Bossgoo Test DEMO
Produktgruppe
Wie ein Team, das auf ein Ziel arbeitet, haben Krankenhäuser und Hersteller von Medizinprodukten jeweils unterschiedliche Teile, um eine sichere Umgebung für die persönlichen Gesundheitsinformationen von Patientenmonitoren und anderen medizinischen Geräten zu schaffen.
Seit einiger Zeit wurde dieser Begriff einer gemeinsamen Verantwortung für die Datensicherheit als bewährte Verfahren innerhalb der größeren Technologieindustrie anerkannt. Beispielsweise folgen Cloud -Diensteanbieter wie Amazon Web Services, Microsoft Azure und Google diesem gemeinsam genutzten Verantwortungsmodell, um die gegenseitigen Sicherheitsverpflichtungen der Cloud -Anbieter und ihrer Kunden zu definieren.
Innerhalb des Gesundheitswesens hat sich ein ähnliches Modell für Daten für Medizinprodukte entstanden. In den im September 2023 veröffentlichten Leitlinien behauptet die US -amerikanische Food and Drug Administration: „ Die FDA erkennt an, dass die Cybersicherheit von Medizinprodukten eine gemeinsame Verantwortung unter den Stakeholdern während des gesamten Gebrauchsumfelds des medizinischen Gerätesystems ist, einschließlich Gesundheitseinrichtungen, Patienten, Gesundheitsdienstleister und Hersteller von Herstellern von Gesundheitswesen Medizinprodukte. ”
Forscher und Entwickler der medizinischen Industrie stimmen zu. In einem Artikel in Medical Product Outsourcing (MPO) heißt es: „ Die Cybersicherheit im Allgemeinen ist tatsächlich eine gemeinsame Verantwortung, da weder Krankenhäuser noch Hersteller von Medizinprodukten die steigende Anzahl von Angriffen im Gesundheitswesen selbst abwehren können. Sie müssen sich zusammenschließen, um sowohl Produkte als auch Patienten vor Schaden zu schützen. ”
Es handelt sich um eindeutige Hersteller von Medizinprodukten, Anbietern von Krankenhaussoftware und Gesundheitsorganisationen müssen sich zusammenschließen, um Patienteninformationen und Systeme für medizinische Geräte gegen Cyberkriminelle Aktivitäten zu schützen. Um ein erfolgreiches Team zu sein, muss jeder der Spieler seine Rolle kennen und verstehen.
Die US -amerikanische FDA verlangt von Herstellern und Softwareanbietern von Medizinprodukten, dass sie einen Prozess mit dem Namen „Security By Design“ befolgen, der behauptet, dass bestimmte Steuerelemente in ein Produkt eingebettet werden sollen, um den Krankenhäusern das Bereitstellen und Nutzen des Produkts sicher zu erleichtern. [2] Funktionen wie konfigurierbare Verschlüsselung, sichere Anmeldeseiten und Benutzerauthentifizierungsanforderungen sind Beispiele dafür, wie Hersteller Sicherheitsfunktionen in ihre Produkte integrieren.
Um optimal zu funktionieren, erfordern diese Merkmale jedoch eine Sicherheit bei der Gestaltung des Produkts, um häufig Maßnahmen des Krankenhauses zu erhalten, um die Lebensfähigkeit zu aktivieren und aufrechtzuerhalten.
Nehmen wir das Beispiel einer Produktzugriffskontrolle. Ein Gerätehersteller oder Softwareanbieter kann in der Regel die Zugriffskontrolle für Produktfunktionen implementieren, indem die Identität eines klinischen Benutzers auf der Grundlage des Active Directory -Dienstes des Krankenhauses über Kennwörter und Protokolle überprüft oder Authentifizierung Produkt kennt aus seiner Konfiguration. Jetzt kann nur die Gesundheitsorganisation identifizieren, welche Benutzer die Autorisierung haben sollten, um auf das System zuzugreifen, und kann das Produkt angemessen konfigurieren und manchmal ein eigenes Active Directory konfigurieren, indem sie eine Gruppe erstellen, wenn es nicht wiederverwendet werden kann. Die Verwendung einer unangemessenen Gruppe, wie z. B. zu viele Benutzer zu autorisieren oder ein lockeres Verzeichnis aufrechtzuerhalten, kann ein Netzwerk für ein unnötiges Risiko eröffnen. Der Hersteller legt die Sicherheitskontrolle ein, das Krankenhaus die optimale Kontrollkonfiguration.
