Seperti satu pasukan yang bekerja ke arah matlamat, pengilang hospital dan peranti perubatan masing -masing mempunyai bahagian yang berbeza untuk bermain untuk membantu mewujudkan persekitaran yang selamat untuk maklumat kesihatan peribadi yang diperoleh daripada monitor pesakit dan peranti perubatan lain.
Untuk beberapa waktu, tanggapan mengenai tanggungjawab bersama untuk keselamatan data telah diiktiraf sebagai amalan terbaik dalam industri teknologi yang lebih besar. Sebagai contoh, penyedia perkhidmatan awan seperti Amazon Web Services, Microsoft Azure dan Google mengikuti model tanggungjawab bersama ini untuk menentukan kewajipan keselamatan bersama penyedia awan dan pelanggan mereka.
Dalam penjagaan kesihatan, model yang sama telah muncul untuk data peranti perubatan. Dalam panduan yang dikeluarkan pada bulan September 2023, Pentadbiran Makanan dan Dadah Amerika Syarikat menegaskan, " FDA mengakui bahawa keselamatan siber peranti perubatan adalah tanggungjawab bersama di kalangan pihak berkepentingan di seluruh persekitaran penggunaan sistem peranti perubatan, termasuk kemudahan penjagaan kesihatan, pesakit, penyedia penjagaan kesihatan, dan pengeluar dari Peranti perubatan. "
Penyelidik dan pemaju industri perubatan bersetuju. Satu artikel dalam penyumberan luar produk perubatan (MPO) menyatakan, " Keselamatan siber pada umumnya, sebenarnya, adalah tanggungjawab bersama, kerana pengilang alat hospital atau peranti perubatan tidak dapat menangkis jumlah serangan yang disasarkan oleh penjagaan kesihatan sendiri. Mereka mesti bergabung untuk melindungi kedua -dua produk dan pesakit dari bahaya. "
Ia adalah pengeluar peranti perubatan yang jelas, penyedia perisian hospital dan organisasi kesihatan mesti bekerjasama untuk melindungi maklumat pesakit dan sistem peranti perubatan terhadap aktiviti jenayah siber. Untuk menjadi pasukan yang berjaya, setiap pemain mesti tahu dan memahami peranan mereka.
Memahami peranan dalam keselamatan data peranti perubatan
FDA AS memerlukan pengeluar peranti perubatan dan penyedia perisian untuk mengikuti proses yang dipanggil "Keselamatan oleh Reka Bentuk," yang mengekalkan bahawa kawalan tertentu akan dimasukkan ke dalam produk untuk memudahkan hospital untuk menggunakan dan menggunakan produk dengan selamat. [2] Ciri -ciri seperti penyulitan yang boleh dikonfigurasikan, halaman log masuk yang selamat dan keperluan pengesahan pengguna adalah contoh bagaimana pengeluar mengintegrasikan keupayaan keselamatan ke dalam produk mereka.
Untuk berfungsi secara optimum, bagaimanapun, ciri -ciri ini menyediakan keselamatan dalam reka bentuk produk sering memerlukan tindakan di bahagian hospital untuk mengaktifkan dan mengekalkan daya maju.
Mari kita ambil contoh kawalan akses produk. Pengilang peranti atau pembekal perisian biasanya boleh melaksanakan kawalan akses kepada fungsi produk dengan mengesahkan, atau mengesahkan, identiti pengguna klinikal berdasarkan perkhidmatan direktori aktif hospital, melalui kata laluan dan protokol, kemudian periksa pengguna ini milik kumpulan direktori aktif Produk tahu dari konfigurasinya. Sekarang, hanya organisasi penjagaan kesihatan yang dapat mengenal pasti pengguna yang harus mempunyai kebenaran untuk mengakses sistem dan dapat mengkonfigurasi produk dengan sewajarnya, dan kadang -kadang mengkonfigurasi direktori aktifnya sendiri dengan membuat kumpulan jika ia tidak dapat digunakan semula. Menggunakan kumpulan yang tidak sesuai, seperti memberi kuasa terlalu banyak pengguna, atau menjadi lemah tentang mengekalkan direktori terkini, boleh membuka rangkaian kepada risiko yang tidak perlu. Pengilang membawa kawalan keselamatan, hospital konfigurasi kawalan optimum.
Penyulitan data, satu lagi ciri keselamatan yang kuat, juga memerlukan tindakan di bahagian hospital serta pengeluar. Apabila penyulitan digunakan untuk memastikan kerahsiaan data, pengesahan nod rangkaian juga perlu untuk memastikan data tiba di destinasi yang diharapkan. Sebagai contoh, pengeluar boleh menyampaikan kawalan keselamatan seperti algoritma penyulitan data yang mantap dan pengesahan sijil untuk maklumat dalam transit antara peranti perubatan dan rekod perubatan elektronik hospital (EMR). Sekarang, untuk membolehkan ciri keselamatan ini, hospital menyediakan sijil pengesahan dan kunci persendirian yang kuat kepada EMRnya, dan salinan sijil EMR ke peranti perubatan - yang akan menggunakannya untuk mengesahkan EMR. Hospital ini juga bertanggungjawab menguruskan aset ini - tamat tempoh, pembatalan. Bagi hospital untuk merealisasikan manfaat penuh penyulitan dan pengesahan bersama, pengilang mesti menawarkan kawalan keselamatan yang kukuh dalam produk; Walau bagaimanapun, ciri -ciri ini tidak beroperasi sehingga mereka dikonfigurasi dengan betul oleh hospital. Jika tidak, ciri keselamatan penyulitan tidak dapat berfungsi, atau lebih buruk lagi, boleh menjadikannya kelihatan seolah -olah keselamatan disediakan apabila tidak.
