ไปยังเนื้อหาหลัก

หัวข้อกระทู้: ความปลอดภัยของอุปกรณ์ทางการแพทย์

ความเงียบที่ไม่อาจจับต้องได้: MAUDE สามารถขยายเสียงเรียกร้องให้มีอุปกรณ์ที่ปลอดภัยยิ่งขึ้นได้อย่างไร

เขียนโดย จูเลีย อันนาโลโร on . โพสต์ใน ความปลอดภัยของอุปกรณ์ทางการแพทย์, ทรัพยากรและข่าวสาร.

บล็อกอุปกรณ์ทางการแพทย์โดย Phil Englert รองประธานฝ่ายความปลอดภัยอุปกรณ์ทางการแพทย์ของ Health-ISAC

เจ้าของอุปกรณ์การแพทย์รู้สึกหงุดหงิดมากขึ้นเรื่อยๆ กับข้อมูลที่ผู้ผลิตอุปกรณ์การแพทย์เปิดเผยเกี่ยวกับช่องโหว่ที่ทราบแต่ยังไม่เปิดเผยในเทคโนโลยีทางการแพทย์ และความเร็วในการแก้ไขช่องโหว่ที่ทราบ การใช้ประโยชน์จาก MAUDE ของสำนักงานคณะกรรมการอาหารและยาอาจเป็นวิธีหนึ่งในการขับเคลื่อนความรวดเร็ว

ฐานข้อมูล MAUDE ขององค์การอาหารและยา (FDA) ซึ่งย่อมาจาก Manufacturer and User Facility Device Experience เป็นคลังข้อมูลสาธารณะสำหรับรายงานเหตุการณ์ไม่พึงประสงค์ที่เกี่ยวข้องกับอุปกรณ์การแพทย์ และเป็นส่วนหนึ่งของกลยุทธ์การเฝ้าระวังหลังวางจำหน่ายของ FDA วัตถุประสงค์หลักคือเพื่อช่วยให้ FDA ตรวจสอบประสิทธิภาพของอุปกรณ์ ตรวจจับปัญหาความปลอดภัยที่อาจเกิดขึ้น และสนับสนุนการประเมินประโยชน์และความเสี่ยงหลังจากที่อุปกรณ์วางจำหน่ายแล้ว ผู้รายงานภาคบังคับ (เช่น ผู้ผลิต ผู้นำเข้า และสถานพยาบาล) ต้องส่งรายงานเมื่ออุปกรณ์อาจก่อให้เกิดหรือมีส่วนทำให้เกิดการเสียชีวิต การบาดเจ็บสาหัส หรือการทำงานผิดปกติ ผู้รายงานโดยสมัครใจ (เช่น บุคลากรทางการแพทย์ ผู้ป่วย หรือผู้ดูแล) ก็สามารถส่งรายงานได้เช่นกัน หากสังเกตเห็นหรือประสบปัญหาที่เกี่ยวข้องกับอุปกรณ์

อ่านเพิ่มเติมเกี่ยวกับ MAUDE รวมถึง ตัวอย่างรายงาน MAUDE ที่เกี่ยวข้องกับไซเบอร์ใน TechNation

คลิกที่นี่

ความปลอดภัยของอุปกรณ์ทางการแพทย์: สิ่งที่ผู้ซื้อผลิตภัณฑ์ดูแลสุขภาพต้องการจริงๆ

เขียนโดย จูเลีย อันนาโลโร on . โพสต์ใน ความปลอดภัยของอุปกรณ์ทางการแพทย์, กระดาษสีขาว.

ความปลอดภัยทางไซเบอร์เป็นประตูสู่การเข้าถึงตลาดในปัจจุบัน

ข้อมูลสรุปจากดัชนีความปลอดภัยทางไซเบอร์ของอุปกรณ์ทางการแพทย์ปี 2025

การดูแลสุขภาพไปถึงจุดเปลี่ยนของความปลอดภัยทางไซเบอร์แล้ว 22% ขององค์กรด้านการดูแลสุขภาพ ประสบกับการโจมตีทางไซเบอร์ที่ส่งผลกระทบต่ออุปกรณ์ทางการแพทย์ โดย 75% ของเหตุการณ์เหล่านี้ เหตุการณ์ที่ส่งผลกระทบโดยตรงต่อการดูแลผู้ป่วย เมื่อการโจมตีบังคับให้ผู้ป่วยต้องย้ายไปยังที่อื่น สิ่งอำนวยความสะดวก—ซึ่งเกิดขึ้นในเกือบหนึ่งในสี่ของกรณี—เราไม่ได้พูดถึงไอทีอีกต่อไป ความไม่สะดวกแต่กรณีฉุกเฉินทางการแพทย์

 

ความต้องการความปลอดภัยของอุปกรณ์ทางการแพทย์มีสูง

1. ความโปร่งใสผ่าน SBOMs – 78% มองว่ารายการวัสดุซอฟต์แวร์มีความสำคัญในการตัดสินใจจัดซื้อ นี่ไม่ใช่แค่การปฏิบัติตามข้อบังคับเท่านั้น แต่ยังเป็นการจัดการความเสี่ยงในเชิงปฏิบัติในระบบนิเวศที่เชื่อมต่อถึงกันอีกด้วย

