Hoppa till huvudinnehåll

Inläggsämne: Säkerhet för medicinsk utrustning

Oupphörlig tystnad: Hur MAUDE kan förstärka kravet på säkrare enheter

Skriven av Julia Annaloro on . Publicerad i Säkerhet för medicinsk utrustning, Resurser och nyheter.

Blogg om medicintekniska produkter av Phil Englert, vice VD för säkerhet inom medicintekniska produkter på Health-ISAC

Ägare av medicintekniska produkter blir alltmer frustrerade över den begränsade information som tillverkare av medicintekniska produkter delar om kända men icke avslöjade sårbarheter inom medicinsk teknik och den hastighet med vilken de åtgärdar kända sårbarheter. Att utnyttja Livsmedels- och läkemedelsmyndighetens MAUDE-program kan vara ett sätt att öka effektiviteten.

FDA:s MAUDE-databas – förkortning för Manufacturer and User Facility Device Experience – är en offentlig arkivering av biverkningsrapporter som rör medicintekniska produkter och är en del av FDA:s strategi för övervakning efter utsläppandet på marknaden. Dess primära syfte är att hjälpa FDA att övervaka produkters prestanda, upptäcka potentiella säkerhetsproblem och stödja risk-nyttabedömningar efter att produkterna har kommit ut på marknaden. Obligatoriska rapporteringsgivare (som tillverkare, importörer och vårdinrättningar) måste lämna in rapporter när en produkt kan ha orsakat eller bidragit till dödsfall, allvarlig skada eller funktionsfel. Frivilliga rapporteringsgivare (som vårdpersonal, patienter eller vårdgivare) kan också lämna in rapporter om de observerar eller upplever ett produktrelaterat problem.

Läs mer om MAUDE, inklusive en exempel på en cyberrelaterad MAUDE-rapportberättelse, i TechNation.

Klicka här

Säkerhet inom medicintekniska produkter: Vad vårdköpare verkligen vill ha

Skriven av Julia Annaloro on . Publicerad i Säkerhet för medicinsk utrustning, Vita Papers.

Cybersäkerhet är nu portvakten till marknadstillträde

KORT FRÅN CYBERSÄKERHETSINDEXET FÖR MEDICINTEKNISKA PRODUKTER 2025

Hälso- och sjukvården har nått en brytpunkt inom cybersäkerhet. 22 % av vårdorganisationerna har upplevt cyberattacker som äventyrat medicintekniska produkter, varav 75 % incidenter som direkt påverkar patientvården. När attacker tvingar patienten att flyttas till andra anläggningar – vilket hände i nästan en fjärdedel av fallen – pratar vi inte längre om IT besvär, men medicinska nödsituationer.

 

EFTERFRÅGAN PÅ SÄKERHET FÖR MEDICINTEKNISKA PRODUKTER ÄR HÖG

1. Transparens genom SBOM:er – 78 % anser att stycklistor för programvara är avgörande vid upphandlingsbeslut. Detta handlar inte bara om regelefterlevnad – det handlar om praktisk sårbarhetshantering i ett sammankopplat ekosystem.

2. Inbyggd kontra påbyggd säkerhet – 60 % prioriterar integrerade cybersäkerhetsskydd framför eftermonterade lösningar. Ledare inom sjukvården har lärt sig att plåsterbaserade säkerhetsåtgärder misslyckas mot sofistikerade attacker.

3. Avancerat runtime-skydd - 36 % söker aktivt efter enheter med runtime-skydd, medan ytterligare 38 % är medvetna om det men ännu inte behöver det – vilket tyder på en snabb marknadsutveckling från tidig implementering till allmänt accepterade förväntningar.

Läs rapporten från RunSafe Security, en Health-ISAC Navigator. Klicka här

Hälso- och sjukvårdens cybersäkerhetsläge: Framsteg och fallgropar

Skriven av Julia Annaloro on . Publicerad i I nyheterna, Säkerhet för medicinsk utrustning.

Phil Englert från Health-ISAC och Murad Dikeidek från UI Health talar om utmaningarna med säkerheten inom hälso- och sjukvårdssektorn och ger insikter.

Även om hälso- och sjukvårdssektorn gör framsteg inom cybermotståndskraft står den fortfarande inför djupt rotade utmaningar, inklusive samarbete, problem med cyberarbetskraften och budgetbegränsningar, vilket kräver ett ständigt krav på anpassning och omprioriteringar i takt med att motståndare ändrar sin taktik, säger säkerhetsexperterna Phil Englert och Murad Dikeidek.

