TLP: VIT Denna rapport kan delas utan begränsningar.
Health-ISAC-medlemmar se till att ladda ner den fullständiga versionen av rapporten från Health-ISAC Threat Intelligence Portal (HTIP)
Viktiga domar
Medicinsk utrustning går igenom fyra livscykelfaser, med olika ansvarsnivåer som läggs på tillverkaren av medicintekniska produkter och vårdorganisationen.
Sjukvårdsorganisationer bör utföra mer regelbundna riskbedömningar som går in i End of Life och End of Support för att avgöra om de kan acceptera risken för fortsatt användning.
Tillverkaren implementerar säkerhetskontrollkategorier i utvecklingsfasen för att säkerställa att enheten är Secure by Design, Secure by Default och Secure by Demand.
Dokumentation och transparens är avgörande för att upprätthålla cybersäkerhet. Detta inkluderar att tillhandahålla detaljerad säkerhetsdokumentation, en Software Bill of Materials (SBOM) och tydlig kommunikation om sårbarheter och uppdateringar.
I takt med att medicinsk utrustning blir mer sammankopplad och har internet- och trådlös kommunikationskapacitet, kommer att förstå livscykelstadierna och de uppgifter som krävs för att upprätthålla deras säkerhetsställning hjälpa organisationer att säkra enheter mot cybersäkerhetshot. Enhetens livscykel är de olika stadierna som en enhet kommer att gå igenom, från forskning och utveckling, på marknaden och så småningom, slutet av livet och slutet av supporten. När medicintekniska produkter rör sig genom livscykelfaserna kan ansvaret för uppgifterna flyttas mellan tillverkarna och kunden. Kommunikation mellan de två parterna är väsentlig eftersom enheten rör sig genom livscykeln så att uppgifterna samordnas och säkerhetsluckor inom produkten minskas.
Det här dokumentet utforskar de uppgifter som krävs för att upprätthålla cyberresiliensen hos medicintekniska produkter och hur ansvaret kan flyttas från part till part genom hela produkten. Ansvaret för att upprätthålla en medicinsk enhets cybersäkerhetsställning utvecklas under en enhets livscykel. Processen börjar med enhetstillverkaren under design- och utvecklingsfasen och kan i allt högre grad övergå till Healthcare Delivery Organisation (HDO) när den väl används kliniskt. International Medical Device Regulators Forum (IMDRF) principer och praxis för cybersäkerhet av äldre medicinska anordningar beskriver fyra livscykelfaser. Food and Drug Administration (FDA) tillhandahåller krav på cybersäkerhet för medicinsk utrustning i vägledning före och efter marknaden. Tillverkare kan ta itu med en enhets cybersäkerhet under design och utveckling genom att använda kraven från förmarknaden. Eftermarknadskrav behövs på grund av att cybersäkerhetsriskerna fortsätter att utvecklas efter att den medicinska produkten når marknaden.
