Перейти до основного матеріалу

Тема повідомлення: Безпека медичного обладнання

Невловима тиша: як MAUDE може посилити заклик до безпечніших пристроїв

Написано Джулія Анналоро on . Опубліковано в Безпека медичного обладнання, Ресурси та новини.

Блог про медичні пристрої від Філа Енглерта, віце-президента Health-ISAC з безпеки медичних пристроїв

Власники медичного обладнання дедалі більше розчаровані обмеженою інформацією, яку виробники медичного обладнання надають про відомі, але нерозкриті вразливості в медичних технологіях, та швидкістю, з якою вони виправляють відомі вразливості. Використання MAUDE Управління з контролю за продуктами харчування та лікарськими засобами може бути способом підвищення оперативності.

База даних MAUDE FDA (скорочення від Manufacturer and User Facility Device Experience – досвід використання медичних виробів виробником та користувачем) – це публічне сховище звітів про побічні ефекти, пов’язані з медичними виробами, і є частиною стратегії післяринкового нагляду FDA. Її основна мета – допомогти FDA контролювати роботу пристроїв, виявляти потенційні проблеми безпеки та підтримувати оцінку співвідношення користі та ризику після виведення пристроїв на ринок. Обов’язкові доповідачі (наприклад, виробники, імпортери та медичні заклади) повинні подавати звіти, коли пристрій міг спричинити або сприяти смерті, серйозній травмі чи несправності. Добровільні доповідачі (наприклад, медичні працівники, пацієнти або опікуни) також можуть подавати звіти, якщо вони спостерігають або стикаються з проблемою, пов’язаною з пристроєм.

Дізнайтеся більше про MAUDE, зокрема приклад наративу звіту MAUDE, пов’язаного з кібербезпекою, у TechNation.

Натисніть тут

Безпека медичних виробів: чого насправді хочуть покупці медичних послуг

Написано Джулія Анналоро on . Опубліковано в Безпека медичного обладнання, Офіційні документи.

Кібербезпека тепер є воротарем доступу до ринку

КОРОТКИЙ ОГЛЯД ІНДЕКСУ КІБЕРБЕЗПЕКИ МЕДИЧНИХ ВИРОБІВ ЗА 2025 РОК

Охорона здоров'я досягла переломного моменту в кібербезпеці. 22% організацій охорони здоров'я зазнали кібератак, які скомпрометували медичні пристрої, причому 75% з них інциденти, що безпосередньо впливають на догляд за пацієнтами. Коли напади змушують пацієнтів переводити до інших об'єктів, що сталося майже в чверті випадків, — ми вже не говоримо про ІТ незручності, але й невідкладні медичні випадки.

 

ПОПИТ НА БЕЗПЕКУ МЕДИЧНИХ ВИРОБІВ ВИСОКИЙ

1. Прозорість завдяки SBOM – 78% вважають перелік матеріалів програмного забезпечення важливим для прийняття рішень щодо закупівель. Це не просто дотримання нормативних вимог, а практичне управління вразливостями у взаємопов'язаній екосистемі.

2. Вбудована система безпеки проти вбудованої – 60% надають пріоритет інтегрованим засобам кібербезпеки над модернізованими рішеннями. Керівники охорони здоров’я зрозуміли, що звичайні заходи безпеки не справляються з витонченими атаками.

3. Розширений захист під час виконання - 36% активно шукають пристрої із захистом під час виконання, тоді як ще 38% знають про нього, але ще не потребують його, що свідчить про швидку еволюцію ринку від раннього впровадження до повноцінного очікування.

Ознайомтеся з інформаційним документом RunSafe Security, навігатора Health-ISAC. Натисніть тут

Стан кібербезпеки охорони здоров'я: прогрес та пастки

Написано Джулія Анналоро on . Опубліковано в У новинах, Безпека медичного обладнання.

Філ Енглерт з Health-ISAC та Мурад Дікейдек з UI Health розповідають про проблеми безпеки в секторі охорони здоров'я та пропонують свої думки.

Хоча сектор охорони здоров'я досягає прогресу в кіберстійкості, він все ще стикається з глибоко вкоріненими проблемами, включаючи співпрацю, проблеми з кіберпрацездатністю та бюджетні обмеження, що вимагає постійної потреби в адаптації та перерозподілі пріоритетів, оскільки супротивники змінюють свою тактику, заявили експерти з безпеки Філ Енглерт та Мурад Дікейдек.