2. ระบบรักษาความปลอดภัยแบบติดตั้งในตัวและแบบติดตั้งเพิ่มเติม – 60% ให้ความสำคัญกับการป้องกันความปลอดภัยทางไซเบอร์แบบบูรณาการมากกว่าโซลูชันที่ดัดแปลง ผู้นำด้านการดูแลสุขภาพได้เรียนรู้แล้วว่ามาตรการรักษาความปลอดภัยแบบชั่วคราวไม่สามารถรับมือกับการโจมตีที่ซับซ้อนได้

3. การป้องกันรันไทม์ขั้นสูง - 36% พยายามค้นหาอุปกรณ์ที่มีการป้องกันแบบรันไทม์อย่างจริงจัง ในขณะที่อีก 38% ทราบแล้วแต่ยังไม่ต้องการ ซึ่งบ่งชี้ถึงการพัฒนาตลาดที่รวดเร็วจากการนำไปใช้ในระยะเริ่มต้นจนกลายเป็นความคาดหวังในกระแสหลัก

อ่านเอกสารข้อมูลโดย RunSafe Security ซึ่งเป็น Health-ISAC Navigator คลิกที่นี่

สถานะความปลอดภัยทางไซเบอร์ของการดูแลสุขภาพ: ความก้าวหน้าและอุปสรรค

เขียนโดย จูเลีย อันนาโลโร on . โพสต์ใน ในข่าว, ความปลอดภัยของอุปกรณ์ทางการแพทย์.

Phil Englert จาก Health-ISAC และ Murad Dikeidek จาก UI Health พูดคุยเกี่ยวกับความท้าทายด้านความมั่นคงของภาคส่วนสุขภาพและเสนอข้อมูลเชิงลึก

แม้ว่าภาคส่วนการดูแลสุขภาพจะก้าวหน้าในด้านการฟื้นตัวจากภัยคุกคามทางไซเบอร์ แต่ยังคงเผชิญกับความท้าทายที่หยั่งรากลึก รวมถึงความร่วมมือ ปัญหาแรงงานด้านไซเบอร์ และข้อจำกัดด้านงบประมาณ ทำให้ต้องมีการเรียกร้องการปรับตัวและการกำหนดลำดับความสำคัญใหม่ตลอดเวลาเมื่อศัตรูเปลี่ยนกลยุทธ์ของตน ฟิล เอ็งเลิร์ตและมูรัด ไดเคเดก ผู้เชี่ยวชาญด้านความปลอดภัยกล่าว

“สิ่งหนึ่งที่เราเห็นว่าเกิดขึ้นมากขึ้นเรื่อยๆ แต่ก็ยังไม่เพียงพอ คือ การแบ่งปันข้อมูล” Englert รองประธานฝ่ายความปลอดภัยของอุปกรณ์ทางการแพทย์ที่ Health Information Sharing and Analysis Center กล่าว

การแบ่งปันข้อมูลอาจมีความสำคัญต่อการช่วยให้ภาคส่วนโดยรวมเข้าใจถึงภัยคุกคามที่กำลังเผชิญได้ดีขึ้น แต่ยังคงมีความไม่แน่นอนอยู่ในหลายองค์กรเกี่ยวกับระดับรายละเอียดที่ผู้ให้บริการด้านการดูแลสุขภาพควรเปิดเผย เขากล่าว

อ่านหรือฟังการสนทนานี้ได้ใน Data Breach Today คลิกที่นี่

ช่องโหว่ Contec CMS8000

เขียนโดย จูเลีย อันนาโลโร on . โพสต์ใน ความปลอดภัยของอุปกรณ์ทางการแพทย์, ทรัพยากรและข่าวสาร.

ช่องโหว่ Contec CMS8000: ปัญหาความปลอดภัยทางไซเบอร์ที่สำคัญหรือการปฏิบัติการเขียนโค้ดที่ไม่ดี?

