เช่นเดียวกับทีมที่ทำงานไปสู่เป้าหมายโรงพยาบาลและผู้ผลิตอุปกรณ์การแพทย์แต่ละคนมีส่วนต่าง ๆ ที่แตกต่างกันเพื่อช่วยสร้างสภาพแวดล้อมที่ปลอดภัยสำหรับข้อมูลสุขภาพส่วนบุคคลที่ได้มาจากจอภาพผู้ป่วยและอุปกรณ์การแพทย์อื่น ๆ
ในบางครั้งแนวคิดเรื่องความรับผิดชอบร่วมกันเพื่อความปลอดภัยของข้อมูลได้รับการยอมรับว่าเป็นแนวปฏิบัติที่ดีที่สุดในอุตสาหกรรมเทคโนโลยีขนาดใหญ่ ตัวอย่างเช่นผู้ให้บริการคลาวด์เช่น Amazon Web Services, Microsoft Azure และ Google ปฏิบัติตามรูปแบบความรับผิดชอบที่ใช้ร่วมกันนี้เพื่อกำหนดภาระผูกพันด้านความปลอดภัยซึ่งกันและกันของผู้ให้บริการคลาวด์และลูกค้าของพวกเขา
ภายในการดูแลสุขภาพมีรูปแบบที่คล้ายกันเกิดขึ้นสำหรับข้อมูลอุปกรณ์การแพทย์ ในแนวทางที่เผยแพร่ในเดือนกันยายน 2566 สำนักงานคณะกรรมการอาหารและยาของสหรัฐอเมริกายืนยันว่า“ องค์การอาหารและยา ตระหนักดีว่าความปลอดภัยทางไซเบอร์ของอุปกรณ์การแพทย์เป็นความรับผิดชอบร่วมกันระหว่างผู้มีส่วนได้ส่วนเสียตลอดสภาพแวดล้อมการใช้งานของระบบอุปกรณ์การแพทย์รวมถึงสิ่งอำนวยความสะดวกด้านการดูแลสุขภาพผู้ป่วยผู้ให้บริการด้านการดูแลสุขภาพและผู้ผลิตของผู้ผลิต อุปกรณ์การแพทย์ -
นักวิจัยและนักพัฒนาอุตสาหกรรมการแพทย์เห็นพ้องกัน บทความเกี่ยวกับการเอาท์ซอร์สผลิตภัณฑ์ทางการแพทย์ (MPO) กล่าวว่า“ ความปลอดภัยทางไซเบอร์โดยทั่วไปเป็นความรับผิดชอบร่วมกันเนื่องจากโรงพยาบาลหรือผู้ผลิตอุปกรณ์การแพทย์ไม่สามารถป้องกันการโจมตีที่มีเป้าหมายด้านการดูแลสุขภาพที่เพิ่มขึ้นด้วยตนเอง พวกเขาจะต้องเข้าร่วมกองกำลังเพื่อปกป้องทั้งผลิตภัณฑ์และผู้ป่วยจากอันตราย -
เป็นที่ชัดเจนว่าผู้ผลิตอุปกรณ์การแพทย์ผู้ให้บริการซอฟต์แวร์โรงพยาบาลและองค์กรด้านสุขภาพจะต้องร่วมมือกันเพื่อป้องกันข้อมูลผู้ป่วยและระบบอุปกรณ์การแพทย์กับกิจกรรมอาชญากรไซเบอร์ ในการเป็นทีมที่ประสบความสำเร็จผู้เล่นแต่ละคนจะต้องรู้และเข้าใจบทบาทของพวกเขา
การทำความเข้าใจบทบาทในความปลอดภัยของข้อมูลอุปกรณ์การแพทย์
องค์การอาหารและยาของสหรัฐอเมริกากำหนดให้ผู้ผลิตอุปกรณ์การแพทย์และผู้ให้บริการซอฟต์แวร์ปฏิบัติตามกระบวนการที่เรียกว่า "การรักษาความปลอดภัยโดยการออกแบบ" ซึ่งยืนยันว่าการควบคุมบางอย่างจะถูกฝังลงในผลิตภัณฑ์เพื่อให้โรงพยาบาลสามารถปรับใช้และใช้ผลิตภัณฑ์ได้ง่ายขึ้น [2] คุณสมบัติเช่นการเข้ารหัสที่กำหนดค่าได้หน้าเข้าสู่ระบบที่ปลอดภัยและข้อกำหนดการตรวจสอบสิทธิ์ของผู้ใช้เป็นตัวอย่างของวิธีที่ผู้ผลิตรวมความสามารถด้านความปลอดภัยเข้ากับผลิตภัณฑ์ของตน
