Gedeelde verantwoordelijkheid: hoe ziekenhuizen kunnen helpen IMPEN

Net als een team dat werkt aan een doel, hebben ziekenhuizen en fabrikanten van medische hulpmiddelen elk verschillende onderdelen om te spelen om een ​​veilige omgeving te creëren voor de persoonlijke gezondheidsinformatie die is afgeleid van patiëntenmonitors en andere medische hulpmiddelen.

Sinds enige tijd is dit idee van een gedeelde verantwoordelijkheid voor gegevensbeveiliging erkend als een best practice binnen de grotere technologie -industrie. Cloudserviceproviders zoals Amazon Web Services, Microsoft Azure en Google volgen bijvoorbeeld dit model voor gedeelde verantwoordelijkheid om de wederzijdse beveiligingsverplichtingen van de cloudproviders en hun klanten te definiëren.

Binnen de gezondheidszorg is een soortgelijk model naar voren gekomen voor gegevens van medische hulpmiddelen. In richtlijnen die in september 2023 zijn vrijgegeven, beweert de Amerikaanse Food and Drug Administration: “ FDA erkent dat cybersecurity van medische apparaten een gedeelde verantwoordelijkheid is bij belanghebbenden in de gebruiksomgeving van het systeem voor medische hulpmiddelen, inclusief gezondheidszorgfaciliteiten, patiënten, zorgverleners en fabrikanten van medische hulpmiddelen. ”

Onderzoekers en ontwikkelaars van medische industrie zijn het eens. Een artikel in Medical Product Outsourcing (MPO) stelt: “ Cybersecurity in het algemeen is eigenlijk een gedeelde verantwoordelijkheid, omdat noch ziekenhuizen noch fabrikanten van medische hulpmiddelen het stijgende aantal op de gezondheidszorg gerichte aanvallen kunnen afweren. Ze moeten hun krachten bundelen om zowel producten als patiënten tegen schade te beschermen. ”

Het is duidelijke fabrikanten van medische hulpmiddelen, softwareproviders in het ziekenhuis en gezondheidsorganisaties moeten samenwerken om patiëntinformatie en systemen voor medische hulpmiddelen te beschermen tegen cybercriminale activiteiten. Om een ​​succesvol team te zijn, moet elk van de spelers hun rol kennen en begrijpen.

Inzicht in rollen in gegevensbeveiliging van medische hulpmiddelen

De Amerikaanse FDA vereist dat fabrikanten van medische hulpmiddelen en softwareproviders een proces volgen dat 'beveiliging door design' wordt genoemd, dat beweert dat bepaalde bedieningselementen in een product moeten worden ingebed om het voor ziekenhuizen gemakkelijker te maken om het product veilig te implementeren en te gebruiken. [2] Functies zoals configureerbare encryptie, beveiligde inlogpagina's en gebruikersverificatievereisten zijn voorbeelden van hoe fabrikanten beveiligingsmogelijkheden in hun producten integreren.

Om optimaal te functioneren, vereisen deze functies die beveiliging bieden bij het ontwerp van het product echter vaak actie van het deel van het ziekenhuis om de levensvatbaarheid te activeren en te behouden.

Laten we het voorbeeld nemen van een producttoegangscontrole. Een apparaatfabrikant of softwareprovider kan doorgaans toegangscontrole tot productfunctionaliteiten implementeren door de identiteit van een klinische gebruiker op basis van de Active Directory -service van het ziekenhuis te verifiëren of te authenticeren, via wachtwoorden en protocollen. Product weet uit de configuratie. Nu kan alleen de zorgorganisatie identificeren welke gebruikers autorisatie moeten hebben om toegang te krijgen tot het systeem en het product op de juiste manier kunnen configureren, en soms zijn eigen Active Directory configureren door een groep te maken als deze niet kan worden hergebruikt. Het gebruik van een ongepaste groep, zoals het autoriseren van te veel gebruikers, of laks zijn over het handhaven van een up-to-date directory, kan een netwerk openen voor onnodig risico. De fabrikant brengt de beveiligingscontrole in, het ziekenhuis de optimale besturingsconfiguratie.

Gegevenscodering, een andere sterke beveiligingsfunctie, vereist ook actie van zowel het ziekenhuis als de fabrikant. Wanneer codering wordt gebruikt om de vertrouwelijkheid van gegevens te waarborgen, is netwerkknooppuntverificatie ook nodig om ervoor te zorgen dat gegevens op de verwachte bestemming aankomen. Fabrikanten kunnen bijvoorbeeld beveiligingscontroles leveren, zoals robuuste gegevenscoderingalgoritmen en certificaatverificatie voor informatie tijdens het transport tussen een medisch apparaat en het elektronische medische dossier van een ziekenhuis (EMR). Nu, om deze beveiligingsfunctie mogelijk te maken, biedt het ziekenhuis het authenticatiecertificaat en een sterke privésleutel tot de EMR, en een kopie van het EMR -certificaat naar het medische apparaat - dat het zal gebruiken voor het authenticeren van de EMR. Het ziekenhuis is ook verantwoordelijk voor het beheer van deze activa - vervaldatum, intrekking. Voor ziekenhuizen om de volledige voordelen van codering en wederzijdse authenticatie te realiseren, moet de fabrikant gerelateerde sterke beveiligingscontroles in het product aanbieden; Deze functies zijn echter niet operationeel totdat ze door het ziekenhuis correct zijn geconfigureerd. Als dit niet het geval is, kan de coderingsbeveiligingsfunctie niet werken, of erger nog, kan het lijken alsof er beveiliging wordt geboden wanneer dit niet het geval is.

