跳到内容 可访问性信息

德州医疗集团博客

你想知道的manbetx体育下载保险的一切

医疗保健风险洞察:网络安全

医疗设备和医院网络的网络安全

许多医疗设备都包含可配置的嵌入式计算机系统,这些系统容易受到网络安全漏洞的攻击. 除了, 因为医疗设备越来越多地通过互联网相互连接, 医院网络, 其他医疗设备或智能手机, 网络安全漏洞的风险也在增加, 哪些因素会影响医疗设备的运行.

美国食品和药物管理局(FDA)最近开始关注可能直接影响医疗设备或医院网络运营的网络安全漏洞和事件, 例如:

  • 被恶意软件感染或禁用的网络连接/配置的医疗设备
  • 医院电脑上存在恶意软件, 智能手机和平板电脑, 使用无线技术访问患者数据的移动设备, 监控系统和植入病人的设备
  • 不受控制的密码分发, 禁用密码, 用于特权设备访问的软件的硬编码密码.g.,给予行政、技术和维修人员)
  • 未能及时为医疗设备和网络提供安全软件更新和补丁,并未能解决旧医疗设备型号(遗留设备)中的相关漏洞
  • 用于防止未经授权的设备或网络访问的现成软件中的安全漏洞, 例如明文或不进行身份验证, 硬编码的密码, 服务手册中记录的服务帐户和糟糕的编码/SQL注入.


FDA建议/行动

FDA有许多建议来减轻技术可能给医疗机构带来的风险.

 

对于所有设备制造商:

制造商有责任保持警惕,识别与他们的医疗设备相关的风险和危害, 包括网络安全相关风险, 并负责实施适当的缓解措施,以解决患者安全问题并确保设备的适当性能.

FDA希望医疗器械制造商采取适当措施,限制未经授权访问医疗器械的机会. 具体地说, 建议制造商审查其网络安全实践和政策,以确保适当的安全措施到位,以防止未经授权的访问或修改其医疗设备,或危及可能连接到设备的医院网络的安全. 安全控制的需要程度将取决于医疗设备, 它的使用环境, 它所面临风险的类型和可能性, 以及安全漏洞可能给病人带来的风险.

在评估你的设备时,考虑做以下事情:

  • 采取措施限制只有可信用户才能访问未经授权的设备, 特别是那些可以维持生命或直接连接到医院网络的设备.
  • 适当的安全控制可能包括用户身份验证, 例如用户ID和密码, 智能卡, or biometrics; strengthening password protection by avoiding 硬编码的密码 and limiting public access to passwords used for technical device access; physical locks; card readers; and guards.
  • 保护单个组件不被利用,并制定适合设备使用环境的主动安全保护策略. 这种战略应包括及时部署日常工作, 已验证的安全补丁和方法,以限制软件或固件更新为经过验证的代码. FDA通常不需要审查或批准仅仅为了加强网络安全而进行的医疗设备软件更改.
  • 使用维护设备关键功能的设计方法, 即使在安全受到威胁的情况下, 这就是所谓的“故障保护模式”.”
  • 在安全受到损害的事件发生后,提供保留和恢复方法.
  • 网络安全事件发生的可能性越来越大,制造商应该考虑事件响应计划,以解决操作降级和高效恢复和恢复的可能性.

卫生保健设施:

FDA建议您采取措施评估您的网络安全,并保护您的医院系统. 在评估网络安全方面, 医院和保健设施应考虑做以下工作:

  • 限制对网络和联网医疗设备的未经授权访问
  • 确保适当的杀毒软件和防火墙是最新的
  • 监控网络活动以防止未经授权的使用
  • 通过例行和定期的评估保护各个网络部件, 包括更新安全补丁和禁用所有不必要的端口和服务
  • 如果您认为您可能有与医疗设备相关的网络安全问题,请联系特定的设备制造商
    • 如果你不能确定制造商或不能联系制造商, FDA可能会协助漏洞报告和解决.
  • 开发和评估在不利条件下保持关键功能的策略


向FDA报告问题 

及时报告不良事件可以帮助FDA识别和更好地了解与医疗器械相关的风险. 如果您怀疑网络安全事件影响了医疗设备的性能或影响了医院网络系统, 通过MedWatch自愿提交报告, FDA安全信息和不良事件报告程序. 

受FDA用户设施报告要求的设施所雇用的卫生保健人员应遵循其设施建立的报告程序.

设备制造商必须遵守医疗设备报告(MDR)法规.

本风险洞察并非详尽无遗,也不应将任何讨论或意见解释为法律建议. 读者应联系法律顾问或保险专业人士寻求适当的建议. 设计©2013 Zywave, Inc. 保留所有权利.




讨论

目前还没有任何评论.


留下你的评论

必填字段用

评论

您的姓名、评论和URL在经过审核和批准后将出现在此页面上. 您的电子邮件地址将不会被公布.