"En av de saker som vi ser hända mer och mer, och som fortfarande inte räcker till, är informationsdelning", säger Englert, vice vd för medicinteknisk säkerhet på Health Information Sharing and Analysis Center.

Informationsdelning kan vara avgörande för att hjälpa hela sektorn att bättre förstå de hot den står inför, men det råder fortfarande osäkerhet hos många organisationer om vilken detaljnivå vårdgivare bör offentliggöra, sa han.

Läs eller lyssna på den här konversationen i Dataintrång idag. Klicka här

Contec CMS8000-sårbarhet

Skriven av Julia Annaloro on . Publicerad i Säkerhet för medicinsk utrustning, Resurser och nyheter.

Sårbarhet i Contec CMS8000: Ett kritiskt cybersäkerhetsproblem eller dålig kodningspraxis?

Health-ISAC Medical Device Security Blog i TechNation

Skrivet av Phil Englert, Health-ISAC VP of Medical Device Security

Den 30 januari 2025 publicerade Cybersecurity and Infrastructure Security Agency (CISA) den medicinska rekommendationen ICSMA-25-030-01, som lyfte fram kritiska sårbarheter i Contec CMS8000-patientmonitorerna. Dessa sårbarheter – som inkluderar skrivning utanför gränserna, dold bakdörrsfunktion och integritetsläckage – utgör betydande risker för patientsäkerhet och datasäkerhet. Den amerikanska livsmedels- och läkemedelsmyndigheten (FDA) utfärdade ett säkerhetsmeddelande samma dag, där de betonade riskerna med dessa sårbarheter. FDA betonade att Contec CMS8000 och ommärkta versioner, såsom Epsimed MN-120, kan fjärrstyras av obehöriga användare, vilket potentiellt kan äventyra patientdata och enhetens funktionalitet. CMS8000 kom ut på marknaden omkring 2005 och fick FDA 510(k)-godkännande i juni 2011.

FDA:s rekommendationer för vårdgivare och patienter var tvåfaldiga: Koppla ur och sluta använda enheten om du är beroende av fjärrövervakningsfunktioner. För det andra rekommenderade FDA att endast använda lokala övervakningsfunktioner, såsom att inaktivera trådlösa funktioner och koppla ur ethernetkablar. Fysiologiska monitorer ger inte livräddande eller livsuppehållande behandling, men de är viktiga för att övervaka tillståndet hos riskpatienter. Patientmonitorer övervakas centralt för att snabbt meddela vårdgivare om förändringar i patientens tillstånd. Snabb respons kan vara skillnaden mellan bra och dåliga resultat.

Sårbarheterna i Contec CMS8000, som avslöjats av CISA och analyserats av FDA, Claroty och Cylera, belyser det kritiska behovet av robusta cybersäkerhetsåtgärder inom hälso- och sjukvården. De belyser också att sårbarheter kan härröra från osäker design snarare än illvillig avsikt, och att deras potentiella inverkan på patientsäkerhet och datasäkerhet inte kan underskattas. Vårdgivare bör agera snabbt för att minska dessa risker och säkerställa integriteten hos sina medicintekniska produkter.

Läs hela blogginlägget i TechNation. Klicka här

 

Cybersäkerhet för medicinsk utrustning kan utmanas av personalnedskärningar hos HHS

Skriven av Julia Annaloro on . Publicerad i I nyheterna, Säkerhet för medicinsk utrustning.

Utfrågning i husets underkommitté om skydd av cybersäkerhet för äldre medicintekniska produkter i skuggan av HHS-nedskärningar.

Paneldeltagare som deltog i diskussionen i tillsyns- och utredningsunderkommittén om "Åldrande teknologi, nya hot: att undersöka cybersäkerhetssårbarheter i äldre medicinska enheter" tillfrågades om effekterna av personalminskningar från FDA på säkerheten för medicintekniska produkter. 

"Enormt", säger Kevin Fu, professor från avdelningen för elektro- och datorteknik vid Khoury College of Computer Sciences vid Northeastern University. Fu var tidigare tillförordnad direktör för Medical Device Cybersecurity vid FDA:s Center for Devices and Radiological Health (CDRH) och programchef för Cybersecurity vid Digital Health Center of Excellence.

Erik Decker, vice vd och CISO vid Mellanfjället Hälsa, sade FDA är en nyckelaktör i cybersäkerhetsarbete.

"Ja, det kommer att ha en inverkan," sa Decker. 

