Health-ISAC Hacking Healthcare 10-6-2023

Ласкаво просимо до Hacking Healthcare™

Європейський саміт Health-ISAC

Health-ISAC хотів би нагадати членам, що ще є час для реєстрації на майбутній Європейський саміт 2023 року. Захід проходитиме в Дубровнику, Хорватія, з 17 по 19 жовтня. Для тих, хто хоче дізнатися про відповідальний штучний інтелект або отримати оновлення NIS2, будь ласка, зареєструйтеся до кінцевого терміну 12 жовтня.

Link: https://web.cvent.com/event/3e5fb53c-28a0-4d5d-ad1b-7b82eb63d4ce/summary

Хобі-вправа Health-ISAC 2023

Health-ISAC радий оголосити про четверту ітерацію наших Hobby Exercise Americas 25 жовтня у Вашингтоні, округ Колумбія. Hobby Exercise — це щорічна подія з питань охорони здоров’я та громадського здоров’я (HPH), спрямована на залучення сектору охорони здоров’я та стратегічних партнерів до важливих проблем безпеки та стійкості. Основна мета полягає в тому, щоб інформувати та надавати можливості для постійного організаційного вдосконалення, одночасно підвищуючи стійкість сектору охорони здоров’я.

Учасники, які бажають дізнатися більше або висловлюють інтерес до участі, повинні перейти за таким посиланням для реєстрації: https://portal.h-isac.org/s/community-event?id=a1Y7V00000VJ560UAD

FDA випускає оновлені рекомендації щодо кібербезпеки медичних пристроїв 

26 вересня FDA опублікувала остаточні рекомендації щодо кібербезпеки медичних пристроїв. Під назвою, Кібербезпека в медичних пристроях: міркування щодо системи якості та вміст передпродажних матеріалів,[Я] 57-сторінковий документ оновлює та замінює існуюче керівництво, Вміст передпродажних матеріалів для управління кібербезпекою в медичних пристроях, з 2014 р. Давайте розглянемо причини нових вказівок, який вміст очікувати та що члени Health-ISAC можуть захотіти зробити у відповідь на них.

фон

Обґрунтування оновлених інструкцій від FDA включало конкретне посилання на збільшення кількості медичних пристроїв та електронний обмін інформацією про здоров’я, пов’язану з медичними пристроями, а також більш часті та серйозні кіберзагрози для сектору охорони здоров’я, які можуть завдати шкоди пацієнтам, якщо не будуть відповідними. адресовані.[Ii]

Він також враховує нові зобов’язання виробників медичного обладнання, які випливають із прийняття розділу 3305 Закону про консолідовані асигнування 2023 року.[Iii] Розділ 3305 викладає вимоги щодо кібербезпеки для різноманітних заявок і документів, пов’язаних із підрозділом A глави V Федерального закону про харчові продукти, ліки та косметику (FD&C Act). Хоча нове керівництво FDA не стосується розділу 3305, «рекомендації в [новому керівництві] мають на меті допомогти виробникам виконати [ці] зобов’язання».[Iv] Випадково чи ні, це нове оновлене керівництво було опубліковано за кілька днів до очікуваного FDA посилення виконання нових правил, викладених у розділі 3305, який технічно набув чинності багато місяців тому.[V]

Оновлені інструкції доповнюють інші існуючі інструкції з кібербезпеки медичних пристроїв, зокрема:

• – Керівництво з кібербезпеки на ринку[Vi]
• – Кібербезпека для мережевих медичних пристроїв, що містять готове програмне забезпечення (OTS)[VII]
• – Вміст передпродажних матеріалів для функцій програмного забезпечення пристрою[viii]

зміст

Окрім висвітлення загальних принципів, оновлені інструкції відображають нові реалії, описані вище, особливо наголошуючи на «важливості забезпечення того, щоб пристрої були сконструйовані безпечно та розроблені таким чином, щоб вони були здатні пом’якшувати нові ризики кібербезпеки протягом усього життєвого циклу продукту (TPLC)».[IX] Цей підхід TPLC особливо проілюстрований рекомендаціями, пов’язаними з безпечним проектуванням і використанням Secure Product Development Framework (SPDF), який у керівництві описується як «набір процесів, які зменшують кількість і ступінь серйозності вразливостей у продуктах протягом життєвого циклу пристрою. .”[X]

Розділ про запровадження SPDF є найбільшим у документі та містить деталі його зв’язку з керуванням ризиками безпеки, архітектурою безпеки та тестуванням кібербезпеки. FDA не виступає за будь-яку конкретну структуру, зазначаючи натомість, що організації повинні проявляти гнучкість, щоб застосовувати те, що має сенс для їхніх конкретних обставин. Однак у керівництві міститься Національний інститут стандартів і технологій (NIST) Framework for Improving Critical Infrastructure Cybersecurity (NIST CSF), «структура для медичних пристроїв, яку можна знайти в Спільному плані безпеки медичних пристроїв і медичних ІТ (JSP). ) і IEC 81001-5-1», як приклади, які можуть відповідати необхідним нормам.[xi]

Дія та аналіз
**Доступно з членством Health-ISAC**

Конгрес

Вівторок, жовтні 3

Відповідних зустрічей немає

Середа, жовтні 4

Відповідних зустрічей немає

Четверга, Жовтні 5

Відповідних зустрічей немає

Міжнародне покриття Слухання/зустрічі

Відповідних зустрічей немає

Про автора

Злом охорони здоров'я написаний у співавторстві з Джоном Бенгартом і Тімом Макгіффом.

Джон Бенґгарт працював головним радником із питань кібербезпеки та готовності до них, а також очолював зусилля Ради національної безпеки щодо вирішення значних інцидентів кібербезпеки, зокрема в OPM та Білому домі. Зараз Джон є старшим директором служби кібербезпеки у Venable. Його досвід включає роботу в якості директора Ради національної безпеки з федеральної кібербезпеки, старшого радника з кібербезпеки в центрах Medicare і Medicaid Services, в якості дослідника з кібербезпеки та експерта з політики в Національному інституті стандартів і технологій (NIST), а також в офісі заступника міністра торгівлі зі стандартів і технологій.

Зараз Тім МакГіфф є менеджером програми кібербезпеки в компанії Venable, де він координує щорічні заняття Health-ISAC Hobby Exercise та надає оновлення законодавства та нормативних документів для щомісячного брифінгу Health-ISAC про загрози.

З Джоном можна зв'язатися за адресою jbanghart@h-isac.org та  jfbanghart@venable.com.
З Тімом можна зв’язатися за адресою tmcgiff@venable.com.