Κοινή ευθύνη: Πώς τα νοσοκομεία μπορούν να βοηθήσουν στη βελτίωση

Όπως μια ομάδα που εργάζεται για έναν στόχο, τα νοσοκομεία και οι κατασκευαστές ιατρικών συσκευών έχουν καθένα ξεχωριστά μέρη για να παίξουν για να βοηθήσουν στη δημιουργία ενός ασφαλούς περιβάλλοντος για τις προσωπικές πληροφορίες για την υγεία που προέρχονται από οθόνες ασθενών και άλλες ιατρικές συσκευές.

Για κάποιο χρονικό διάστημα, αυτή η έννοια της κοινής ευθύνης για την ασφάλεια των δεδομένων έχει αναγνωριστεί ως βέλτιστη πρακτική στο πλαίσιο της ευρύτερης βιομηχανίας τεχνολογίας. Για παράδειγμα, οι πάροχοι υπηρεσιών cloud όπως οι υπηρεσίες Web Amazon, η Microsoft Azure και η Google ακολουθούν αυτό το μοντέλο κοινής ευθύνης για να καθορίσουν τις αμοιβαίες υποχρεώσεις ασφαλείας των παρόχων σύννεφων και των πελατών τους.

Στο πλαίσιο της υγειονομικής περίθαλψης, ένα παρόμοιο μοντέλο προέκυψε για δεδομένα ιατρικών συσκευών. Σε καθοδήγηση που κυκλοφόρησε τον Σεπτέμβριο του 2023, η αμερικανική Υπηρεσία Τροφίμων και Φαρμάκων ισχυρίζεται ότι " η FDA αναγνωρίζει ότι η ιατρική συσκευή Cybersecurity είναι μια κοινή ευθύνη μεταξύ των ενδιαφερομένων σε όλο το περιβάλλον χρήσης του συστήματος ιατρικών συσκευών, συμπεριλαμβανομένων των εγκαταστάσεων υγειονομικής περίθαλψης, των ασθενών, των προμηθειών υγειονομικής περίθαλψης και των κατασκευαστών του ιατρικές συσκευές. «

Οι ερευνητές και οι προγραμματιστές της ιατρικής βιομηχανίας συμφωνούν. Ένα άρθρο στο Medical Product Outsourcing (MPO) δηλώνει ότι " η ασφάλεια στον κυβερνοχώρο γενικά, είναι στην πραγματικότητα μια κοινή ευθύνη, καθώς ούτε τα νοσοκομεία ούτε οι κατασκευαστές ιατρικών συσκευών μπορούν να αποτρέψουν τον αυξανόμενο αριθμό επιθέσεων που στοχεύουν στην υγειονομική περίθαλψη. Πρέπει να ενώσουν τις δυνάμεις τους για να προστατεύσουν τόσο τα προϊόντα όσο και τους ασθενείς από βλάβη. «

Είναι σαφείς κατασκευαστές ιατρικών συσκευών, παρόχων λογισμικού νοσοκομείων και οργανισμοί υγείας πρέπει να συνεργαστούν για την προστασία των πληροφοριών ασθενών και των συστημάτων ιατρικών συσκευών κατά της δραστηριότητας στον κυβερνοχώρο. Για να είναι μια επιτυχημένη ομάδα, κάθε ένας από τους παίκτες πρέπει να γνωρίζει και να κατανοεί το ρόλο τους.

Κατανόηση ρόλων στην ασφάλεια δεδομένων ιατρικών συσκευών

Το αμερικανικό FDA απαιτεί από τους κατασκευαστές ιατρικών συσκευών και τους παρόχους λογισμικού να ακολουθήσουν μια διαδικασία που ονομάζεται "Security by Design", η οποία υποστηρίζει ότι ορισμένοι έλεγχοι πρέπει να ενσωματωθούν σε ένα προϊόν για να διευκολύνουν τα νοσοκομεία να αναπτύξουν και να χρησιμοποιήσουν το προϊόν με ασφάλεια. [2] Χαρακτηριστικά όπως η διαμορφώσιμη κρυπτογράφηση, οι ασφαλείς σελίδες σύνδεσης και οι απαιτήσεις ελέγχου ταυτότητας χρήστη είναι παραδείγματα του τρόπου με τον οποίο οι κατασκευαστές ενσωματώνουν τις δυνατότητες ασφαλείας στα προϊόντα τους.