บล็อกความปลอดภัยอุปกรณ์การแพทย์ Health-ISAC ใน TechNation

เขียนโดย Phil Englert รองประธานฝ่ายความปลอดภัยอุปกรณ์ทางการแพทย์ของ Health-ISAC

เมื่อวันที่ 30 มกราคม 2025 สำนักงานความปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน (CISA) ได้ออกคำแนะนำทางการแพทย์ ICSMA-25-030-01 ซึ่งเน้นย้ำถึงช่องโหว่สำคัญในเครื่องตรวจสอบผู้ป่วย Contec CMS8000 ช่องโหว่เหล่านี้ ซึ่งรวมถึงการเขียนข้อมูลนอกขอบเขต ฟังก์ชันแบ็คดอร์ที่ซ่อนอยู่ และการรั่วไหลของความเป็นส่วนตัว ก่อให้เกิดความเสี่ยงที่สำคัญต่อความปลอดภัยของผู้ป่วยและความปลอดภัยของข้อมูล สำนักงานคณะกรรมการอาหารและยาแห่งสหรัฐอเมริกา (FDA) ได้ออกประกาศด้านความปลอดภัยในวันเดียวกัน โดยเน้นย้ำถึงความเสี่ยงที่เกี่ยวข้องกับช่องโหว่เหล่านี้ สำนักงานคณะกรรมการอาหารและยาแห่งสหรัฐอเมริกาเน้นย้ำว่า Contec CMS8000 และเวอร์ชันที่ติดฉลากใหม่ เช่น Epsimed MN-120 อาจถูกควบคุมจากระยะไกลโดยผู้ใช้ที่ไม่ได้รับอนุญาต ซึ่งอาจทำให้ข้อมูลของผู้ป่วยและการทำงานของอุปกรณ์ได้รับความเสียหาย CMS8000 ออกสู่ตลาดประมาณปี 2005 และได้รับการอนุมัติ 510(k) จาก FDA ในเดือนมิถุนายน 2011

คำแนะนำของ FDA สำหรับผู้ให้บริการด้านการแพทย์และผู้ป่วยมีอยู่ 2 ประการ ได้แก่ ให้ถอดปลั๊กและหยุดใช้อุปกรณ์หากคุณต้องพึ่งพาคุณสมบัติการตรวจสอบระยะไกล ประการที่สอง FDA แนะนำให้ใช้คุณสมบัติการตรวจสอบในพื้นที่เท่านั้น เช่น ปิดการใช้งานความสามารถไร้สายและถอดปลั๊กสายอีเทอร์เน็ต เครื่องติดตามทางสรีรวิทยาไม่ได้ให้การรักษาที่ช่วยชีวิตหรือประคองชีวิต แต่มีความจำเป็นในการติดตามสภาพของผู้ป่วยที่มีความเสี่ยง เครื่องติดตามผู้ป่วยจะได้รับการตรวจสอบจากส่วนกลางเพื่อแจ้งให้ผู้ดูแลทราบเกี่ยวกับการเปลี่ยนแปลงสภาพของผู้ป่วยโดยทันที การตอบสนองอย่างรวดเร็วสามารถสร้างความแตกต่างระหว่างผลลัพธ์ที่ดีและไม่ดีได้

CISA เปิดเผยช่องโหว่ของ Contec CMS8000 และวิเคราะห์โดย FDA, Claroty และ Cylera ชี้ให้เห็นถึงความจำเป็นที่สำคัญของมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งในสถานพยาบาล นอกจากนี้ยังชี้ให้เห็นด้วยว่าช่องโหว่อาจเกิดจากการออกแบบที่ไม่ปลอดภัยมากกว่าเจตนาที่เป็นอันตราย ผลกระทบที่อาจเกิดขึ้นต่อความปลอดภัยของผู้ป่วยและความปลอดภัยของข้อมูลนั้นไม่สามารถประเมินต่ำเกินไป ผู้ให้บริการด้านการแพทย์ควรดำเนินการอย่างรวดเร็วเพื่อลดความเสี่ยงเหล่านี้และรับรองความสมบูรณ์ของอุปกรณ์ทางการแพทย์ของตน

อ่านบล็อกเต็มได้ใน TechNation คลิกที่นี่

 

ความปลอดภัยทางไซเบอร์ของอุปกรณ์ทางการแพทย์อาจเผชิญกับความท้าทายจากการลดจำนวนพนักงานของ HHS

เขียนโดย จูเลีย อันนาโลโร on . โพสต์ใน ในข่าว, ความปลอดภัยของอุปกรณ์ทางการแพทย์.

การพิจารณาของคณะอนุกรรมการสภาผู้แทนราษฎรเกี่ยวกับการปกป้องความปลอดภัยทางไซเบอร์สำหรับอุปกรณ์การแพทย์รุ่นเก่าถูกบดบังด้วยการตัดงบประมาณของ HHS

คณะผู้ร่วมเสวนาที่เข้าร่วมการอภิปรายของคณะอนุกรรมการกำกับดูแลและการสืบสวนในหัวข้อ "เทคโนโลยีที่ล้าสมัย ภัยคุกคามใหม่: การตรวจสอบช่องโหว่ด้านความปลอดภัยทางไซเบอร์ในอุปกรณ์ทางการแพทย์รุ่นเก่า" ได้รับคำถามเกี่ยวกับผลกระทบของการลดจำนวนพนักงานของ FDA ต่อความปลอดภัยของอุปกรณ์ทางการแพทย์ 

“ยอดเยี่ยมมาก” เควิน ฟู ศาสตราจารย์จากภาควิชาวิศวกรรมไฟฟ้าและคอมพิวเตอร์ที่วิทยาลัยวิทยาการคอมพิวเตอร์คูรี มหาวิทยาลัยนอร์ทอีสเทิร์นกล่าว ฟูเคยดำรงตำแหน่งรักษาการผู้อำนวยการคนแรกด้านความปลอดภัยทางไซเบอร์ของอุปกรณ์ทางการแพทย์ที่ศูนย์อุปกรณ์และสุขภาพรังสีวิทยา (CDRH) ของ FDA และผู้อำนวยการโครงการด้านความปลอดภัยทางไซเบอร์ที่ศูนย์ความเป็นเลิศด้านสุขภาพดิจิทัล