«Одна з речей, яку ми бачимо дедалі частіше, але цього все ще недостатньо, — це обмін інформацією», — сказав Енглерт, віцепрезидент із безпеки медичних пристроїв у Центрі обміну та аналізу медичної інформації.

Обмін інформацією може бути життєво важливим для кращого розуміння загроз, з якими стикається весь сектор, проте в багатьох організаціях все ще існує невизначеність щодо рівня деталізації, яку повинні розкривати постачальники медичних послуг, сказав він.

Прочитайте або прослухайте цю розмову у розділі «Витік даних сьогодні». Натисніть тут

Вразливість Contec CMS8000

Написано Джулія Анналоро on . Опубліковано в Безпека медичного обладнання, Ресурси та новини.

Вразливість Contec CMS8000: критична проблема кібербезпеки чи погана практика кодування?

Блог Health-ISAC про безпеку медичного обладнання в TechNation

Написав Філ Енглерт, віце-президент Health-ISAC із безпеки медичних пристроїв

30 січня 2025 року Агентство з кібербезпеки та безпеки інфраструктури (CISA) опублікувало медичне повідомлення ICSMA-25-030-01, в якому висвітлено критичні вразливості в моніторах пацієнтів Contec CMS8000. Ці вразливості, включаючи запис за межі дозволеного доступу, приховану функцію бекдору та витік конфіденційності, становлять значні ризики для безпеки пацієнтів та даних. Управління з контролю за продуктами харчування та лікарськими засобами США (FDA) того ж дня опублікувало повідомлення з безпеки, в якому наголосило на ризиках, пов'язаних з цими вразливостями. FDA наголосило, що Contec CMS8000 та перемарковані версії, такі як Epsimed MN-120, можуть дистанційно керуватися неавторизованими користувачами, що потенційно може поставити під загрозу дані пацієнтів та функціональність пристрою. CMS8000 з'явився на ринку приблизно у 2005 році та отримав дозвіл FDA 510(k) у червні 2011 року.

Рекомендації FDA для медичних працівників та пацієнтів були двоякими: відключіть пристрій від мережі та припиніть його використання, якщо ви покладаєтеся на функції дистанційного моніторингу. По-друге, FDA рекомендувало використовувати лише функції локального моніторингу, такі як вимкнення бездротових можливостей та відключення кабелів Ethernet. Фізіологічні монітори не забезпечують рятівного чи підтримуючого життя лікування, але вони є важливими для моніторингу стану пацієнтів групи ризику. Монітори пацієнтів контролюються централізовано, щоб оперативно повідомляти опікунів про зміни в стані пацієнта. Швидка реакція може бути вирішальним фактором між хорошими та поганими результатами.

Вразливості Contec CMS8000, виявлені CISA та проаналізовані FDA, Claroty та Cylera, підкреслюють критичну потребу в надійних заходах кібербезпеки в медичних закладах. Вони також підкреслюють, що вразливості можуть виникати через ненадійний дизайн, а не через зловмисний намір, їхній потенційний вплив на безпеку пацієнтів та безпеку даних не можна недооцінювати. Медичні працівники повинні діяти швидко, щоб зменшити ці ризики та забезпечити цілісність своїх медичних пристроїв.

Читайте повний блог у TechNation. Натисніть тут

 

Кібербезпека медичних пристроїв може бути викликана скороченням персоналу HHS

Написано Джулія Анналоро on . Опубліковано в У новинах, Безпека медичного обладнання.

Слухання підкомітету Палати представників щодо захисту кібербезпеки для застарілих медичних пристроїв затьмарені скороченнями HHS.

Учасників дискусії, які брали участь у дискусії підкомітету з нагляду та розслідувань на тему «Старіючі технології, нові загрози: вивчення вразливостей кібербезпеки в застарілих медичних пристроях», було задано питання про вплив скорочення персоналу FDA на безпеку медичних пристроїв. 

«Надзвичайно», — сказав Кевін Фу, професор кафедри електротехніки та комп’ютерної інженерії Коледжу комп’ютерних наук Хурі Північно-Східного університету. Раніше Фу обіймав посаду першого виконувача обов’язків директора відділу кібербезпеки медичних пристроїв у Центрі приладів і радіологічного здоров’я FDA (CDRH) і програмного директора з кібербезпеки в Центрі цифрової охорони здоров’я.

Ерік Декер, віце-президент і CISO в Міжгір'я Health, сказав, що FDA є ключовою зацікавленою стороною в зусиллях з кібербезпеки.

«Так, це матиме вплив», — сказав Декер. 