Tillverkare av medicintekniska produkter, sjukhus och FDA-partnern, sa han. HHS, FDA och hälso- och sjukvårdsindustrin har inrättat ett flertal arbetsgrupper under Health Sector Coordinating Council (HSCC) Cybersecurity Working Group (CWG).

Men, sa Decker, visar analys att sjukhusen i genomsnitt bara har cirka 55 % av Health Industry Cybersecurity Practices (HICP) rekommenderade metoder för medicinsk utrustningssäkerhet implementerad. 

Decker sa att det finns fyra grupper av hotaktörer: nationalstatsaktörer, organiserad brottslighet, "hacktivister" och insiderhot. 

Paneldeltagaren Greg Garcia, verkställande direktör, Health Sector Coordinating Council Cybersecurity Working Group, sa nästa vecka att de kommer att släppa en vitbok om hur hälsosystem undersourcas i ekonomi och personal för cybersäkerhetsskydd.

Läs hela artikeln i Healthcare Finance News. Klicka här

Hur HTM-personal kan förbereda sig för de föreslagna ändringarna av HIPAA-säkerhetsregeln

Skriven av Julia Annaloro on . Publicerad i I nyheterna, Säkerhet för medicinsk utrustning.

Health-ISAC Medical Device Security Blog i TechNation

Skrivet av Phil Englert, Health-ISAC VP of Medical Device Security

 

Den 27 december 2024 utfärdade Office for Civil Rights (OCR) vid US Department of Health and Human Services (HHS) en Notice of Proposed Rulemaking (NPRM) för att ändra Health Insurance Portability and Accountability Act of 1996 (HIPAA) Security Rule. Målet är att stärka cybersäkerhetsförsvar som skyddar elektronisk hälsoinformation (ePHI). Den här föreslagna uppdateringen representerar ett proaktivt tillvägagångssätt för att skydda känslig hälsoinformation i en tid av eskalerande cyberhot.

De föreslagna ändringarna belyser flera viktiga åtgärder för att stärka ePHI-skyddet. Vissa av dessa regler är processorienterade och flera är tekniska. Att införliva dessa föreslagna ändringar i upphandlingsprocessen kommer att hjälpa organisationer att förbereda sig för ändringarna när de träder i kraft. Här är ett urval specifikt relevant för medicinsk utrustning.

Fortsätt läsa den här artikeln i TechNation. Klicka här

Riskkonsekvensanalys av medicintekniska produkter för vårdgivare

Skriven av Julia Annaloro on . Publicerad i Säkerhet för medicinsk utrustning, Resurser och nyheter.

Health-ISAC Medical Device Security Blog i TechNation

Skrivet av Phil Englert, Health-ISAC VP of Medical Device Security

Inom hälso- och sjukvårdsbranschen är det av största vikt att säkerställa medicintekniska produkters säkerhet och effektivitet. Alltför ofta fokuserar cybersäkerhet på sårbarheter, och även om det är viktigt, är sårbarhetsanalysen för snäv. Sårbarheter utvärderas med hjälp av Common Vulnerability Scoring System (CVSS), som försöker avgöra hur farlig en sårbarhet är. Detta är användbar information men beaktar sårbarhetsrisken inom den komponent den finns i snarare än produkten. Denna begränsade synvinkel tar inte hänsyn till de risker som sårbarheten utgör för en specifik miljö. Kontextuella faktorer som tillgångens betydelse, hur tillgången används eller de kontroller som finns på plats, antingen inom produkten eller inom nätverket, måste också beaktas vid riskbedömning. Med tanke på dessa begränsningar är det en kritisk process att genomföra en riskkonsekvensanalys för medicintekniska produkter (MDRIA) som hjälper vårdgivare att identifiera, bedöma och minska risker i samband med medicintekniska produkter. Denna uppsats beskriver de väsentliga komponenterna i en MDRIA.

Läs hela blogginlägget i TechNation.  Klicka här

Industrial Cyber-logotyp på toppen Bild av en TV-skärm med en skärmdump av den här artikeln på. Uppdraget omnämnande: Tidslinje för ansvarsskifte under livscykeln för medicintekniska produkter

Health-ISAC whitepaper belyser cybersäkerhetsansvar i medicinsk utrustnings livscykel, fokuserar på resiliens

Skriven av Julia Annaloro on . Publicerad i Hälsa-ISAC, I nyheterna, Vita Papers.