อย่างไรก็ตามเพื่อให้ทำงานได้อย่างดีที่สุดคุณสมบัติเหล่านี้ให้ความปลอดภัยในการออกแบบผลิตภัณฑ์มักจะต้องดำเนินการในส่วนของโรงพยาบาลเพื่อเปิดใช้งานและรักษาความมีชีวิต
ลองมาตัวอย่างของการควบคุมการเข้าถึงผลิตภัณฑ์ โดยทั่วไปผู้ผลิตอุปกรณ์หรือผู้ให้บริการซอฟต์แวร์สามารถใช้การควบคุมการเข้าถึงกับฟังก์ชันการทำงานของผลิตภัณฑ์โดยการตรวจสอบหรือตรวจสอบความถูกต้องตัวตนของผู้ใช้ทางคลินิกตามบริการ Active Directory ของโรงพยาบาลผ่านรหัสผ่านและโปรโตคอลจากนั้นตรวจสอบผู้ใช้รายนี้เป็นของกลุ่ม Active Directory ผลิตภัณฑ์รู้จากการกำหนดค่า ตอนนี้มีเพียงองค์กรด้านการดูแลสุขภาพเท่านั้นที่สามารถระบุได้ว่าผู้ใช้ใดควรได้รับอนุญาตให้เข้าถึงระบบและสามารถกำหนดค่าผลิตภัณฑ์ได้อย่างเหมาะสมและบางครั้งกำหนดค่า Active Directory ของตัวเองโดยการสร้างกลุ่มหากไม่สามารถนำกลับมาใช้ใหม่ได้ การใช้กลุ่มที่ไม่เหมาะสมเช่นการอนุญาตให้ผู้ใช้มากเกินไปหรือเป็นคนขี้เกียจเกี่ยวกับการบำรุงรักษาไดเรกทอรีที่ทันสมัยสามารถเปิดเครือข่ายไปสู่ความเสี่ยงที่ไม่จำเป็น ผู้ผลิตนำการควบคุมความปลอดภัยเข้าสู่การกำหนดค่าการควบคุมที่ดีที่สุดของโรงพยาบาล
การเข้ารหัสข้อมูลคุณลักษณะด้านความปลอดภัยที่แข็งแกร่งอีกประการหนึ่งยังต้องดำเนินการในส่วนของโรงพยาบาลเช่นเดียวกับผู้ผลิต เมื่อใช้การเข้ารหัสเพื่อให้แน่ใจว่าการรักษาความลับของข้อมูลจำเป็นต้องมีการตรวจสอบโหนดเครือข่ายเพื่อให้แน่ใจว่าข้อมูลมาถึงปลายทางที่คาดหวัง ตัวอย่างเช่นผู้ผลิตสามารถส่งมอบการควบคุมความปลอดภัยเช่นอัลกอริธึมการเข้ารหัสข้อมูลที่มีประสิทธิภาพและการตรวจสอบใบรับรองสำหรับข้อมูลระหว่างอุปกรณ์การแพทย์และเวชระเบียนอิเล็กทรอนิกส์ของโรงพยาบาล (EMR) ตอนนี้เพื่อเปิดใช้งานคุณสมบัติการรักษาความปลอดภัยนี้โรงพยาบาลจะให้ใบรับรองการตรวจสอบสิทธิ์และคีย์ส่วนตัวที่แข็งแกร่งสำหรับ EMR และสำเนาใบรับรอง EMR ไปยังอุปกรณ์การแพทย์ - ซึ่งจะใช้สำหรับการตรวจสอบ EMR โรงพยาบาลยังรับผิดชอบในการจัดการสินทรัพย์เหล่านี้ - หมดอายุการเพิกถอน เพื่อให้โรงพยาบาลตระหนักถึงประโยชน์อย่างเต็มที่ของการเข้ารหัสและการตรวจสอบความถูกต้องซึ่งกันและกันผู้ผลิตจะต้องเสนอการควบคุมความปลอดภัยที่แข็งแกร่งในผลิตภัณฑ์ อย่างไรก็ตามคุณสมบัติเหล่านี้ไม่สามารถใช้งานได้จนกว่าโรงพยาบาลจะได้รับการกำหนดค่าอย่างเหมาะสม หากไม่เป็นเช่นนั้นคุณสมบัติการรักษาความปลอดภัยการเข้ารหัสไม่สามารถทำงานได้หรือแย่กว่านั้นสามารถทำให้มันปรากฏราวกับว่ามีการรักษาความปลอดภัยเมื่อไม่ได้