Виробники медичного обладнання, лікарні та партнер FDA, сказав він. HHS, FDA та галузь охорони здоров’я створили численні цільові групи в рамках Робочої групи з кібербезпеки (CWG) Координаційної ради сектору охорони здоров’я (HSCC).

Проте, за словами Декера, аналіз показує, що в середньому в лікарнях реалізовано лише близько 55% практик кібербезпеки галузі охорони здоров’я (HICP), рекомендованих для захисту медичних пристроїв. 

Декер сказав, що існує чотири групи суб’єктів загрози: суб’єкти національної держави, організована злочинність, «хактивісти» та внутрішні загрози. 

Учасник дискусії Грег Гарсія, виконавчий директор Робочої групи з кібербезпеки Координаційної ради сектору охорони здоров’я, сказав, що наступного тижня вони опублікують білу книгу про те, як системам охорони здоров’я бракує фінансів і персоналу для захисту кібербезпеки.

Прочитайте повну статтю в Healthcare Finance News. Натисніть тут

Як персонал HTM може підготуватися до запропонованих змін у правилах безпеки HIPAA

Написано Джулія Анналоро on . Опубліковано в У новинах, Безпека медичного обладнання.

Блог Health-ISAC про безпеку медичного обладнання в TechNation

Написав Філ Енглерт, віце-президент Health-ISAC із безпеки медичних пристроїв

 

27 грудня 2024 року Управління з громадянських прав (OCR) при Міністерстві охорони здоров’я та соціальних служб США (HHS) опублікувало Повідомлення про запропоновану нормотворення (NPRM) для внесення змін до Правила безпеки Закону про перенесення та підзвітність медичного страхування 1996 року (HIPAA). Мета полягає в тому, щоб зміцнити засоби кібербезпеки, які захищають електронну інформацію про здоров’я (ePHI). Це запропоноване оновлення представляє проактивний підхід до захисту конфіденційної інформації про здоров’я в епоху ескалації кіберзагроз.

Запропоновані поправки висвітлюють кілька важливих заходів для посилення захисту ePHI. Деякі з цих правил орієнтовані на процес, а деякі є технічними. Включення цих запропонованих змін до процесу закупівель допоможе організаціям підготуватися до змін, коли вони набудуть чинності. Ось добірка, що стосується саме медичних пристроїв.

Продовжуйте читати цю статтю в TechNation. Натисніть тут

Аналіз впливу ризиків медичних виробів для медичних працівників

Написано Джулія Анналоро on . Опубліковано в Безпека медичного обладнання, Ресурси та новини.

Блог Health-ISAC про безпеку медичного обладнання в TechNation

Написав Філ Енглерт, віце-президент Health-ISAC із безпеки медичних пристроїв

У галузі охорони здоров'я забезпечення безпеки та ефективності медичних виробів є надзвичайно важливим. Занадто часто кібербезпека зосереджується на вразливостях, і, хоча аналіз вразливостей є важливим, він є занадто вузьким. Вразливості оцінюються за допомогою Загальної системи оцінювання вразливостей (CVSS), яка намагається визначити, наскільки небезпечною є вразливість. Це корисна інформація, але вона враховує ризик вразливості в компоненті, в якому вона знаходиться, а не в продукті. Такий обмежений погляд не враховує ризики, які вразливість створює для конкретного середовища. Контекстуальні фактори, такі як важливість активу, спосіб використання активу або засоби контролю, що діють як у продукті, так і в мережі, також необхідно враховувати при оцінці ризику. З огляду на ці обмеження, проведення аналізу впливу ризиків медичних виробів (MDRIA) є критично важливим процесом, який допомагає медичним працівникам виявляти, оцінювати та пом'якшувати ризики, пов'язані з медичними виробами. У цьому есе окреслено основні компоненти MDRIA.

Читайте повний блог у TechNation.  Натисніть тут

Логотип Industrial Cyber ​​зверху. Зображення екрана телевізора зі знімком екрана цієї статті. Витягнута згадка: графік перенесення відповідальності протягом життєвого циклу медичного пристрою

Офіційний документ Health-ISAC висвітлює обов’язки щодо кібербезпеки в життєвому циклі медичного обладнання, зосереджується на стійкості

Написано Джулія Анналоро on . Опубліковано в Здоров'я-ISAC, У новинах, Офіційні документи.