Erik Decker รองประธานและ CISO ของ ระหว่างภูเขา ด้านสาธารณสุข กล่าวว่า อย. ถือเป็นผู้มีส่วนได้ส่วนเสียสำคัญในความพยายามด้านความปลอดภัยทางไซเบอร์

“ใช่ มันจะมีผลกระทบ” เด็คเกอร์กล่าว 

ผู้ผลิตอุปกรณ์ทางการแพทย์ โรงพยาบาล และพันธมิตรของ FDA เขากล่าว HHS, FDA และอุตสาหกรรมการดูแลสุขภาพได้จัดตั้งกลุ่มงานจำนวนมากภายใต้กลุ่มงานความปลอดภัยทางไซเบอร์ (CWG) ของสภาประสานงานภาคส่วนสุขภาพ (HSCC)

อย่างไรก็ตาม Decker กล่าวว่า การวิเคราะห์แสดงให้เห็นว่าโดยเฉลี่ยแล้ว โรงพยาบาลมีการนำแนวปฏิบัติด้านความปลอดภัยทางไซเบอร์ของอุตสาหกรรมสุขภาพ (Health Industry Cybersecurity Practices: HICP) ที่แนะนำสำหรับการรักษาความปลอดภัยอุปกรณ์ทางการแพทย์ไปปฏิบัติเพียงประมาณ 55% เท่านั้น 

Decker กล่าวว่ามีกลุ่มผู้ก่อให้เกิดภัยคุกคามอยู่ 4 กลุ่ม ได้แก่ กลุ่มที่ก่อให้เกิดภัยคุกคามต่อประเทศ กลุ่มอาชญากร กลุ่มแฮกเกอร์ และกลุ่มคุกคามจากภายใน 

Greg Garcia ผู้ร่วมอภิปรายและผู้อำนวยการบริหารคณะทำงานด้านความปลอดภัยทางไซเบอร์ของสภาประสานงานภาคส่วนสุขภาพ กล่าวในสัปดาห์หน้าว่า พวกเขาจะเผยแพร่เอกสารเผยแพร่เกี่ยวกับการขาดแหล่งเงินทุนและบุคลากรเพียงพอสำหรับการป้องกันความปลอดภัยทางไซเบอร์ในระบบสุขภาพ

อ่านบทความฉบับเต็มได้ใน Healthcare Finance News คลิกที่นี่

เจ้าหน้าที่ HTM จะเตรียมพร้อมรับมือกับการเปลี่ยนแปลงกฎความปลอดภัย HIPAA ที่เสนอได้อย่างไร

เขียนโดย จูเลีย อันนาโลโร on . โพสต์ใน ในข่าว, ความปลอดภัยของอุปกรณ์ทางการแพทย์.

บล็อกความปลอดภัยอุปกรณ์การแพทย์ Health-ISAC ใน TechNation

เขียนโดย Phil Englert รองประธานฝ่ายความปลอดภัยอุปกรณ์ทางการแพทย์ของ Health-ISAC

 

เมื่อวันที่ 27 ธันวาคม 2024 สำนักงานสิทธิพลเมือง (OCR) ของกระทรวงสาธารณสุขและบริการมนุษย์แห่งสหรัฐอเมริกา (HHS) ได้ออกประกาศการออกกฎหมายที่เสนอ (NPRM) เพื่อแก้ไขกฎหมายความปลอดภัยตามพระราชบัญญัติการโอนย้ายและความรับผิดชอบประกันสุขภาพ ค.ศ. 1996 (HIPAA) โดยมีเป้าหมายเพื่อเสริมความแข็งแกร่งให้กับการป้องกันความปลอดภัยทางไซเบอร์ที่ปกป้องข้อมูลสุขภาพอิเล็กทรอนิกส์ (ePHI) การปรับปรุงที่เสนอนี้เป็นแนวทางเชิงรุกในการปกป้องข้อมูลสุขภาพที่ละเอียดอ่อนในยุคที่ภัยคุกคามทางไซเบอร์ทวีความรุนแรงมากขึ้น

การแก้ไขที่เสนอเน้นย้ำมาตรการสำคัญหลายประการเพื่อสนับสนุนการปกป้อง ePHI กฎบางข้อเน้นที่กระบวนการ และบางข้อเน้นที่เทคนิค การนำการเปลี่ยนแปลงที่เสนอเหล่านี้มาผนวกเข้าในกระบวนการจัดซื้อจะช่วยให้องค์กรเตรียมพร้อมรับมือกับการเปลี่ยนแปลงเมื่อมีผลบังคับใช้ ต่อไปนี้คือตัวอย่างบางส่วนที่เกี่ยวข้องกับอุปกรณ์ทางการแพทย์โดยเฉพาะ

อ่านบทความนี้ต่อได้ใน TechNation คลิกที่นี่

การวิเคราะห์ผลกระทบต่อความเสี่ยงของอุปกรณ์ทางการแพทย์สำหรับผู้ให้บริการด้านการดูแลสุขภาพ

เขียนโดย จูเลีย อันนาโลโร on . โพสต์ใน ความปลอดภัยของอุปกรณ์ทางการแพทย์, ทรัพยากรและข่าวสาร.