แม้แต่แอพพลิเคชั่นบนมือถือและคลาวด์ก็ยังต้องการความรับผิดชอบร่วมกันเนื่องจากโรงพยาบาลจะต้องตรวจสอบให้แน่ใจว่าเบราว์เซอร์และอุปกรณ์มือถือนั้นทันสมัยและเปิดใช้งานด้วยคุณสมบัติด้านความปลอดภัยเช่นการตรวจสอบความถูกต้องแบบหลายปัจจัยเพื่อเพิ่มประสิทธิภาพการควบคุมความปลอดภัยบนคลาวด์ของผู้ผลิต
ดังนั้นเพื่อให้แน่ใจว่าการใช้งานผลิตภัณฑ์อย่างปลอดภัยผู้ผลิตจำเป็นต้องฝังตัวในการควบคุมความปลอดภัยของผลิตภัณฑ์นี้โดยใช้อัลกอริทึมและการออกแบบที่ได้รับการพิสูจน์แล้วซึ่งนำโดยกระบวนการ“ ความปลอดภัยโดยการออกแบบ” ในขณะเดียวกันโรงพยาบาลมักจะมีส่วนแบ่งความรับผิดชอบและกิจกรรมเพื่อให้แน่ใจว่าผลิตภัณฑ์นั้นใช้อย่างปลอดภัย
จากนั้นแต่ละผลิตภัณฑ์จะแตกต่างกันโรงพยาบาลจะรู้ได้อย่างไรว่าจะทำอย่างไร? โรงพยาบาลมีกระบวนการและขั้นตอนโดยรวมของตัวเองเพื่อรักษาความปลอดภัยโครงสร้างพื้นฐานด้านไอทีซึ่งใช้กับผลิตภัณฑ์ที่ปรับใช้ทั้งหมด แต่เพื่อให้โรงพยาบาลพิจารณาและใช้ประโยชน์จากความจำเพาะของแต่ละผลิตภัณฑ์ผู้ผลิตจะต้องมีความโปร่งใสเกี่ยวกับคุณสมบัติด้านความปลอดภัยที่โรงพยาบาลสามารถใช้งานได้รวมถึงความคาดหวังเกี่ยวกับสภาพแวดล้อมของโรงพยาบาล โรงพยาบาลควรทำให้ตัวเองตระหนักถึงคุณสมบัติและความคาดหวังด้านความปลอดภัยเหล่านั้น สุดท้าย แต่ไม่ท้ายสุดทั้งคู่ต้องร่วมมือกันเพื่อเปิดใช้งานการใช้งานที่ประสบความสำเร็จ
โรงพยาบาลรู้บทบาทของพวกเขาได้อย่างไร?
โชคดีที่ผู้ผลิตสามารถทำให้โรงพยาบาลเข้าใจได้ง่ายว่าพวกเขาสามารถทำอะไรได้บ้างเพื่อเพิ่มประสิทธิภาพความปลอดภัยของข้อมูลทางการแพทย์ ผู้ผลิตมักจะให้ข้อมูลและแนวทางของผู้ใช้ทางคลินิกและผู้ดูแลระบบในเอกสารเช่นคำสั่งการเปิดเผยข้อมูลผู้ผลิตเพื่อความปลอดภัยของอุปกรณ์การแพทย์ (MDS2) คู่มือการชุบแข็งและสื่อคำแนะนำด้านความปลอดภัยอื่น ๆ
เอกสารเหล่านี้ให้พิมพ์เขียวทีละขั้นตอนสำหรับผู้ให้บริการด้านการดูแลสุขภาพที่จะติดตามเพื่อให้แน่ใจว่าพวกเขากำลังทำส่วนของพวกเขาเพื่อปกป้องข้อมูลอุปกรณ์การแพทย์จากการโจมตีทางไซเบอร์หรือการบุกรุกอื่น ๆ ขั้นตอนที่แนะนำอาจรวมถึงการ จำกัด การเข้าถึงการเข้าสู่ระบบของบุคลากรเฉพาะ การรักษาความปลอดภัยการเชื่อมต่อระหว่างระบบผ่านการแบ่งส่วนเครือข่ายและพอร์ตที่ จำกัด การใช้ใบรับรองที่เชื่อถือได้เพื่อตรวจสอบตัวตนของอุปกรณ์การแพทย์และระบบรับข้อมูลทางคลินิก และการกระทำอื่น ๆ อีกมากมายที่เฉพาะเจาะจงกับเครือข่ายของโรงพยาบาล
