Delat ansvar: Hur sjukhus kan hjälpa till

Liksom ett team som arbetar mot ett mål har tillverkare av sjukhus och medicinsk utrustning var och en distinkta delar att spela för att skapa en säker miljö för den personliga hälsoinformationen härrörande från patientmonitorer och andra medicintekniska produkter.

Under en tid har denna uppfattning om ett gemensamt ansvar för datasäkerhet erkänts som en bästa praxis inom den större teknikindustrin. Till exempel följer leverantörer av molntjänster som Amazon Web Services, Microsoft Azure och Google denna delade ansvarsmodell för att definiera de ömsesidiga säkerhetsförpliktelserna för molnleverantörerna och deras kunder.

Inom sjukvården har en liknande modell dykt upp för data om medicinsk utrustning. I vägledning som släpptes i september 2023 hävdar US Food and Drug Administration, ” FDA inser att cybersäkerhet med medicinsk utrustning är ett gemensamt ansvar bland intressenter i hela användningsmiljön i medicinsk utrustning, inklusive sjukvårdsanläggningar, patienter, vårdgivare och tillverkare av Medicinsk utrustning. ”

Forskare och utvecklare av medicinska industrin håller med. En artikel i Medical Product Outsourcing (MPO) säger: ” Cybersecurity i allmänhet är faktiskt ett gemensamt ansvar, eftersom varken sjukhus eller tillverkare av medicintekniska produkter kan avvärja det ökande antalet sjukvårdsinriktade attacker på egen hand. De måste gå samman för att skydda både produkter och patienter från skada. ”

Det är tydliga tillverkare av medicintekniska produkter, leverantörer av sjukhusprogramvara och hälsoorganisationer måste samarbeta för att skydda patientinformation och system för medicinsk utrustning mot cyberkriminell aktivitet. För att vara ett framgångsrikt lag måste var och en av spelarna känna och förstå deras roll.

Förstå roller i datasäkerhet med medicinsk utrustning

USA: s FDA kräver tillverkare av medicintekniska produkter och mjukvaruleverantörer att följa en process som kallas ”Security by Design”, som hävdar att vissa kontroller ska inbäddas i en produkt för att göra det enklare för sjukhus att distribuera och använda produkten säkert. [2] Funktioner som konfigurerbar kryptering, säkra inloggningssidor och användarverifieringskrav är exempel på hur tillverkare integrerar säkerhetsfunktioner i sina produkter.

För att fungera optimalt kräver emellertid dessa funktioner som ger säkerhet i utformningen av produkten ofta åtgärder från sjukhusets sida för att aktivera och upprätthålla livskraft.

Låt oss ta exemplet med en produktåtkomstkontroll. En enhetstillverkare eller mjukvaruleverantör kan vanligtvis implementera åtkomstkontroll till produktfunktioner genom att verifiera eller autentisera, identiteten för en klinisk användare baserad på sjukhusets Active Directory -tjänst, genom lösenord och protokoll, och kontrollera sedan denna användare tillhör en Active Directory -grupp den Produkten vet från sin konfiguration. Nu är det bara sjukvårdsorganisationen som kan identifiera vilka användare som ska ha tillstånd för att komma åt systemet och kan konfigurera produkten på lämpligt sätt och ibland konfigurera sin egen aktiva katalog genom att skapa en grupp om den inte kan återanvändas. Att använda en olämplig grupp, till exempel att godkänna för många användare, eller vara slappa om att upprätthålla en aktuell katalog, kan öppna ett nätverk för onödig risk. Tillverkaren tar med sig säkerhetskontrollen, sjukhuset den optimala kontrollkonfigurationen.

Datakryptering, en annan stark säkerhetsfunktion, kräver också åtgärder från sjukhusets sida och tillverkaren. När kryptering används för att säkerställa konfidentialitet för datakamr och är också nödvändig för nätverksnod för att se till att data anländer till den förväntade destinationen. Till exempel kan tillverkare leverera säkerhetskontroller som robusta datakrypteringsalgoritmer och certifikatverifiering för information under transitering mellan en medicinsk anordning och ett sjukhusets elektroniska medicinska register (EMR). För att möjliggöra denna säkerhetsfunktion tillhandahåller sjukhuset autentiseringscertifikatet och en stark privat nyckel till dess EMR och en kopia av EMR -certifikatet till medicinsk utrustning - som kommer att använda det för att autentisera EMR. Sjukhuset ansvarar också för att hantera dessa tillgångar - utgång, återkallelse. För att sjukhus ska inse de fulla fördelarna med kryptering och ömsesidig autentisering måste tillverkaren erbjuda relaterade starka säkerhetskontroller i produkten; Dessa funktioner är emellertid inte i drift förrän de är korrekt konfigurerade av sjukhuset. Om inte, kan krypteringssäkerhetsfunktionen inte fungera, eller ännu värre, få den att se ut som om säkerheten tillhandahålls när den inte är det.