 

Health-ISAC publicerade ett whitepaper som tar upp de uppgifter som behövs för att upprätthålla cyberresiliensen hos medicintekniska produkter och hur ansvaret kan flyttas från part till parti genom hela produkten. När medicintekniska produkter rör sig genom livscykelfaserna kan ansvaret för uppgifterna flyttas mellan tillverkarna och kunden. Health-ISAC-vitboken identifierar att kommunikation mellan de två parterna är avgörande när enheten rör sig genom livscykeln så att uppgifterna samordnas och säkerhetsluckor inom produkten minskas.

Med titeln "Utforska tillverkares och sjukvårdsorganisationers cybersäkerhetsroller under livscykeln för medicinska enheter", vitboken identifierade det medicintekniska produkter går igenom fyra livscykelfaser, med varierande ansvarsnivåer på tillverkaren av medicintekniska produkter och vårdorganisationen. Organisationer för sjukvårdsleveranser (HDO) bör utföra mer regelbundna riskbedömningar vid slutet av livet (EOL) och slutet av supporten (EOS) för att avgöra om de kan acceptera risken för fortsatt användning. Den påpekar också att ansvaret för att upprätthålla en medicinteknisk produkts cybersäkerhetsställning utvecklas under en enhets livscykel. 

Läs hela artikeln i Industrial Cyber. Klicka här

Utforska tillverkares och hälsovårdsorganisationers cybersäkerhetsroller under livscykeln för medicinska enheter

Skriven av Julia Annaloro on . Publicerad i Hälsa-ISAC, Säkerhet för medicinsk utrustning, Vita Papers.

 

TLP: VIT Denna rapport kan delas utan begränsningar.
Health-ISAC-medlemmar se till att ladda ner den fullständiga versionen av rapporten från Health-ISAC Threat Intelligence Portal (HTIP)

Viktiga domar

  • Medicinsk utrustning går igenom fyra livscykelfaser, med olika ansvarsnivåer som läggs på tillverkaren av medicintekniska produkter och vårdorganisationen.

  • Sjukvårdsorganisationer bör utföra mer regelbundna riskbedömningar som går in i End of Life och End of Support för att avgöra om de kan acceptera risken för fortsatt användning.

  • Tillverkaren implementerar säkerhetskontrollkategorier i utvecklingsfasen för att säkerställa att enheten är Secure by Design, Secure by Default och Secure by Demand.

  • Dokumentation och transparens är avgörande för att upprätthålla cybersäkerhet. Detta inkluderar att tillhandahålla detaljerad säkerhetsdokumentation, en Software Bill of Materials (SBOM) och tydlig kommunikation om sårbarheter och uppdateringar. 

 

Ladda ner denna vitbok.

Utforska tillverkares och sjukvårdsorganisationers cybersäkerhetsroller under livscykeln för medicinska enheter
Storlek: 3.2 MB format: PDF

Beskrivning

I takt med att medicinsk utrustning blir mer sammankopplad och har internet- och trådlös kommunikationskapacitet, kommer att förstå livscykelstadierna och de uppgifter som krävs för att upprätthålla deras säkerhetsställning hjälpa organisationer att säkra enheter mot cybersäkerhetshot. Enhetens livscykel är de olika stadierna som en enhet kommer att gå igenom, från forskning och utveckling, på marknaden och så småningom, slutet av livet och slutet av supporten. När medicintekniska produkter rör sig genom livscykelfaserna kan ansvaret för uppgifterna flyttas mellan tillverkarna och kunden. Kommunikation mellan de två parterna är väsentlig eftersom enheten rör sig genom livscykeln så att uppgifterna samordnas och säkerhetsluckor inom produkten minskas.

Det här dokumentet utforskar de uppgifter som krävs för att upprätthålla cyberresiliensen hos medicintekniska produkter och hur ansvaret kan flyttas från part till part genom hela produkten. Ansvaret för att upprätthålla en medicinsk enhets cybersäkerhetsställning utvecklas under en enhets livscykel. Processen börjar med enhetstillverkaren under design- och utvecklingsfasen och kan i allt högre grad övergå till Healthcare Delivery Organisation (HDO) när den väl används kliniskt. International Medical Device Regulators Forum (IMDRF) principer och praxis för cybersäkerhet av äldre medicinska anordningar beskriver fyra livscykelfaser. Food and Drug Administration (FDA) tillhandahåller krav på cybersäkerhet för medicinsk utrustning i vägledning före och efter marknaden. Tillverkare kan ta itu med en enhets cybersäkerhet under design och utveckling genom att använda kraven från förmarknaden. Eftermarknadskrav behövs på grund av att cybersäkerhetsriskerna fortsätter att utvecklas efter att den medicinska produkten når marknaden.

