
Bir hedefe doğru çalışan bir ekip gibi, hastanelerin ve tıbbi cihaz üreticilerinin her biri, hasta monitörlerinden ve diğer tıbbi cihazlardan elde edilen kişisel sağlık bilgileri için güvenli bir ortam yaratmaya yardımcı olmak için farklı parçalara sahiptir.
Bir süredir, veri güvenliği için ortak bir sorumluluk kavramı daha büyük teknoloji endüstrisinde en iyi uygulama olarak kabul edilmiştir. Örneğin, Amazon Web Services, Microsoft Azure ve Google gibi bulut servis sağlayıcıları, bulut sağlayıcılarının ve müşterilerinin karşılıklı güvenlik yükümlülüklerini tanımlamak için bu paylaşılan sorumluluk modelini takip eder.
Sağlık hizmetlerinde, tıbbi cihaz verileri için de benzer bir model ortaya çıkmıştır. Eylül 2023'te yayınlanan rehberlikte ABD Gıda ve İlaç İdaresi, “ FDA, tıbbi cihaz siber güvenliğinin sağlık tesisleri, hastalar, sağlık hizmeti sağlayıcıları ve üreticileri de dahil olmak üzere tıbbi cihaz sisteminin kullanım ortamı boyunca paydaşlar arasında ortak bir sorumluluk olduğunu kabul eder. Tıbbi Cihazlar. "
Tıp endüstrisi araştırmacıları ve geliştiricileri kabul eder. Tıbbi ürün dış kaynak kullanımı (MPO) 'daki bir makale, “ Genel olarak siber güvenlik, aslında, ne hastane ne de tıbbi cihaz üreticileri kendi başlarına artan sayıda sağlık hedefli saldırıyı önleyemediğinden ortak bir sorumluluktur. Hem ürünü hem de hastaları zarardan korumak için güçleri birleştirmelidirler. "
Açık tıbbi cihaz üreticileri, hastane yazılım sağlayıcıları ve sağlık kuruluşları, siber suç faaliyetlerine karşı hasta bilgilerini ve tıbbi cihaz sistemlerini korumak için bir araya gelmelidir. Başarılı bir ekip olmak için, oyuncuların her biri rollerini bilmeli ve anlamalıdır.
Tıbbi cihaz veri güvenliğindeki rolleri anlamak
ABD FDA, tıbbi cihaz üreticilerinin ve yazılım sağlayıcılarının, belirli kontrollerin, hastanelerin ürünü güvenli bir şekilde dağıtmasını ve kullanmasını kolaylaştırmak için bir ürüne gömüleceğini koruyan “Tasarım By Güvenlik” adlı bir süreci izlemelerini gerektirir. [2] Yapılandırılabilir şifreleme, güvenli oturum açma sayfaları ve kullanıcı kimlik doğrulama gereksinimleri gibi özellikler, üreticilerin güvenlik yeteneklerini ürünlerine nasıl entegre ettiklerine örnektir.
Bununla birlikte, optimal olarak işlev görmek için, ürünün tasarımında güvenlik sağlayan bu özellikler, uygulanabilirliği aktive etmek ve sürdürmek için genellikle hastanenin hareket etmesi gerekmektedir.
Bir ürün erişim kontrol örneğini ele alalım. Bir cihaz üreticisi veya yazılım sağlayıcısı, hastanenin Active Directory hizmetine dayalı bir klinik kullanıcının kimliğini, şifreler ve protokoller aracılığıyla doğrulayarak veya kimliğini doğrulayarak ürün işlevlerine erişim kontrolünü uygulayabilir, ardından bu kullanıcının bir Active Directory Grubuna ait olduğunu kontrol edebilir. Ürün yapılandırmasından bilir. Şimdi, yalnızca sağlık kuruluşu hangi kullanıcıların sisteme erişme yetkisine sahip olması gerektiğini belirleyebilir ve ürünü uygun şekilde yapılandırabilir ve bazen yeniden kullanılamazsa bir grup oluşturarak kendi aktif dizinini yapılandırabilir. Çok fazla kullanıcıya izin vermek veya güncel bir dizini korumak için gevşek olmak gibi uygunsuz bir grup kullanmak, bir ağ gereksiz risk için açabilir. Üretici güvenlik kontrolünü, hastaneye optimum kontrol yapılandırmasını getirir.
Başka bir güçlü güvenlik özelliği olan veri şifrelemesi, ayrıca hastanenin yanı sıra üreticinin de eylemi gerektirir. Veri gizliliğini sağlamak için şifreleme kullanıldığında, verilerin beklenen hedefe geldiğinden emin olmak için ağ düğümü kimlik doğrulaması da gereklidir. Örneğin, üreticiler, bir tıbbi cihaz ve hastanenin elektronik tıbbi kaydı (EMR) arasındaki geçişte bilgiler için sağlam veri şifreleme algoritmaları ve sertifika doğrulaması gibi güvenlik kontrolleri sağlayabilir. Şimdi, bu güvenlik özelliğini etkinleştirmek için, hastane EMR'sine kimlik doğrulama sertifikası ve güçlü bir özel anahtar ve EMR sertifikasının bir kopyasını Tıbbi Cihaza - EMR'yi doğrulamak için kullanacak. Hastane ayrıca bu varlıkların yönetilmesinden sorumludur - son kullanma, iptal. Hastanelerin şifreleme ve karşılıklı kimlik doğrulamanın tam faydalarını gerçekleştirmesi için, üretici üründe ilgili güçlü güvenlik kontrolleri sunmalıdır; Bununla birlikte, bu özellikler hastane tarafından uygun şekilde yapılandırılana kadar operasyonel değildir. Değilse, şifreleme güvenlik özelliği çalışamaz veya daha da kötüsü, olmadığında güvenlik sağlanıyormuş gibi görünebilir.