 

Health-ISAC опублікував технічну документацію, в якій розповідається про завдання, необхідні для підтримки кіберстійкості медичних пристроїв, і про те, як відповідальність може передаватись від сторони до сторони в усьому продукті. У міру проходження медичних пристроїв через етапи життєвого циклу відповідальність за завдання може переходити між виробниками та клієнтами. У технічному документі Health-ISAC зазначено, що зв’язок між двома сторонами має важливе значення, оскільки пристрій рухається через життєвий цикл, щоб завдання координувалися, а прогалини в безпеці продукту зменшувалися.

Біла книга під назвою «Дослідження ролей виробників і медичних організацій у сфері кібербезпеки протягом життєвого циклу медичного обладнання». визначив, що медичні пристрої проходять чотири етапи життєвого циклу, з різними рівнями відповідальності, покладеними на виробника медичного обладнання та організації, що надає медичну допомогу. Медичні організації (HDO) повинні проводити більш регулярну оцінку ризику після закінчення терміну служби (EOL) і завершення підтримки (EOS), щоб визначити, чи можуть вони прийняти ризик продовження використання. У ньому також вказується, що відповідальність за підтримку стану кібербезпеки медичного пристрою змінюється протягом життєвого циклу пристрою. 

Прочитайте повну статтю в Industrial Cyber. Натисніть тут

Вивчення ролі виробників і медичних організацій у кібербезпеці протягом життєвого циклу медичного пристрою

Написано Джулія Анналоро on . Опубліковано в Здоров'я-ISAC, Безпека медичного обладнання, Офіційні документи.

 

TLP: БІЛИЙ Цей звіт може надаватися без обмежень.
Члени Health-ISAC обов’язково завантажують повну версію звіту з порталу Health-ISAC Threat Intelligence Portal (HTIP)

Ключові судження

  • Медичні пристрої проходять чотири етапи життєвого циклу, з різними рівнями відповідальності, покладеними на виробника медичного обладнання та організації, що надає медичну допомогу.

  • Організації, що надають послуги охорони здоров’я, повинні проводити більш регулярну оцінку ризиків, починаючи з моменту завершення терміну експлуатації та завершення підтримки, щоб визначити, чи можуть вони прийняти ризик продовження використання.

  • Виробник реалізує категорії контролю безпеки на етапі розробки, щоб гарантувати, що пристрій безпечний за проектом, безпечний за замовчуванням і безпечний за вимогою.

  • Документація та прозорість мають вирішальне значення для підтримки кібербезпеки. Це включає надання детальної документації щодо безпеки, опису матеріалів програмного забезпечення (SBOM) і чітке повідомлення про вразливості та оновлення. 

 

Завантажте цей документ.

Вивчення ролі виробників і медичних організацій у кібербезпеці протягом життєвого циклу медичного пристрою
Розмір: 3.2 MB Формат: PDF

Вступ

Оскільки медичні пристрої стають все більш взаємопов’язаними та мають можливості Інтернету та бездротового зв’язку, розуміння етапів життєвого циклу та завдань, необхідних для підтримки їх безпеки, допоможе організаціям захистити пристрої від загроз кібербезпеці. Життєвий цикл пристрою – це різні етапи, через які пройде пристрій, починаючи з досліджень і розробок, надходження на ринок і, зрештою, до завершення терміну служби та завершення підтримки. У міру проходження медичних пристроїв через етапи життєвого циклу відповідальність за завдання може переходити між виробниками та клієнтами. Зв’язок між двома сторонами має важливе значення, оскільки пристрій рухається через життєвий цикл, щоб завдання координувалися, а прогалини в безпеці продукту зменшувалися.

У цьому документі досліджуються завдання, необхідні для підтримки кібервідмовостійкості медичних пристроїв, і те, як відповідальність може передаватись від сторони до сторони в усьому продукті. Відповідальність за підтримку стану кібербезпеки медичного пристрою змінюється протягом життєвого циклу пристрою. Процес починається з виробника пристрою на етапі проектування та розробки та може дедалі більше переходити до організації охорони здоров’я (HDO) після клінічного використання. Принципи та практика кібербезпеки застарілих медичних пристроїв Міжнародного форуму регуляторів медичних пристроїв (IMDRF) окреслюють чотири фази життєвого циклу. Управління з контролю за якістю харчових продуктів і медикаментів (FDA) надає вимоги щодо кібербезпеки медичних пристроїв у рекомендаціях до та після виходу на ринок. Виробники можуть звернути увагу на кібербезпеку пристрою під час проектування та розробки, використовуючи вимоги перед продажем. Постринкові вимоги необхідні через ризики кібербезпеки, які продовжують розвиватися після того, як медичний пристрій виходить на ринок.