Ωστόσο, για να λειτουργήσει βέλτιστα, αυτά τα χαρακτηριστικά που παρέχουν ασφάλεια στο σχεδιασμό του προϊόντος απαιτούν συχνά δράση εκ μέρους του νοσοκομείου για να ενεργοποιήσουν και να διατηρήσουν τη βιωσιμότητα.

Ας πάρουμε το παράδειγμα ενός ελέγχου πρόσβασης προϊόντος. Ο κατασκευαστής συσκευών ή ο πάροχος λογισμικού μπορεί τυπικά να εφαρμόσει τον έλεγχο πρόσβασης στις λειτουργίες του προϊόντος με επαλήθευση ή έλεγχο ταυτότητας, την ταυτότητα ενός κλινικού χρήστη με βάση την υπηρεσία της υπηρεσίας καταλόγου Active Director Το προϊόν γνωρίζει από τη διαμόρφωσή του. Τώρα, μόνο ο οργανισμός υγειονομικής περίθαλψης μπορεί να προσδιορίσει ποιοι χρήστες πρέπει να έχουν εξουσιοδότηση για πρόσβαση στο σύστημα και μπορούν να διαμορφώσουν κατάλληλα το προϊόν και μερικές φορές να διαμορφώσουν το δικό του Active Directory δημιουργώντας μια ομάδα εάν δεν μπορεί να επαναχρησιμοποιηθεί. Η χρήση μιας ακατάλληλης ομάδας, όπως η εξουσιοδότηση πάρα πολλοί χρήστες ή η χαλαρή για τη διατήρηση ενός ενημερωμένου καταλόγου, μπορεί να ανοίξει ένα δίκτυο σε περιττό κίνδυνο. Ο κατασκευαστής φέρνει στον έλεγχο ασφαλείας, στο νοσοκομείο τη βέλτιστη διαμόρφωση ελέγχου.

Η κρυπτογράφηση δεδομένων, ένα άλλο ισχυρό χαρακτηριστικό ασφαλείας, απαιτεί επίσης δράση από την πλευρά του νοσοκομείου καθώς και του κατασκευαστή. Όταν χρησιμοποιείται κρυπτογράφηση για να εξασφαλιστεί η εμπιστευτικότητα των δεδομένων, είναι επίσης απαραίτητος ο έλεγχος ταυτότητας κόμβου δικτύου για να βεβαιωθείτε ότι τα δεδομένα φτάνουν στον αναμενόμενο προορισμό. Για παράδειγμα, οι κατασκευαστές μπορούν να παρέχουν ελέγχους ασφαλείας, όπως ισχυροί αλγόριθμοι κρυπτογράφησης δεδομένων και επαλήθευση πιστοποιητικών για πληροφορίες κατά τη μεταφορά μεταξύ ιατρικής συσκευής και ηλεκτρονικού ιατρικού αρχείου (EMR) ενός νοσοκομείου. Τώρα, για να ενεργοποιήσετε αυτό το χαρακτηριστικό ασφαλείας, το νοσοκομείο παρέχει το πιστοποιητικό ελέγχου ταυτότητας και ένα ισχυρό ιδιωτικό κλειδί για το EMR του και ένα αντίγραφο του πιστοποιητικού EMR στην ιατρική συσκευή - το οποίο θα το χρησιμοποιήσει για τον έλεγχο ταυτότητας του EMR. Το νοσοκομείο είναι επίσης υπεύθυνο για τη διαχείριση αυτών των περιουσιακών στοιχείων - λήξη, ανάκληση. Για τα νοσοκομεία για να συνειδητοποιήσουν τα πλήρη οφέλη της κρυπτογράφησης και της αμοιβαίας ταυτότητας, ο κατασκευαστής πρέπει να προσφέρει σχετικούς ισχυρούς ελέγχους ασφαλείας στο προϊόν. Ωστόσο, αυτά τα χαρακτηριστικά δεν λειτουργούν μέχρι να διαμορφωθούν σωστά από το νοσοκομείο. Εάν όχι, η λειτουργία ασφαλείας κρυπτογράφησης δεν μπορεί να λειτουργήσει ή ακόμα χειρότερα, μπορεί να εμφανιστεί σαν να παρέχεται ασφάλεια όταν δεν είναι.