คำกระตุ้นการตัดสินใจ→อ่านแนวทางการรักษาความปลอดภัยที่แนะนำของผู้ผลิต
เอกสารประกอบผลิตภัณฑ์ของผู้ผลิตและคู่มือการชุบแข็งบอกโรงพยาบาลว่าพวกเขาสามารถใช้ประโยชน์จากอุปกรณ์การแพทย์หรือคุณสมบัติความปลอดภัยในตัวของซอฟต์แวร์เพื่อให้มีการใช้งานที่ปลอดภัยอย่างเหมาะสม สิ่งสำคัญคือการตรวจสอบคำแนะนำเหล่านี้ทุกครั้งที่มีการปรับใช้ผลิตภัณฑ์หรือซอฟต์แวร์เวอร์ชันใหม่เนื่องจากการควบคุมความปลอดภัยที่ได้รับการปรับปรุงอาจต้องใช้ตัวอย่างเช่นการกำหนดค่าการเข้ารหัสที่อัปเดตหรือคีย์ส่วนตัวใหม่
นอกจากนี้ไม่ใช่เรื่องแปลกสำหรับการควบคุมความปลอดภัยบางอย่างเช่นผู้ที่ต้องการการเข้าถึงระบบหรือรหัสผ่านควรลดลงเมื่อเวลาผ่านไปเนื่องจากผู้ใช้ทางคลินิกทำการเปลี่ยนแปลงการกำหนดค่าหรือการเปลี่ยนแปลงข้อกำหนดการเข้าถึง ดังนั้นจึงขอแนะนำให้ใช้คู่มือเหล่านี้เป็นประจำเพื่อควบคุมประสิทธิภาพของการกำหนดค่าความปลอดภัยในปัจจุบัน
อาชญากรไซเบอร์ต้องการจุดอ่อนเพียงจุดเดียวในการแทรกซึมเครือข่ายเพื่อจุดประสงค์ที่เลวร้าย เพื่อป้องกันกิจกรรมของพวกเขาผู้ผลิตและโรงพยาบาลจำเป็นต้องร่วมมือกันและชัดเจนเกี่ยวกับบทบาทของกันและกันและความรับผิดชอบร่วมกันในสภาพแวดล้อมข้อมูลที่ปลอดภัยแบบครบวงจร
ฟิลิปส์จัดทำเอกสารรวมถึงคู่มือการชุบแข็งของระบบพร้อมการดำเนินการที่แนะนำเพื่อให้โรงพยาบาลติดตามคุณสมบัติความปลอดภัยที่ฝังอยู่ภายในอุปกรณ์การแพทย์และโซลูชันซอฟต์แวร์ของ Philips คำแนะนำได้รับการแก้ไขด้วยฮาร์ดแวร์ใหม่ของ Philips หรือการเปิดตัวซอฟต์แวร์ใหม่และสามารถช่วยให้โรงพยาบาลดำเนินการตามขั้นตอนที่เหมาะสมเพื่อตอบสนองความรับผิดชอบร่วมกันของพวกเขาสำหรับความปลอดภัยของข้อมูลอุปกรณ์การแพทย์
ในการตรวจสอบว่าสภาพแวดล้อมความปลอดภัยเครือข่ายของคุณตรงกับความรับผิดชอบที่ใช้ร่วมกันของคุณขอให้ผู้ดูแลระบบรักษาความปลอดภัยของคุณตรวจสอบคู่มือการชุบแข็งและเอกสารความปลอดภัยที่มีอยู่ในพอร์ทัลลูกค้าของ Philips
นอกจากนี้โปรดติดต่อตัวแทน Philips ของคุณเพื่อเรียนรู้เพิ่มเติมเกี่ยวกับการเข้ารหัสข้อมูลที่ได้รับการปรับปรุงและคุณสมบัติความปลอดภัยที่มีอยู่ในโซลูชั่น Philips และวิธีที่คุณและ Philips สามารถช่วยปกป้องความปลอดภัยและความเป็นส่วนตัวของข้อมูลสุขภาพส่วนบุคคลของผู้ป่วยได้ ร่วมกันเราสามารถสร้างทีมที่ชนะเพื่อความปลอดภัยของข้อมูล