บล็อกความปลอดภัยอุปกรณ์การแพทย์ Health-ISAC ใน TechNation

เขียนโดย Phil Englert รองประธานฝ่ายความปลอดภัยอุปกรณ์ทางการแพทย์ของ Health-ISAC

ในอุตสาหกรรมการดูแลสุขภาพ การรับรองความปลอดภัยและประสิทธิภาพของอุปกรณ์ทางการแพทย์ถือเป็นสิ่งสำคัญที่สุด บ่อยครั้งที่การรักษาความปลอดภัยทางไซเบอร์มักเน้นที่ช่องโหว่ และถึงแม้ว่าจะมีความสำคัญ แต่การวิเคราะห์ช่องโหว่ก็ยังแคบเกินไป ช่องโหว่จะได้รับการประเมินโดยใช้ระบบการให้คะแนนช่องโหว่ทั่วไป (Common Vulnerability Scoring System: CVSS) ซึ่งพยายามพิจารณาว่าช่องโหว่นั้นอันตรายเพียงใด ข้อมูลนี้มีประโยชน์ แต่จะพิจารณาถึงความเสี่ยงของช่องโหว่ภายในส่วนประกอบที่ช่องโหว่นั้นอยู่มากกว่าผลิตภัณฑ์ มุมมองที่จำกัดนี้ล้มเหลวในการพิจารณาถึงความเสี่ยงที่ช่องโหว่นั้นก่อให้เกิดต่อสภาพแวดล้อมเฉพาะเจาะจง ปัจจัยเชิงบริบท เช่น ความสำคัญของสินทรัพย์ วิธีการใช้สินทรัพย์ หรือการควบคุมที่มีอยู่ ไม่ว่าจะภายในผลิตภัณฑ์หรือภายในเครือข่าย จะต้องนำมาพิจารณาด้วยเมื่อประเมินความเสี่ยง เมื่อพิจารณาจากข้อจำกัดเหล่านี้ การดำเนินการวิเคราะห์ผลกระทบต่อความเสี่ยงของอุปกรณ์ทางการแพทย์ (MDRIA) จึงเป็นกระบวนการสำคัญที่ช่วยให้ผู้ให้บริการด้านการดูแลสุขภาพระบุ ประเมิน และบรรเทาความเสี่ยงที่เกี่ยวข้องกับอุปกรณ์ทางการแพทย์ บทความนี้จะสรุปส่วนประกอบสำคัญของ MDRIA

อ่านบล็อกเต็มได้ใน TechNation  คลิกที่นี่

โลโก้ Industrial Cyber ​​อยู่ด้านบน รูปภาพหน้าจอทีวีพร้อมภาพหน้าจอของบทความนี้ ดึงเนื้อหา: ไทม์ไลน์ของการเปลี่ยนความรับผิดชอบระหว่างวงจรชีวิตของอุปกรณ์ทางการแพทย์

เอกสารเผยแพร่ของ Health-ISAC เน้นย้ำถึงความรับผิดชอบด้านความปลอดภัยทางไซเบอร์ในวงจรชีวิตของอุปกรณ์ทางการแพทย์ เน้นที่ความยืดหยุ่น

เขียนโดย จูเลีย อันนาโลโร on . โพสต์ใน สุขภาพ-ISAC, ในข่าว, กระดาษสีขาว.

 

Health-ISAC เผยแพร่เอกสารเผยแพร่ที่กล่าวถึงภารกิจที่จำเป็นในการรักษาความสามารถในการรับมือทางไซเบอร์ของอุปกรณ์ทางการแพทย์และวิธีที่ความรับผิดชอบอาจเปลี่ยนไปจากฝ่ายหนึ่งไปยังอีกฝ่ายหนึ่งตลอดทั้งผลิตภัณฑ์ เมื่ออุปกรณ์ทางการแพทย์ผ่านช่วงวงจรชีวิต ความรับผิดชอบสำหรับงานอาจโอนย้ายระหว่างผู้ผลิตและลูกค้า เอกสารเผยแพร่ของ Health-ISAC ระบุว่าการสื่อสารระหว่างสองฝ่ายมีความจำเป็นในขณะที่อุปกรณ์ผ่านช่วงวงจรชีวิต เพื่อให้งานต่างๆ ประสานงานกันและลดช่องว่างด้านความปลอดภัยภายในผลิตภัณฑ์