Die Datenverschlüsselung, ein weiteres starkes Sicherheitsmerkmal, erfordert auch Maßnahmen seitens des Krankenhauses sowie des Herstellers. Wenn die Verschlüsselung verwendet wird, um die Vertraulichkeit der Daten zu gewährleisten, ist auch die Netzwerkknotenauthentifizierung erforderlich, um sicherzustellen, dass Daten am erwarteten Ziel ankommen. Beispielsweise können Hersteller Sicherheitskontrollen wie robuste Datenverschlüsselungsalgorithmen und Zertifikatüberprüfung für Informationen in der Transit zwischen einem medizinischen Gerät und der elektronischen Krankenakte eines Krankenhauses (EMR) liefern. Um diese Sicherheitsfunktion zu aktivieren, liefert das Krankenhaus das Authentifizierungszertifikat und einen starken privaten Schlüssel zu seinem EMR sowie eine Kopie des EMR -Zertifikats an das medizinische Gerät, mit dem sie die EMR authentifiziert werden. Das Krankenhaus ist auch für die Verwaltung dieser Vermögenswerte zuständig - Ablauf, Widerruf. Damit Krankenhäuser die vollen Vorteile von Verschlüsselung und gegenseitiger Authentifizierung nutzen können, muss der Hersteller im Produkt verwandte starken Sicherheitskontrollen anbieten. Diese Funktionen sind jedoch erst in Betrieb, wenn sie vom Krankenhaus ordnungsgemäß konfiguriert werden. Wenn nicht, kann die Verschlüsselungssicherheitsfunktion nicht funktionieren, oder noch schlimmer kann es so aussehen, als ob die Sicherheit bereitgestellt wird, wenn dies nicht der Fall ist.
Selbst mobile und cloud-basierte Anwendungen erfordern eine gemeinsame Verantwortung, da Krankenhäuser sicherstellen müssen, dass Browser und mobile Geräte aktuell sind und mit Sicherheitsfunktionen wie Multi-Faktor-Authentifizierung aktiviert sind, um die Cloud-basierten Sicherheitssteuerungen des Herstellers zu optimieren.
Um eine sichere Implementierung eines Produkts zu gewährleisten, müssen die Hersteller diese Produktsicherheitskontrollen mit nachgewiesenen Algorithmen und Designs anbetten, die vom Prozess „Sicherheit nach Design“ geleitet werden. Gleichzeitig haben Krankenhäuser immer ihren Anteil an Verantwortlichkeiten und Aktivitäten, um sicherzustellen, dass das Produkt tatsächlich sicher verwendet wird.
Wie kann ein Krankenhaus dann wissen, was zu tun ist, und jedes Produkt ist anders, was zu tun ist? Krankenhäuser haben ihre eigenen Prozesse und Verfahren, um ihre IT -Infrastruktur zu sichern, die für alle eingesetzten Produkte gelten. Damit die Krankenhäuser jedoch die Spezifitäten jedes Produkts berücksichtigen und nutzen können, müssen die Hersteller transparent über die Sicherheitsmerkmale sein, die von den Krankenhäusern sowie ihrer Erwartungen an die Krankenhausumgebung verwendet werden können. Krankenhäuser sollten sich wiederum auf diese Sicherheitsmerkmale und Erwartungen aufmerksam machen. Last but not least müssen beide zusammenarbeiten, um eine erfolgreiche Implementierung zu ermöglichen.
Glücklicherweise können die Hersteller es den Krankenhäusern leicht machen, zu verstehen, was sie tun können, um die Sicherheit der medizinischen Daten zu optimieren. Hersteller stellen klinische Benutzer und Systemadministratoren häufig Informationen und Richtlinien in Dokumenten wie der Erklärung zur Offenlegung von Herstellern für medizinische Gerätesicherheit (MDS2), Härtungsführer und anderen Sicherheitsanleitung zur Verfügung.
