Health-ISAC Hacking Healthcare 4-2-2025
Цього тижня Health-ISAC®'s Hacking Healthcare® вивчає нову можливість для членів Health-ISAC формувати зусилля щодо відповідності та керівництва з питань кібербезпеки охорони здоров’я. Приєднуйтесь до нас, коли ми оцінюємо новий проект найкращих практик кібербезпеки медичних пристроїв із Сінгапуру.
Нагадуємо, що це публічна версія блогу Hacking Healthcare. Для додаткового поглибленого аналізу та думки приєднайтеся до H-ISAC і отримайте TLP Amber версію цього блогу (доступну на порталі для учасників).
Версія PDF: TLP WHITE Hacking Healthcare 4.2.2025
Розмір: 223.2 Кб Формат: PDF
Текстова версія:
Ласкаво просимо назад у Hacking Healthcare®.
Сінгапур представляє проект рекомендацій щодо найкращих практик кібербезпеки медичних пристроїв
Управління наук про здоров’я Сінгапуру (HSA) відкрило публічні консультації, які можуть зацікавити як виробників медичних пристроїв, так і суб’єктів галузі охорони здоров’я, які використовують медичні пристрої.[Я] 21-сторінковий «Посібник з найкращих практик кібербезпеки медичних пристроїв» відкритий для громадськості до 12 травня, і HSA з нетерпінням чекає почути від зацікавлених сторін.[Ii] Давайте розглянемо походження цієї спроби та її підхід.
фон
Відзначаючи «швидко розвивається ландшафт технологій охорони здоров’я» та необхідність гарантувати, що ці критично важливі технології захищені від загроз, які можуть завдати шкоди догляду за пацієнтами, HSA розробило цей керівний документ, щоб надати виробникам медичних пристроїв і постачальникам медичних послуг «рекомендації щодо найкращих практик кібербезпеки для медичних пристроїв, зосереджуючись на етапах до виходу на ринок і після виходу на ринок загального життєвого циклу пристрою (TPLC)».[Iii] Цей документ призначений виключно для надання організаціям найкращих практик і міркувань щодо кібербезпеки медичних пристроїв, і його не слід тлумачити як юридичне чи нормативне зобов’язання або як засіб обов’язкового дотримання існуючих законів і нормативних актів.
зміст
Незважаючи на відносно короткий посібник, документ містить багато інформації, уникаючи довгих вступів і пояснень і залишаючись на належному високому рівні. Після короткого окреслення передбачуваної сфери застосування та визначень посібник поділено приблизно на чотири розділи. У той час як перші два розділи посібника створюють основу, більша частина документа присвячена викладенню найкращих практик на етапах до та після виходу на ринок TPLC.
- Загальні принципи: Підхід HSA виділяє три елементи, які повинні бути добре знайомі членам Health-ISAC. Першим елементом є модель спільної відповідальності, яка підкреслює, що кібербезпека медичних пристроїв є спільними зусиллями між виробниками та кінцевими користувачами для забезпечення безпечного, надійного та ефективного використання шляхом безперервної співпраці протягом життєвого циклу пристрою. Другий елемент підкреслює важливість прозорості та комунікації, підкреслюючи необхідність своєчасного обміну інформацією та скоординованого розкриття вразливостей. Третій елемент, «безпечний за дизайном», також має бути добре знайомий тим, хто стежить за розвитком політики в США та ЄС. Цей останній елемент знову підтверджує необхідність розробки медичних пристроїв з урахуванням кібербезпеки з самого початку.
- Огляд системи загального життєвого циклу продукту: Знову ж таки, підхід HSA має бути знайомий багатьом, оскільки посібник підкреслює, що «загрози кібербезпеці та вразливості необхідно враховувати протягом усього життєвого циклу продукту (TPLC) медичного пристрою».[Iv] HSA розбив TPLC на чотири окремі етапи: розробка, підтримка, обмежена підтримка та завершення підтримки.
- Перед ринком: У розділі передвиходу на ринок розглядаються такі теми, як розробка функцій безпеки, стратегії управління ризиками, тестування безпеки, опис матеріалів програмного забезпечення (SBoM) і медичні пристрої, які використовують штучний інтелект (AI).
- Пост-ринок: Розділ інструкцій після виходу на ринок стосується різних етапів підтримки, від закупівлі та встановлення до етапів обмеженої та завершення підтримки. Включено теми про постмаркетинговий нагляд, навчання з кібербезпеки, відповідальний перехід між етапами та міркування щодо припинення підтримки.
Давайте розглянемо деякі ширші теми та підходи в розділі «Дії та аналіз».
Дія та аналіз
**Входить до складу Health-ISAC Membership**
[Ii]https://www.hsa.gov.sg/docs/default-source/hprg-mdb/regulatory-updates/best-practices-guide-on-medical-device-cybersecurity_draft-for-consultation.pdf?sfvrsn=8dcfa560_1
[Iii]https://www.hsa.gov.sg/docs/default-source/hprg-mdb/regulatory-updates/best-practices-guide-on-medical-device-cybersecurity_draft-for-consultation.pdf?sfvrsn=8dcfa560_1
[Iv]https://www.hsa.gov.sg/docs/default-source/hprg-mdb/regulatory-updates/best-practices-guide-on-medical-device-cybersecurity_draft-for-consultation.pdf?sfvrsn=8dcfa560_1
- Пов’язані ресурси та новини
- Зростання кількості атак CalPhishing у секторі охорони здоров'я
- Найкращі практики керування ідентифікацією та доступом третіх сторін
- Що потрібно знати керівникам охорони здоров'я про кібербезпеку у 2026-2027 роках
- Що означає указ Трампа про штучний інтелект для сектору охорони здоров'я
- Звіт про стан загроз у сфері охорони здоров'я та соціальної допомоги
- Агентний ШІ в охороні здоров'я – ризикована пропозиція
- Live@eXchange День 2 – Аналітик безпеки медичних пристроїв Health-ISAC
- Health-ISAC Hacking Healthcare 6-3-2026
- Нові вразливості, спрямовані на галузь охорони здоров'я
- Щомісячний інформаційний бюлетень – червень 2026 р