Mobil ve bulut tabanlı uygulamalar bile paylaşılan bir sorumluluk gerektirir, çünkü hastanelerin tarayıcıların ve mobil cihazların güncel olmasını ve üreticinin bulut tabanlı güvenlik kontrollerini optimize etmek için çok faktörlü kimlik doğrulama gibi güvenlik özellikleri ile etkinleştirilmesini sağlamak için gerekecektir.
Bu nedenle, bir ürünün güvenli bir şekilde uygulanmasını sağlamak için, üreticilerin “tasarım by güvenlik” süreci tarafından yönlendirilen kanıtlanmış algoritmalar ve tasarımlar kullanarak bu ürün güvenlik kontrollerine yerleştirmeleri gerekir. Aynı zamanda, hastaneler, ürünün gerçekten güvenli bir şekilde kullanıldığından emin olmak için her zaman sorumluluk ve faaliyetlerden payına sahiptir.
Sonra, her ürün farklıdır, bir hastane ne yapacağını nasıl bilebilir? Hastanelerin, konuşlandırılan tüm ürünler için geçerli olan BT altyapılarını güvence altına almak için kendi genel süreçleri ve prosedürleri vardır. Ancak hastanelerin her ürünün özelliklerini göz önünde bulundurmasına ve kullanmasına izin vermek için, üreticilerin hastaneler tarafından kullanılabilecek güvenlik özellikleri ve hastane ortamındaki beklentileri hakkında şeffaf olmaları gerekir. Hastaneler sırayla kendilerini bu güvenlik özellikleri ve beklentilerinden haberdar etmelidir. Son olarak, her ikisinin de başarılı uygulamayı sağlamak için bir araya gelmesi gerekir.
Hastaneler rollerini nasıl biliyor?
Neyse ki, üreticiler hastanelerin tıbbi veri güvenliğini optimize etmek için neler yapabileceklerini anlamalarını kolaylaştırabilir. Üreticiler genellikle klinik kullanıcılara ve sistem yöneticilerine, tıbbi cihaz güvenliği (MDS2) için üretici ifşa ifadesi, sertleştirme kılavuzları ve diğer güvenlik rehberlik materyalleri gibi belgelerde bilgi ve yönergeler sunar.
Bu belgeler, sağlık hizmeti sağlayıcılarının tıbbi cihaz verilerini siber saldırılardan veya diğer müdahalelerden korumak için üzerlerine düşeni yapmayı izlemeleri için adım adım bir plan sağlar. Önerilen adımlar, belirli personele giriş erişiminin kısıtlanmasını; ağ segmentasyonu ve kısıtlı bağlantı noktaları yoluyla sistemler arasındaki bağlantıların güvence altına alınması; tıbbi cihazların ve klinik veri alma sistemlerinin kimliğini doğrulamak için güvenilir sertifikaların kullanılması; ve hastanenin ağına özgü diğer birçok eylem.
Harekete geçirici mesaj → Üreticilerin önerdiği güvenlik yönergelerini oku
Üreticilerin ürün belgeleri ve sertleştirme kılavuzları, hastanelere en uygun şekilde güvenli bir kullanım sağlamak için bir tıbbi cihazın veya yazılımın gömülü güvenlik özelliklerinden nasıl yararlanabileceklerini söyler. Bir ürün veya yazılımın yeni bir sürümü her dağıtıldığında bu kılavuzları gözden geçirmek önemlidir, çünkü gelişmiş güvenlik kontrolleri, örneğin güncellenmiş şifreleme yapılandırmaları veya yeni özel anahtarlar gerektirebilir.
Buna ek olarak, klinik kullanıcılar yapılandırma değişiklikleri veya erişim gereksinimleri değişikliği yaptıkça zamanla bozulmak için bazı güvenlik kontrolleri - kimin sistem erişimi gerektirmesi veya bir şifre ne olması gerektiği gibi - nadir değildir. Bu nedenle, mevcut güvenlik yapılandırmasının etkinliğini kontrol etmek için bu kılavuzların düzenli olarak kullanılması önerilir.
Siber suçlular, bir ağa hain amaçlarla sızmak için sadece bir zayıf noktaya ihtiyaç duyarlar. Etkinliklerini engellemek için, üreticilerin ve hastanelerin, uçtan uca güvenli bir veri ortamında birbirlerinin rolleri ve ortak sorumlulukları hakkında bir araya gelmesi ve net olması gerekir.
Philips, hastanelerin Philips tıbbi cihazlarına ve yazılım çözümlerine gömülü güvenlik özelliklerinden yararlanmak için önerilen eylemlerle sistem sertleştirme kılavuzları da dahil olmak üzere belgeler sunar. Öneriler her yeni Philips donanımı veya yazılım sürümü ile gözden geçirilir ve hastanelerin tıbbi cihaz veri güvenliği için ortak sorumluluklarını yerine getirmek için doğru adımları atmasına yardımcı olabilir.
Ağ güvenlik ortamınızın ortak sorumluluğunuzu karşıladığını doğrulamak için güvenlik sistemi yöneticinizden Philips Müşteri Portalınızda bulunan sertleştirme kılavuzlarını ve güvenlik belgelerini kontrol etmesini isteyin.
Buna ek olarak, Philips Solutions'ta bulunan gelişmiş veri şifreleme ve güvenlik özellikleri ve sizin ve Philips'in hastalarınızın kişisel sağlık bilgilerinin güvenliğini ve gizliliğini karşılıklı olarak nasıl korumaya yardımcı olabileceğiniz hakkında daha fazla bilgi edinmek için lütfen Philips temsilcinizle iletişime geçin. Birlikte, veri güvenliği için kazanan bir ekip yapabiliriz.