Diese Dokumente bieten den Gesundheitsdienstleistern eine Schritt-für-Schritt-Blaupause, um sicherzustellen, dass sie ihren Teil zum Schutz von Daten vor Cyberangriffen oder anderen Intrusionen dazu beitragen. Empfohlene Schritte können die Einschränkung des Anmeldeinzugriffs auf bestimmte Personal umfassen. Sicherung von Verbindungen zwischen Systemen über Netzwerksegmentierung und eingeschränkte Ports; Verwendung vertrauenswürdiger Zertifikate zur Überprüfung der Identität von medizinischen Geräten und klinischen Datenempfängersystemen; und viele andere Maßnahmen, die für das Netzwerk des Krankenhauses spezifisch sind.
Die Produktdokumentation und Härtung von Herstellern und Härtungsleitfäden geben den Krankenhäusern mit, wie sie ein medizinisches Gerät oder die eingebettete Sicherheitsfunktionen einer medizinischen Gerät oder eine Software nutzen können, um eine optimal sichere Verwendung zu bieten. Es ist wichtig, diese Anleitungen jedes Mal zu überprüfen, wenn eine neue Version eines Produkts oder eine neue Software bereitgestellt wird, da erweiterte Sicherheitskontrollen beispielsweise aktualisierte Verschlüsselungskonfigurationen oder neue private Schlüssel erforderlich sind.
Darüber hinaus ist es nicht ungewöhnlich, dass einige Sicherheitskontrollen - z. B. der, der Systemzugriff benötigt oder wie ein Kennwort sein sollte -, sich im Laufe der Zeit zu verschlechtern, wenn klinische Benutzer Konfigurationsänderungen oder Zugriffsanforderungen ändern. Daher wird auch empfohlen, diese Leitfäden regelmäßig zu verwenden, um die Wirksamkeit der aktuellen Sicherheitskonfiguration zu steuern.
Cyberkriminelle benötigen nur eine Schwachstelle, um ein Netzwerk für schändliche Zwecke zu infiltrieren. Um ihre Aktivitäten zu vereiteln, müssen sich Hersteller und Krankenhäuser zusammenschließen und sich in einer sicheren Datenumgebung miteinander über die Rollen und gemeinsame Verantwortlichkeiten des anderen hinweisen.
Philips bietet Dokumentation, einschließlich Systemhärtungsleitfäden mit empfohlenen Maßnahmen, für die Krankenhäuser folgen, um Sicherheitsfunktionen zu nutzen, die in Philips Medical Devices und Software Solutions eingebettet sind. Die Empfehlungen werden mit jeder neuen Philips -Hardware oder Software -Version überarbeitet und können Krankenhäuser helfen, die richtigen Schritte zu ergreifen, um ihre gemeinsame Verantwortung für die Datensicherheit von Medizinprodukten zu erfüllen.
Um zu überprüfen, ob Ihre Netzwerksicherheitsumgebung Ihre gemeinsame Verantwortung entspricht, bitten Sie Ihren Sicherheitssystemadministrator, die in Ihrem Kundenportal in Ihrem Philips verfügbaren Härtungsanleitungen und Sicherheitsdokumente zu überprüfen.
Darüber hinaus wenden Sie sich bitte an Ihren Philips -Vertreter, um mehr über die in Philips Solutions verfügbaren erweiterten Datenverschlüsselungs- und Sicherheitsfunktionen zu erfahren, und wie Sie und Philips die Sicherheit und Privatsphäre der persönlichen Gesundheitsinformationen Ihrer Patienten gegenseitig schützen können. Gemeinsam können wir ein Gewinnerteam für die Datensicherheit erstellen.
CATEGORIES
Privacy statement: Your privacy is very important to Us. Our company promises not to disclose your personal information to any external company with out your explicit permission.
Fill in more information so that we can get in touch with you faster
Privacy statement: Your privacy is very important to Us. Our company promises not to disclose your personal information to any external company with out your explicit permission.