Hur man hanterar cyberrisk med medicinsk utrustning – för livet

Skriven av Julia Annaloro on . Publicerad i I nyheterna, Säkerhet för medicinsk utrustning.

Experter ger råd för hantering av växande lager, resurser för leverantörer

HSCC:s ”Health Industry Cybersecurity – Managing Legacy Technology Security” – eller HIC-MaLTS – vägledning erbjuder organisationer bästa praxis som kan användas för att hantera cyberrisker med äldre medicinsk teknik, säger Phil Englert, vice VD för medicinsk utrustningssäkerhet på Health Information Delnings- och analyscenter.

HIC-MaLTS tar sig an vanliga cybersäkerhetsutmaningar inom sjukvården. Till exempel, "många olika typer av medicinsk utrustning och de olika platser där de används har unika riskprofiler och inkluderar bland annat diagnostiska, terapeutiska, bärbara, implanterbara och mjukvara-som-medicinsk utrustning som kan användas. på sjukhus, kliniker och andra icke-kliniska och hemsjukvårdsmiljöer”, sa han.

Även i denna artikel:

  • fyra livscykelfaser för medicinsk utrustning
  • "system-view" inventeringar kombinerat med segmentering och nätverksåtkomstkontroller
  • HSCC:s modellavtalsspråk för Medtech Cybersecurity 

Läs artikeln i Healthcare Infosecurity här. Klicka här

Enhancing Cybersecurity in Healthcare: The Role of Health-ISAC

Skriven av Julia Annaloro on . Publicerad i I nyheterna, Säkerhet för medicinsk utrustning.

Deltagande i Health-ISAC kan göra vårdgivare mindre mottagliga för hackar och intrång.

 

I en tid av allt mer sofistikerade och utbredda cyberhot står vårdgivare inför unika utmaningar när det gäller att skydda känslig patientdata och upprätthålla integriteten hos sina system. Ett kraftfullt verktyg i kampen mot cyberbrottslighet är deltagande i Health Information Sharing and Analysis Center (Health-ISAC). Denna samarbetsorganisation gör vårdgivare mindre mottagliga för hacks och intrång.

En av de viktigaste fördelarna med Health-ISAC-medlemskap är tillgång till hotintelligens i realtid. Cyberhot utvecklas snabbt, och att ha uppdaterad information är avgörande för ett effektivt försvar. Health-ISAC samlar in och sprider information om nya hot, sårbarheter och attackvektorer. Denna intelligens gör det möjligt för vårdgivare att ta itu med potentiella risker innan illvilliga aktörer kan utnyttja dem proaktivt. Till exempel, om en ny ransomware-stam upptäcks riktad mot hälso- och sjukvårdssystem, kan Health-ISAC snabbt varna sina medlemmar, ge information om hotet och rekommenderade begränsningsstrategier. Denna snabba spridning av information kan vara skillnaden mellan en mindre incident och en betydande intrång.

Cybersäkerhet är inte en ensam strävan.

Läs hela bloggen av Health-ISAC VP för Medical Device Security Phil Englert i TechNation. Klicka här

AI, Ransomware och medicinska enheter: Säkerställande av hälsovård

Skriven av Julia Annaloro on . Publicerad i I nyheterna.

McCrary Institute Cyber ​​Focus Podcast

Värden Frank Cilluffo intervjuar Errol Weiss, Chief Security Officer vid Health Information Sharing and Analysis Center (Health ISAC).

De diskuterar cybersäkerhetsutmaningarna i sjukvårdssektorn, inklusive ransomware, sårbarheter i leveranskedjan och det kritiska behovet av bättre säkerhetsåtgärder för att skydda medicinsk utrustning och patientdata. Weiss delar med sig av insikter från sin omfattande erfarenhet av cybersäkerhet inom både hälso- och sjukvård och finansiella tjänster, och lyfter fram lärdomar, informationsdelningens roll och vikten av proaktiva åtgärder för att minska risker.

Lyssna på podden på YouTube Klicka här

Ämnen inkluderar:

  • Hälsa och Ransomware

  • Avbrott på sjukhus

  • Hälso-cyberbudgetar

  • Säkerhet och samtycke

  • Lärdomar från FS

  • Framtida teknik

  • Medicintekniska produkter

  • Tvärsektoriell informationsdelning

  • Praktiska steg mot säkerhet