potrebne za vzdrževanje kibernetske odpornosti medicinskih naprav, in kako se lahko odgovornosti prenašajo od stranke do stranke v celotnem izdelku. Odgovornost za vzdrževanje položaja kibernetske varnosti medicinskega pripomočka se razvija v celotnem življenjskem ciklu pripomočka. Postopek se začne pri proizvajalcu naprave med fazo načrtovanja in razvoja in se lahko vedno bolj preusmeri na organizacijo za zagotavljanje zdravstvene oskrbe (HDO), ko bo v klinični uporabi. Načela in prakse mednarodnega foruma regulatorjev medicinskih pripomočkov (IMDRF) za kibernetsko varnost podedovanih medicinskih pripomočkov opisujejo štiri faze življenjskega cikla. Uprava za hrano in zdravila (FDA) zagotavlja zahteve za kibernetsko varnost medicinskih pripomočkov v smernicah pred in po dajanju na trg. Proizvajalci lahko obravnavajo kibernetsko varnost naprave med načrtovanjem in razvojem z uporabo zahtev pred trženjem. Zahteve po dajanju na trg so potrebne zaradi tveganj kibernetske varnosti, ki se še naprej razvijajo, potem ko medicinski pripomoček doseže trg.

Kako upravljati kibernetsko tveganje medicinskih pripomočkov – za vse življenje

Napisal Julija Annaloro on . Objavljeno v V Novicah, Varnost medicinskih pripomočkov.

Strokovnjaki ponujajo nasvete za upravljanje rastočih zalog, vire za ponudnike

Smernice HSCC “Kibernetska varnost zdravstvene industrije – Upravljanje varnosti podedovane tehnologije” – ali HIC-MaLTS – ponujajo organizacijam najboljše prakse, ki jih je mogoče uporabiti za obvladovanje kibernetskih tveganj podedovanih medicinskih tehnologij, je dejal Phil Englert, podpredsednik za varnost medicinskih naprav pri Health Information. Center za skupno rabo in analizo.

HIC-MaLTS se spopada z običajnimi izzivi kibernetske varnosti v zdravstvu. Na primer, »veliko različnih vrst medicinskih pripomočkov in različnih lokacij, kjer se uporabljajo, imajo edinstvene profile tveganja in med drugim vključujejo diagnostične, terapevtske, nosljive, vsadljive funkcije in funkcije programske opreme kot medicinske naprave, ki jih je mogoče uporabiti v bolnišnicah, klinikah in drugih nekliničnih okoljih in zdravstvenih ustanovah na domu,« je dejal.

Tudi v tem članku:

  • štiri faze življenjskega cikla medicinskih pripomočkov
  • popisi »sistemskega pogleda« v kombinaciji s segmentacijo in nadzorom dostopa do omrežja
  • Vzorčni pogodbeni jezik HSCC za medtech kibernetsko varnost 

Preberite članek v Healthcare Infosecurity tukaj. Klikni tukaj

Izboljšanje kibernetske varnosti v zdravstvu: vloga zdravja-ISAC

Napisal Julija Annaloro on . Objavljeno v V Novicah, Varnost medicinskih pripomočkov.

S sodelovanjem v Health-ISAC lahko ponudniki zdravstvenih storitev postanejo manj dovzetni za vdori in vdori.

 

V dobi vse bolj izpopolnjenih in razširjenih kibernetskih groženj se ponudniki zdravstvenih storitev soočajo z edinstvenimi izzivi pri zaščiti občutljivih podatkov o pacientih in ohranjanju celovitosti svojih sistemov. Eno močno orodje v boju proti kibernetski kriminaliteti je sodelovanje v Centru za izmenjavo in analizo zdravstvenih informacij (Health-ISAC). Zaradi te sodelovalne organizacije so ponudniki zdravstvenih storitev manj dovzetni za vdore in kršitve.

Ena najpomembnejših prednosti članstva v Health-ISAC je dostop do obveščevalnih podatkov o grožnjah v realnem času. Kibernetske grožnje se hitro razvijajo in imeti posodobljene informacije je ključnega pomena za učinkovito obrambo. Health-ISAC zbira in razširja informacije o nastajajočih grožnjah, ranljivostih in vektorjih napadov. Ta inteligenca ponudnikom zdravstvenih storitev omogoča, da obravnavajo morebitna tveganja, preden jih lahko zlonamerni akterji proaktivno izkoristijo. Na primer, če je zaznan nov sev izsiljevalske programske opreme, ki cilja na sisteme zdravstvenega varstva, lahko Health-ISAC hitro opozori svoje člane in jim zagotovi podrobnosti o grožnji in priporočene strategije za ublažitev. To hitro širjenje informacij je lahko razlika med manjšim incidentom in resno kršitvijo.

Kibernetska varnost ni samotno prizadevanje.

Preberite celoten blog Health-ISAC podpredsednika varnosti medicinskih pripomočkov Phila Englerta v TechNation. Klikni tukaj

Umetna inteligenca, izsiljevalska programska oprema in medicinske naprave: Varovanje zdravstvenega varstva

Napisal Julija Annaloro on . Objavljeno v V Novicah.

McCrary Institute Cyber ​​Focus Podcast

Voditelj Frank Cilluffo se pogovarja z Errolom Weissom, glavnim uradnikom za varnost pri Centru za izmenjavo in analizo zdravstvenih informacij (Health ISAC).

Razpravljajo o razvijajočih se izzivih kibernetske varnosti v zdravstvenem sektorju, vključno z izsiljevalsko programsko opremo, ranljivostmi dobavne verige in kritični potrebi po boljših varnostnih ukrepih za zaščito medicinskih pripomočkov in podatkov o bolnikih. Weiss deli vpoglede iz svojih bogatih izkušenj na področju kibernetske varnosti v zdravstvu in finančnih storitvah, pri čemer poudarja pridobljene izkušnje, vlogo izmenjave informacij in pomen proaktivnih ukrepov za zmanjšanje tveganj.

Poslušajte podcast na YouTubu Klikni tukaj

Teme vključujejo:

  • Zdravje in izsiljevalska programska oprema

  • Izpadi v bolnišnicah

  • Zdravstveni kibernetski proračuni

  • Varnost in skladnost

  • Lekcije iz FS

  • Tehnologija prihodnosti

  • Medicinski pripomočki

  • Medsektorska izmenjava informacij

  • Praktični koraki do varnosti