เอกสารเผยแพร่ฉบับนี้มีชื่อว่า 'การสำรวจบทบาทด้านความปลอดภัยทางไซเบอร์ของผู้ผลิตและองค์กรด้านการดูแลสุขภาพในช่วงวงจรชีวิตของอุปกรณ์ทางการแพทย์' ระบุว่า อุปกรณ์ทางการแพทย์จะผ่านวงจรชีวิต 4 ระยะ โดยความรับผิดชอบจะแตกต่างกันไประหว่างผู้ผลิตอุปกรณ์ทางการแพทย์และองค์กรที่จัดส่งอุปกรณ์ทางการแพทย์ องค์กรที่จัดส่งอุปกรณ์ทางการแพทย์ (HDO) ควรประเมินความเสี่ยงเป็นประจำมากขึ้นเมื่อถึงช่วงสิ้นอายุการใช้งาน (EOL) และสิ้นสุดการสนับสนุน (EOS) เพื่อพิจารณาว่าสามารถยอมรับความเสี่ยงจากการใช้งานต่อเนื่องได้หรือไม่ นอกจากนี้ ยังระบุด้วยว่าความรับผิดชอบในการดูแลรักษาความปลอดภัยทางไซเบอร์ของอุปกรณ์ทางการแพทย์จะพัฒนาไปตลอดวงจรชีวิตของอุปกรณ์ 

อ่านบทความเต็มได้ใน Industrial Cyber คลิกที่นี่

การสำรวจบทบาทด้านความปลอดภัยทางไซเบอร์ของผู้ผลิตและองค์กรด้านการดูแลสุขภาพในระหว่างวงจรชีวิตของอุปกรณ์ทางการแพทย์

เขียนโดย จูเลีย อันนาโลโร on . โพสต์ใน สุขภาพ-ISAC, ความปลอดภัยของอุปกรณ์ทางการแพทย์, กระดาษสีขาว.

 

TLP: สีขาว รายงานนี้อาจได้รับการแบ่งปันโดยไม่มีข้อจำกัด
สมาชิก Health-ISAC โปรดดาวน์โหลดรายงานฉบับเต็มจาก Health-ISAC Threat Intelligence Portal (HTIP)

คำตัดสินที่สำคัญ

  • อุปกรณ์ทางการแพทย์ต้องผ่านวงจรชีวิต 4 ระยะ โดยที่ผู้ผลิตอุปกรณ์ทางการแพทย์และองค์กรที่ให้บริการด้านการดูแลสุขภาพจะต้องมีความรับผิดชอบที่แตกต่างกันออกไป

  • องค์กรที่ให้บริการด้านการดูแลสุขภาพควรทำการประเมินความเสี่ยงเป็นประจำมากขึ้นเมื่อเข้าสู่ช่วงสิ้นสุดอายุการใช้งานและการสิ้นสุดการสนับสนุน เพื่อพิจารณาว่าสามารถยอมรับความเสี่ยงจากการใช้งานต่อเนื่องได้หรือไม่

  • ผู้ผลิตนำหมวดหมู่การควบคุมความปลอดภัยไปใช้ในขั้นตอนการพัฒนาเพื่อให้แน่ใจว่าอุปกรณ์นั้นจะปลอดภัยโดยการออกแบบ ปลอดภัยโดยค่าเริ่มต้น และปลอดภัยตามความต้องการ

  • เอกสารประกอบและความโปร่งใสมีความสำคัญอย่างยิ่งในการรักษาความปลอดภัยทางไซเบอร์ ซึ่งรวมถึงการจัดทำเอกสารประกอบด้านความปลอดภัยโดยละเอียด รายการวัสดุซอฟต์แวร์ (SBOM) และการสื่อสารที่ชัดเจนเกี่ยวกับช่องโหว่และการอัปเดต 

 

ดาวน์โหลดเอกสารข้อมูลนี้

การสำรวจบทบาทด้านความปลอดภัยทางไซเบอร์ของผู้ผลิตและองค์กรด้านการดูแลสุขภาพในระหว่างวงจรชีวิตของอุปกรณ์ทางการแพทย์
ขนาด : 3.2 MB รูปแบบ: รูปแบบไฟล์ PDF

บทนำ

เนื่องจากอุปกรณ์ทางการแพทย์มีความเชื่อมโยงกันมากขึ้นและมีความสามารถในการสื่อสารผ่านอินเทอร์เน็ตและไร้สาย การทำความเข้าใจขั้นตอนต่างๆ ของวงจรชีวิตและงานที่จำเป็นในการรักษาสถานะความปลอดภัยจะช่วยให้องค์กรต่างๆ สามารถรักษาความปลอดภัยของอุปกรณ์จากภัยคุกคามทางไซเบอร์ได้ วงจรชีวิตอุปกรณ์คือขั้นตอนต่างๆ ที่อุปกรณ์จะต้องผ่าน ตั้งแต่การวิจัยและพัฒนา การออกสู่ตลาด และในที่สุดก็คือช่วงสิ้นสุดอายุการใช้งานและสิ้นสุดการสนับสนุน เมื่ออุปกรณ์ทางการแพทย์ผ่านขั้นตอนต่างๆ ของวงจรชีวิต ความรับผิดชอบในการทำงานอาจโอนย้ายระหว่างผู้ผลิตและลูกค้า การสื่อสารระหว่างสองฝ่ายมีความสำคัญอย่างยิ่งในขณะที่อุปกรณ์ผ่านวงจรชีวิต เพื่อให้การทำงานต่างๆ ประสานกันและลดช่องว่างด้านความปลอดภัยภายในผลิตภัณฑ์