Malah aplikasi mudah alih dan berasaskan awan memerlukan tanggungjawab bersama, kerana hospital perlu memastikan bahawa pelayar dan peranti mudah alih terkini dan diaktifkan dengan ciri-ciri keselamatan seperti pengesahan multi-faktor untuk mengoptimumkan kawalan keselamatan berasaskan awan pengeluar.
Oleh itu, untuk memastikan pelaksanaan produk yang selamat, pengeluar perlu membenamkan kawalan keselamatan produk ini menggunakan algoritma dan reka bentuk yang terbukti, dipandu oleh proses "keselamatan dengan reka bentuk". Pada masa yang sama, hospital sentiasa mempunyai bahagian tanggungjawab dan aktiviti mereka untuk memastikan produk sebenarnya digunakan dengan selamat.
Kemudian, setiap produk yang berbeza, bagaimanakah hospital tahu apa yang perlu dilakukan? Hospital mempunyai proses dan prosedur keseluruhan mereka sendiri untuk memastikan infrastruktur IT mereka, yang digunakan untuk semua produk yang digunakan. Tetapi untuk membolehkan hospital untuk mempertimbangkan dan memanfaatkan spesifik setiap produk, pengeluar perlu telus mengenai ciri -ciri keselamatan yang boleh digunakan oleh hospital serta jangkaan mereka terhadap persekitaran hospital. Hospital -hospital pula harus menyadari ciri -ciri dan harapan keselamatan tersebut. Akhir sekali, kedua -duanya perlu bekerjasama untuk membolehkan pelaksanaan yang berjaya.
Bagaimana hospital mengetahui peranan mereka?
Nasib baik, pengeluar boleh memudahkan hospital untuk memahami apa yang boleh mereka lakukan untuk mengoptimumkan keselamatan data perubatan. Pengilang sering menyediakan pengguna klinikal dan pentadbir sistem dengan maklumat dan garis panduan dalam dokumen seperti penyata pendedahan pengilang untuk keselamatan peranti perubatan (MDS2), panduan pengerasan dan bahan panduan keselamatan yang lain.
Dokumen-dokumen ini menyediakan pelan tindakan langkah demi langkah untuk penyedia penjagaan kesihatan untuk memastikan bahawa mereka melakukan bahagian mereka untuk melindungi data peranti perubatan dari cyberattacks atau pencerobohan lain. Langkah -langkah yang disyorkan mungkin termasuk menyekat akses log masuk kepada kakitangan tertentu; menjamin sambungan antara sistem melalui segmentasi rangkaian dan pelabuhan terhad; menggunakan sijil yang dipercayai untuk mengesahkan identiti peranti perubatan dan sistem penerima data klinikal; dan banyak tindakan lain khusus untuk rangkaian hospital.
Panggilan-ke-Tindakan → Baca garis panduan keselamatan yang disyorkan pengeluar
Dokumentasi produk dan pengerasan produk pengeluar memberitahu hospital bagaimana mereka boleh memanfaatkan ciri -ciri keselamatan peranti perubatan atau perisian untuk menyediakan penggunaan yang optimum. Adalah penting untuk mengkaji panduan ini setiap kali versi baru produk atau perisian digunakan, kerana kawalan keselamatan yang dipertingkatkan mungkin memerlukan, contohnya, konfigurasi penyulitan yang dikemas kini atau kunci peribadi baru.
Di samping itu, ia tidak biasa bagi beberapa kawalan keselamatan - seperti yang memerlukan akses sistem atau apa kata laluan - untuk merendahkan masa apabila pengguna klinikal membuat perubahan konfigurasi atau perubahan keperluan akses. Oleh itu, ia juga disyorkan untuk menggunakan panduan ini secara teratur untuk mengawal keberkesanan konfigurasi keselamatan semasa.
Penjenayah siber hanya memerlukan satu tempat yang lemah untuk menyusup ke rangkaian untuk tujuan jahat. Untuk menggagalkan aktiviti mereka, pengeluar dan hospital perlu bekerjasama dan jelas mengenai peranan masing-masing dan tanggungjawab bersama dalam persekitaran data yang selamat dari akhir-ke-akhir.
Philips menyediakan dokumentasi, termasuk panduan pengerasan sistem dengan tindakan yang disyorkan, untuk hospital untuk mengikuti ciri -ciri keselamatan yang tertanam dalam peranti perubatan dan penyelesaian perisian Philips. Cadangan disemak semula dengan setiap perkakasan atau pelepasan perisian Philips baru dan boleh membantu hospital mengambil langkah yang betul untuk memenuhi tanggungjawab bersama mereka untuk keselamatan data peranti perubatan.
Untuk mengesahkan bahawa persekitaran keselamatan rangkaian anda memenuhi tanggungjawab bersama anda, minta pentadbir sistem keselamatan anda untuk memeriksa panduan pengerasan dan dokumen keselamatan yang terdapat di portal pelanggan Philips anda.
Di samping itu, sila hubungi wakil Philips anda untuk mengetahui lebih lanjut mengenai ciri penyulitan dan keselamatan data yang dipertingkatkan yang terdapat di Philips Solutions, dan bagaimana anda dan Philips boleh membantu melindungi keselamatan dan privasi maklumat kesihatan peribadi pesakit anda. Bersama -sama, kita boleh membuat pasukan yang menang untuk keselamatan data.