Ακόμη και οι εφαρμογές που βασίζονται σε κινητά και σύννεφα απαιτούν κοινή ευθύνη, καθώς τα νοσοκομεία θα πρέπει να διασφαλίσουν ότι τα προγράμματα περιήγησης και οι κινητές συσκευές είναι ενημερωμένες και ενεργοποιημένες με χαρακτηριστικά ασφαλείας, όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων για τη βελτιστοποίηση των ελέγχων ασφαλείας που βασίζονται σε σύννεφο του κατασκευαστή.

Έτσι, για να εξασφαλιστεί η ασφαλής εφαρμογή ενός προϊόντος, οι κατασκευαστές πρέπει να ενσωματώσουν αυτό το προϊόν ελέγχους ασφάλειας χρησιμοποιώντας αποδεδειγμένους αλγόριθμους και σχέδια, καθοδηγούνται από τη διαδικασία "ασφάλειας από το σχεδιασμό". Ταυτόχρονα, τα νοσοκομεία έχουν πάντα το μερίδιό τους σε ευθύνες και δραστηριότητες για να διασφαλίσουν ότι το προϊόν χρησιμοποιείται με ασφάλεια.

Στη συνέχεια, κάθε προϊόν είναι διαφορετικό, πώς μπορεί ένα νοσοκομείο να ξέρει τι να κάνει; Τα νοσοκομεία έχουν τις δικές τους συνολικές διαδικασίες και διαδικασίες για να διατηρήσουν την ασφαλή τους υποδομή πληροφορικής, οι οποίες ισχύουν για όλα τα αναπτυγμένα προϊόντα. Αλλά για να επιτρέψουν στα νοσοκομεία να εξετάσουν και να αξιοποιήσουν τις ιδιαιτερότητες κάθε προϊόντος, οι κατασκευαστές πρέπει να είναι διαφανείς σχετικά με τα χαρακτηριστικά ασφαλείας που μπορούν να χρησιμοποιηθούν από τα νοσοκομεία καθώς και τις προσδοκίες τους για το νοσοκομειακό περιβάλλον. Τα νοσοκομεία με τη σειρά τους θα πρέπει να γνωρίζουν αυτά τα χαρακτηριστικά ασφαλείας και τις προσδοκίες. Τελευταίο αλλά εξίσου σημαντικό, και οι δύο πρέπει να συνεργαστούν για να επιτρέψουν την επιτυχή εφαρμογή.

Πώς γνωρίζουν τα νοσοκομεία το ρόλο τους;

Ευτυχώς, οι κατασκευαστές μπορούν να διευκολύνουν τα νοσοκομεία να καταλάβουν τι μπορούν να κάνουν για να βελτιστοποιήσουν την ασφάλεια των ιατρικών δεδομένων. Οι κατασκευαστές συχνά παρέχουν κλινικούς χρήστες και διαχειριστές συστημάτων πληροφόρησης και κατευθυντήριες γραμμές σε έγγραφα όπως η δήλωση αποκάλυψης κατασκευαστών για την ασφάλεια των ιατρικών συσκευών (MDS2), οι οδηγοί σκλήρυνσης και άλλα υλικά καθοδήγησης ασφαλείας.

Αυτά τα έγγραφα παρέχουν ένα σχέδιο βήμα προς βήμα για τους παρόχους υγειονομικής περίθαλψης που θα ακολουθήσουν για να εξασφαλίσουν ότι κάνουν το ρόλο τους για να προστατεύσουν τα δεδομένα των ιατρικών συσκευών από κυβερνοεπικαλίς ή άλλες εισβολές. Τα συνιστώμενα βήματα ενδέχεται να περιλαμβάνουν τον περιορισμό της πρόσβασης σύνδεσης σε συγκεκριμένο προσωπικό. εξασφάλιση συνδέσεων μεταξύ συστημάτων μέσω τμηματοποίησης δικτύου και περιορισμένων θυρών · χρησιμοποιώντας αξιόπιστα πιστοποιητικά για την επαλήθευση της ταυτότητας των ιατρικών συσκευών και των συστημάτων λήψης κλινικών δεδομένων · και πολλές άλλες ενέργειες που αφορούν το δίκτυο του νοσοκομείου.