เอกสารนี้จะอธิบายถึงงานที่จำเป็นในการรักษาความสามารถในการต้านทานทางไซเบอร์ของอุปกรณ์ทางการแพทย์และความรับผิดชอบที่อาจเปลี่ยนไปจากฝ่ายหนึ่งไปยังอีกฝ่ายหนึ่งตลอดทั้งผลิตภัณฑ์ ความรับผิดชอบในการรักษาท่าทีด้านความปลอดภัยทางไซเบอร์ของอุปกรณ์ทางการแพทย์จะพัฒนาไปตลอดวงจรชีวิตของอุปกรณ์ กระบวนการเริ่มต้นจากผู้ผลิตอุปกรณ์ในระหว่างขั้นตอนการออกแบบและพัฒนา และอาจเปลี่ยนไปยังองค์กรจัดส่งการดูแลสุขภาพ (Healthcare Delivery Organization: HDO) มากขึ้นเมื่อใช้งานในทางคลินิก หลักการและแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ของอุปกรณ์ทางการแพทย์รุ่นเก่าของ International Medical Device Regulators Forum (IMDRF) ได้ระบุขั้นตอนวงจรชีวิตไว้ 4 ขั้นตอน สำนักงานคณะกรรมการอาหารและยา (FDA) กำหนดข้อกำหนดด้านความปลอดภัยทางไซเบอร์ของอุปกรณ์ทางการแพทย์ในแนวทางก่อนและหลังนำเข้าสู่ตลาด ผู้ผลิตสามารถจัดการกับความปลอดภัยทางไซเบอร์ของอุปกรณ์ในระหว่างการออกแบบและพัฒนาโดยใช้ข้อกำหนดก่อนนำเข้าสู่ตลาด ข้อกำหนดหลังนำเข้าสู่ตลาดมีความจำเป็นเนื่องจากความเสี่ยงด้านความปลอดภัยทางไซเบอร์ยังคงพัฒนาต่อไปหลังจากที่อุปกรณ์ทางการแพทย์เข้าสู่ตลาด

วิธีจัดการความเสี่ยงทางไซเบอร์ของอุปกรณ์ทางการแพทย์ – เพื่อชีวิต

เขียนโดย จูเลีย อันนาโลโร on . โพสต์ใน ในข่าว, ความปลอดภัยของอุปกรณ์ทางการแพทย์.

ผู้เชี่ยวชาญให้คำแนะนำในการจัดการสินค้าคงคลังที่เพิ่มขึ้น ทรัพยากรสำหรับผู้ให้บริการ

คำแนะนำเรื่อง “การจัดการความปลอดภัยทางไซเบอร์ของอุตสาหกรรมสุขภาพด้วยเทคโนโลยีทางการแพทย์รุ่นเก่า” หรือ HIC-MaLTS ของ HSCC นำเสนอแนวทางปฏิบัติดีที่สุดแก่องค์กรต่างๆ ที่สามารถใช้ในการจัดการความเสี่ยงทางไซเบอร์จากเทคโนโลยีทางการแพทย์รุ่นเก่าได้ Phil Englert รองประธานด้านความปลอดภัยของอุปกรณ์การแพทย์ที่ Health Information Sharing and Analysis Center กล่าว

HIC-MaLTS รับมือกับความท้าทายด้านความปลอดภัยทางไซเบอร์ด้านการดูแลสุขภาพทั่วไป ตัวอย่างเช่น “อุปกรณ์ทางการแพทย์ประเภทต่างๆ มากมายและสถานที่ต่างๆ ที่ใช้อุปกรณ์เหล่านี้มีโปรไฟล์ความเสี่ยงเฉพาะตัวและรวมถึงคุณลักษณะการวินิจฉัย การรักษา การสวมใส่ การฝัง และการใส่ซอฟต์แวร์เป็นอุปกรณ์ทางการแพทย์ เป็นต้น ซึ่งสามารถใช้ในโรงพยาบาล คลินิก และสถานพยาบาลอื่นๆ ที่ไม่ใช่ทางคลินิกและที่บ้าน” เขากล่าว

นอกจากนี้ในบทความนี้:

  • สี่ช่วงวงจรชีวิตของอุปกรณ์ทางการแพทย์
  • สินค้าคงคลัง "มุมมองระบบ" รวมกับการแบ่งส่วนและการควบคุมการเข้าถึงเครือข่าย
  • รูปแบบภาษาสัญญาของ HSCC สำหรับการรักษาความปลอดภัยทางไซเบอร์ของ Medtech 

อ่านบทความใน Healthcare Infosecurity ได้ที่นี่ คลิกที่นี่

การเสริมสร้างความปลอดภัยทางไซเบอร์ในระบบดูแลสุขภาพ: บทบาทของ Health-ISAC

เขียนโดย จูเลีย อันนาโลโร on . โพสต์ใน ในข่าว, ความปลอดภัยของอุปกรณ์ทางการแพทย์.