Zelfs mobiele en cloudgebaseerde applicaties vereisen een gedeelde verantwoordelijkheid, omdat ziekenhuizen ervoor moeten zorgen dat browsers en mobiele apparaten up-to-date zijn en ingeschakeld zijn met beveiligingsfuncties zoals multi-factor authenticatie om de cloudgebaseerde beveiligingscontroles van de fabrikant te optimaliseren.

Om een ​​veilige implementatie van een product te garanderen, moeten de fabrikanten dus in deze productbeveiligingscontroles insluiten met behulp van bewezen algoritmen en ontwerpen, geleid door het "beveiliging door ontwerp" -proces. Tegelijkertijd hebben ziekenhuizen altijd hun aandeel in verantwoordelijkheden en activiteiten om ervoor te zorgen dat het product daadwerkelijk veilig wordt gebruikt.

Dan is elk product anders, hoe kan een ziekenhuis weten wat hij moet doen? Ziekenhuizen hebben hun eigen algemene processen en procedures om hun IT -infrastructuur te behouden, die van toepassing zijn op alle geïmplementeerde producten. Maar om ziekenhuizen in staat te stellen de specificiteiten van elk product te overwegen en te benutten, moeten fabrikanten transparant zijn over de beveiligingsfuncties die door de ziekenhuizen kunnen worden gebruikt, evenals hun verwachtingen van de ziekenhuisomgeving. Ziekenhuizen moeten op hun beurt zich bewust zijn van die beveiligingsfuncties en verwachtingen. Last but not least moeten beide samenwerken om een ​​succesvolle implementatie mogelijk te maken.

Hoe kennen ziekenhuizen hun rol?

Gelukkig kunnen fabrikanten het voor ziekenhuizen gemakkelijk maken om te begrijpen wat ze kunnen doen om de medische gegevensbeveiliging te optimaliseren. Fabrikanten bieden klinische gebruikers en systeembeheerders vaak informatie en richtlijnen in documenten zoals de openbaarmakingsverklaring van de fabrikant voor beveiliging van medische hulpmiddelen (MDS2), verhardingsgidsen en andere beveiligingsbegeleidingsmaterialen.

Deze documenten bieden een stapsgewijze blauwdruk voor zorgaanbieders om ervoor te zorgen dat ze hun steentje bijdragen om gegevens van medische hulpmiddelen te beschermen tegen cyberaanvallen of andere intrusies. Aanbevolen stappen kunnen het beperken van inlogtoegang tot specifiek personeel omvatten; het beveiligen van verbindingen tussen systemen via netwerksegmentatie en beperkte poorten; het gebruik van vertrouwde certificaten om de identiteit van medische hulpmiddelen en klinische gegevens ontvangende systemen te verifiëren; en vele andere acties die specifiek zijn voor het netwerk van het ziekenhuis.

Call-to-action → Read fabrikanten aanbevolen beveiligingsrichtlijnen

Productdocumentatie en verhardingsgidsen van fabrikanten vertellen ziekenhuizen hoe ze een medisch apparaat of ingebedde beveiligingsfuncties van software kunnen benutten om een ​​optimaal veilig gebruik te bieden. Het is belangrijk om deze gidsen te bekijken telkens wanneer een nieuwe versie van een product of software wordt geïmplementeerd, omdat verbeterde beveiligingscontroles bijvoorbeeld mogelijk bijgewerkte coderingsconfiguraties of nieuwe privésleutels vereisen.

Bovendien is het niet ongewoon voor sommige beveiligingscontroles - zoals wie systeemtoegang nodig heeft of wat een wachtwoord zou moeten zijn - om in de loop van de tijd af te breken, omdat klinische gebruikers configuratiewijzigingen of toegangsvereisten wijzigen. Daarom wordt het ook aanbevolen om deze gidsen regelmatig te gebruiken om de effectiviteit van de huidige beveiligingsconfiguratie te regelen.

Cybercriminelen hebben slechts één zwakke plek nodig om een ​​netwerk te infiltreren voor snode doeleinden. Om hun activiteit te dwarsbomen, moeten fabrikanten en ziekenhuizen samenwerken en duidelijk zijn over elkaars rollen en gedeelde verantwoordelijkheden in een end-to-end beveiligde gegevensomgeving.

Philips biedt documentatie, inclusief systeemhardingsgidsen met aanbevolen acties, voor ziekenhuizen om te volgen om beveiligingsfuncties te benutten die zijn ingebed in Philips Medical Devices en Software Solutions. De aanbevelingen worden herzien met elke nieuwe Philips -hardware of software -release en kunnen ziekenhuizen helpen de juiste stappen te ondernemen om hun gedeelde verantwoordelijkheid voor gegevensbeveiliging van medische hulpmiddelen te vervullen.

Om te controleren of uw netwerkbeveiligingsomgeving aan uw gedeelde verantwoordelijkheid voldoet, vraagt ​​u de beheerder van uw beveiligingssysteem om de verhardende gidsen en beveiligingsdocumenten te controleren die beschikbaar zijn in uw Philips -klantportaal.

Neem bovendien contact op met uw Philips -vertegenwoordiger voor meer informatie over de verbeterde gegevenscodering en beveiligingsfuncties die beschikbaar zijn in Philips Solutions, en hoe u en Philips wederzijds kunnen helpen de veiligheid en privacy van de persoonlijke gezondheidsinformatie van uw patiënten te beschermen. Samen kunnen we een winnend team maken voor gegevensbeveiliging.