Οι συνιστώμενες οδηγίες ασφαλείας ανάγνωσης των κατασκευαστών

Οι οδηγοί τεκμηρίωσης προϊόντων και σκλήρυνσης των κατασκευαστών λένε στα νοσοκομεία πώς μπορούν να αξιοποιήσουν μια ιατρική συσκευή ή ένα ενσωματωμένο λογισμικό ασφαλείας για να παρέχουν μια βέλτιστα ασφαλή χρήση. Είναι σημαντικό να αναθεωρήσετε αυτούς τους οδηγούς κάθε φορά που αναπτύσσεται μια νέα έκδοση ενός προϊόντος ή λογισμικού, επειδή ενδέχεται να απαιτούν βελτιωμένα στοιχεία ελέγχου ασφαλείας, για παράδειγμα, ενημερωμένες διαμορφώσεις κρυπτογράφησης ή νέα ιδιωτικά κλειδιά.

Επιπλέον, δεν είναι ασυνήθιστο για ορισμένους ελέγχους ασφαλείας - όπως ποιος απαιτεί πρόσβαση στο σύστημα ή τι πρέπει να είναι ένας κωδικός πρόσβασης - να υποβαθμιστεί με την πάροδο του χρόνου, καθώς οι κλινικοί χρήστες κάνουν αλλαγές διαμόρφωσης ή απαιτήσεις πρόσβασης. Ως εκ τούτου, συνιστάται επίσης να χρησιμοποιείτε αυτούς τους οδηγούς σε τακτική βάση για τον έλεγχο της αποτελεσματικότητας της τρέχουσας διαμόρφωσης ασφαλείας.

Οι εγκληματίες του κυβερνοχώρου χρειάζονται μόνο ένα αδύναμο σημείο για να διεισδύσουν σε ένα δίκτυο για κακούς σκοπούς. Για να αποτρέψουν τη δραστηριότητά τους, οι κατασκευαστές και τα νοσοκομεία πρέπει να συνεργαστούν και να είναι σαφείς για τους ρόλους του άλλου και τις κοινές ευθύνες σε ένα ασφαλές περιβάλλον δεδομένων από άκρο σε άκρο.

Η Philips παρέχει τεκμηρίωση, συμπεριλαμβανομένων των οδηγών σκλήρυνσης συστήματος με συνιστώμενες ενέργειες, για τα νοσοκομεία να ακολουθήσουν για να αξιοποιήσουν τα χαρακτηριστικά ασφαλείας που ενσωματώνονται στις ιατρικές συσκευές της Philips και στις λύσεις λογισμικού. Οι συστάσεις αναθεωρούνται με κάθε νέα έκδοση υλικού ή λογισμικού της Philips και μπορούν να βοηθήσουν τα νοσοκομεία να λάβουν τα σωστά βήματα για να εκπληρώσουν την κοινή τους ευθύνη για την ασφάλεια των δεδομένων ιατρικών συσκευών.

Για να επαληθεύσετε ότι το περιβάλλον ασφαλείας του δικτύου σας πληροί την κοινή σας ευθύνη, ζητήστε από τον διαχειριστή του συστήματος ασφαλείας να ελέγξει τους οδηγούς σκλήρυνσης και τα έγγραφα ασφαλείας που διατίθενται στην πύλη πελατών της Philips.

Επιπλέον, επικοινωνήστε με τον αντιπρόσωπο της Philips για να μάθετε περισσότερα σχετικά με τις βελτιωμένες λειτουργίες κρυπτογράφησης και ασφάλειας δεδομένων που διατίθενται στο Philips Solutions και πώς εσείς και η Philips μπορείτε να βοηθήσετε στην προστασία της ασφάλειας και της ιδιωτικής ζωής των προσωπικών πληροφοριών για την υγεία των ασθενών σας. Μαζί, μπορούμε να κάνουμε μια νικηφόρα ομάδα για την ασφάλεια των δεδομένων.