การมีส่วนร่วมใน Health-ISAC สามารถทำให้ผู้ให้บริการด้านการดูแลสุขภาพมีความเสี่ยงน้อยลง การแฮ็กและการฝ่าฝืน

 

ในยุคที่ภัยคุกคามทางไซเบอร์มีความซับซ้อนและแพร่หลายมากขึ้นเรื่อยๆ ผู้ให้บริการด้านการดูแลสุขภาพต้องเผชิญกับความท้าทายที่ไม่เหมือนใครในการปกป้องข้อมูลผู้ป่วยที่ละเอียดอ่อนและรักษาความสมบูรณ์ของระบบ เครื่องมืออันทรงพลังอย่างหนึ่งในการต่อสู้กับอาชญากรรมทางไซเบอร์คือการเข้าร่วมในศูนย์แบ่งปันและวิเคราะห์ข้อมูลด้านสุขภาพ (Health-ISAC) องค์กรที่ร่วมมือกันนี้ทำให้ผู้ให้บริการด้านการดูแลสุขภาพเสี่ยงต่อการถูกแฮ็กและละเมิดข้อมูลน้อยลง

ประโยชน์ที่สำคัญที่สุดประการหนึ่งของการเป็นสมาชิก Health-ISAC คือการเข้าถึงข้อมูลข่าวกรองด้านภัยคุกคามแบบเรียลไทม์ ภัยคุกคามทางไซเบอร์มีการพัฒนาอย่างรวดเร็ว และการมีข้อมูลที่ทันสมัยถือเป็นสิ่งสำคัญสำหรับการป้องกันที่มีประสิทธิภาพ Health-ISAC รวบรวมและเผยแพร่ข้อมูลเกี่ยวกับภัยคุกคาม จุดอ่อน และช่องทางการโจมตีที่เกิดขึ้นใหม่ ข้อมูลข่าวกรองนี้ช่วยให้ผู้ให้บริการด้านการดูแลสุขภาพสามารถจัดการกับความเสี่ยงที่อาจเกิดขึ้นได้ก่อนที่ผู้ไม่ประสงค์ดีจะใช้ประโยชน์จากข้อมูลดังกล่าวได้อย่างจริงจัง ตัวอย่างเช่น หากตรวจพบแรนซัมแวร์สายพันธุ์ใหม่ที่กำหนดเป้าหมายไปที่ระบบการดูแลสุขภาพ Health-ISAC จะสามารถแจ้งเตือนสมาชิกได้อย่างรวดเร็ว โดยให้รายละเอียดเกี่ยวกับภัยคุกคามและกลยุทธ์บรรเทาผลกระทบที่แนะนำ การเผยแพร่ข้อมูลอย่างรวดเร็วนี้สามารถสร้างความแตกต่างระหว่างเหตุการณ์เล็กน้อยกับการละเมิดที่สำคัญได้

ความปลอดภัยทางไซเบอร์ไม่ใช่ความพยายามที่ทำคนเดียว

อ่านบล็อกฉบับเต็มโดย Phil Englert รองประธานฝ่ายความปลอดภัยอุปกรณ์ทางการแพทย์ของ Health-ISAC ใน TechNation คลิกที่นี่

AI, Ransomware และอุปกรณ์ทางการแพทย์: การปกป้องการดูแลสุขภาพ

เขียนโดย จูเลีย อันนาโลโร on . โพสต์ใน ในข่าว.

พอดแคสต์ Cyber ​​Focus ของสถาบัน McCrary

ผู้ดำเนินรายการ แฟรงค์ ซิลลัฟโฟ สัมภาษณ์ เออร์รอล ไวส์ หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของศูนย์แบ่งปันและวิเคราะห์ข้อมูลสุขภาพ (Health ISAC)

พวกเขาหารือเกี่ยวกับความท้าทายด้านความปลอดภัยทางไซเบอร์ที่เปลี่ยนแปลงไปในภาคส่วนการดูแลสุขภาพ รวมถึงแรนซัมแวร์ ช่องโหว่ในห่วงโซ่อุปทาน และความจำเป็นอย่างยิ่งในการใช้มาตรการรักษาความปลอดภัยที่ดีขึ้นเพื่อปกป้องอุปกรณ์ทางการแพทย์และข้อมูลของผู้ป่วย Weiss แบ่งปันข้อมูลเชิงลึกจากประสบการณ์อันยาวนานของเขาในด้านความปลอดภัยทางไซเบอร์ทั้งในด้านการดูแลสุขภาพและบริการทางการเงิน โดยเน้นที่บทเรียนที่ได้เรียนรู้ บทบาทของการแบ่งปันข้อมูล และความสำคัญของมาตรการเชิงรุกเพื่อลดความเสี่ยง

ฟังพอดแคสต์บน YouTube คลิกที่นี่

หัวข้อการเรียนมีดังนี้:

  • สุขภาพและแรนซัมแวร์

  • การหยุดให้บริการในโรงพยาบาล

  • งบประมาณไซเบอร์ด้านสุขภาพ

  • ความปลอดภัยและการปฏิบัติตามข้อกำหนด

  • บทเรียนจาก FS

  • เทคโนโลยีแห่งอนาคต

  • เครื่องมือแพทย์

  • การแบ่งปันข้อมูลข้ามภาคส่วน

  • ขั้นตอนปฏิบัติเพื่อความปลอดภัย