Як керувати кіберризиками медичних пристроїв – на все життя

Написано Джулія Анналоро on . Опубліковано в У новинах, Безпека медичного обладнання.

Експерти пропонують поради щодо управління зростаючими запасами, ресурси для постачальників

Посібник HSCC «Кібербезпека індустрії охорони здоров’я – управління безпекою застарілих технологій» або HIC-MaLTS пропонує організаціям найкращі практики, які можна використовувати для управління кіберризиками застарілих медичних технологій, сказав Філ Енглерт, віце-президент із безпеки медичних пристроїв у Health Information. Центр обміну та аналізу.

HIC-MaLTS бере на себе типові виклики кібербезпеки охорони здоров’я. Наприклад, «багато різних типів медичних пристроїв і різноманітні місця, в яких вони використовуються, мають унікальні профілі ризику та включають діагностичні, терапевтичні, носимі, імплантовані та функції програмного забезпечення як медичного пристрою, серед іншого, які можна використовувати у лікарнях, клініках та інших неклінічних і домашніх закладах охорони здоров’я», – сказав він.

Також у цій статті:

  • чотири фази життєвого циклу медичних виробів
  • «системні» інвентаризації в поєднанні з сегментацією та контролем доступу до мережі
  • Модель контрактної мови HSCC для Medtech Cybersecurity 

Прочитайте статтю в Healthcare Infosecurity тут. Натисніть тут

Підвищення кібербезпеки в охороні здоров’я: роль Health-ISAC

Написано Джулія Анналоро on . Опубліковано в У новинах, Безпека медичного обладнання.

Участь у Health-ISAC може зробити постачальників медичних послуг менш сприйнятливими до хаки та злами.

 

В епоху все більш складних і поширених кіберзагроз постачальники медичних послуг стикаються з унікальними проблемами щодо захисту конфіденційних даних пацієнтів і підтримки цілісності своїх систем. Одним з потужних інструментів у боротьбі з кіберзлочинністю є участь у Центрі обміну та аналізу інформації про здоров’я (Health-ISAC). Ця спільна організація робить постачальників медичних послуг менш сприйнятливими до хакерських атак і зломів.

Однією з найважливіших переваг членства в Health-ISAC є доступ до даних про загрози в реальному часі. Кіберзагрози розвиваються швидко, і наявність актуальної інформації є критично важливою для ефективного захисту. Health-ISAC збирає та поширює інформацію про нові загрози, вразливості та вектори атак. Цей інтелект дозволяє постачальникам медичних послуг усунути потенційні ризики до того, як зловмисники зможуть використати їх проактивно. Наприклад, якщо виявлено новий штам програми-вимагача, націлений на системи охорони здоров’я, Health-ISAC може швидко попередити своїх учасників, надавши докладну інформацію про загрозу та рекомендовані стратегії пом’якшення. Таке швидке поширення інформації може бути різницею між незначним інцидентом і серйозним порушенням.

Кібербезпека – це не поодинока справа.

Прочитайте повний блог Філа Енглерта, віце-президента відділу безпеки медичних пристроїв Health-ISAC у TechNation. Натисніть тут

ШІ, програми-вимагачі та медичні пристрої: захист охорони здоров’я

Написано Джулія Анналоро on . Опубліковано в У новинах.

Подкаст Cyber ​​Focus Інституту МакКрарі

Ведучий Френк Сілуффо бере інтерв’ю в Еррола Вайса, головного спеціаліста з безпеки Центру обміну та аналізу інформації про здоров’я (Health ISAC).

Вони обговорюють нові проблеми кібербезпеки в секторі охорони здоров’я, зокрема програмне забезпечення-вимагач, вразливі місця в ланцюзі поставок і критичну потребу в кращих заходах безпеки для захисту медичних пристроїв і даних пацієнтів. Вайс ділиться думками зі свого великого досвіду в сфері кібербезпеки як охорони здоров’я, так і фінансових послуг, підкреслюючи отримані уроки, роль обміну інформацією та важливість профілактичних заходів для зменшення ризиків.

Слухайте подкаст на YouTube Натисніть тут

Теми включають:

  • Здоров'я та програми-вимагачі

  • Збої в лікарнях

  • Кібербюджети охорони здоров'я

  • Безпека та відповідність

  • Уроки з ФС

  • Технологія майбутнього

  • Медичні прилади

  • Міжгалузевий обмін інформацією

  • Практичні кроки до безпеки