Även mobila och molnbaserade applikationer kräver ett delat ansvar, eftersom sjukhus kommer att behöva se till att webbläsare och mobila enheter är uppdaterade och aktiveras med säkerhetsfunktioner som multifaktorautentisering för att optimera tillverkarens molnbaserade säkerhetskontroller.

För att säkerställa en säker implementering av en produkt måste tillverkarna således bädda in i denna produktsäkerhetskontroll med beprövade algoritmer och mönster, styrda av processen "Security by Design". Samtidigt har sjukhus alltid sin del av ansvar och aktiviteter för att säkerställa att produkten faktiskt används säkert.

Sedan är varje produkt annorlunda, hur kan ett sjukhus veta vad man ska göra? Sjukhus har sina egna övergripande processer och förfaranden för att hålla säkra sin IT -infrastruktur, som gäller för alla distribuerade produkter. Men för att låta sjukhusen överväga och utnyttja specificiteterna för varje produkt måste tillverkarna vara transparenta om säkerhetsfunktionerna som kan användas av sjukhusen såväl som deras förväntningar på sjukhusmiljön. Sjukhus bör i sin tur göra sig medvetna om dessa säkerhetsfunktioner och förväntningar. Sist men inte minst måste båda samarbeta för att möjliggöra framgångsrik implementering.

Hur vet sjukhus sin roll?

Lyckligtvis kan tillverkare göra det enkelt för sjukhus att förstå vad de kan göra för att optimera medicinsk datasäkerhet. Tillverkare tillhandahåller ofta kliniska användare och systemadministratörer information och riktlinjer i dokument som tillverkarens avslöjande uttalande för säkerhet för medicintekniska produkter (MDS2), härdningsguider och annat säkerhetsguidmaterial.

Dessa dokument ger en steg-för-steg-plan för vårdgivare att följa för att säkerställa att de gör sin del för att skydda data om medicinsk utrustning från cyberattacker eller andra intrång. Rekommenderade steg kan inkludera begränsning av inloggningstillträde till specifik personal; säkerställa anslutningar mellan system via nätverkssegmentering och begränsade portar; Använda pålitliga certifikat för att verifiera identiteten på medicinsk utrustning och kliniska datamottagningssystem; och många andra åtgärder som är specifika för sjukhusets nätverk.

Call-to-action → Läs tillverkarens rekommenderade säkerhetsriktlinjer

Tillverkarens produktdokumentation och härdningsguider berättar för sjukhus hur de kan utnyttja en medicinsk utrustning eller mjukvaru inbäddade säkerhetsfunktioner för att ge en optimalt säker användning. Det är viktigt att granska dessa guider varje gång en ny version av en produkt eller programvara används, eftersom förbättrade säkerhetskontroller kan kräva till exempel uppdaterade krypteringskonfigurationer eller nya privata nycklar.

Dessutom är det inte ovanligt att vissa säkerhetskontroller - till exempel vem som kräver systemåtkomst eller vad ett lösenord ska vara - för att försämras över tid eftersom kliniska användare gör konfigurationsändringar eller åtkomstkravändringar. Därför rekommenderas det också att använda dessa guider regelbundet för att kontrollera effektiviteten i den aktuella säkerhetskonfigurationen.

Cyberbrottslingar behöver bara en svag plats för att infiltrera ett nätverk för avskyvärda ändamål. För att hindra deras verksamhet måste tillverkare och sjukhus samarbeta och vara tydliga om varandras roller och delade ansvar i en slutlig datamiljö.

Philips tillhandahåller dokumentation, inklusive systemhärdningsguider med rekommenderade åtgärder, för att sjukhus ska följa för att utnyttja säkerhetsfunktioner som är inbäddade i Philips Medical Devices och Software Solutions. Rekommendationerna revideras med varje ny Philips -hårdvara eller mjukvarutrelatering och kan hjälpa sjukhusen att vidta rätt åtgärder för att fullgöra sitt delade ansvar för datasäkerhet för medicinsk utrustning.

För att verifiera att din nätverkssäkerhetsmiljö uppfyller ditt delade ansvar, be din säkerhetssystemadministratör att kontrollera härdningsguiderna och säkerhetsdokumenten som finns i din Philips kundportal.

Kontakta dessutom din Philips -representant för att lära dig mer om förbättrad datakryptering och säkerhetsfunktioner som finns tillgängliga i Philips -lösningar, och hur du och Philips kan ömsesidigt hjälpa till att skydda säkerheten och integriteten för dina patients personliga hälsoinformation. Tillsammans kan vi göra ett vinnande team för datasäkerhet.