保护网络attacks时代的数据

Todd Ebert.

托德·埃伯特

技术进步导致医疗保健领域的前所未有的发展。医疗设备和服务技术正在改善患者护理和在医疗保健系统中产生效率。然而,与任何计算机系统一样,医疗设备和服务都容易受到可能会危及患者健康,安全和隐私的网络安全威胁。使用连接的医疗设备和软件的使用增加,作为服务(SAAS),通过无线技术的采用,以及整体增加医疗设备和与互联网的服务连接,显着增加了网络安全威胁的风险。

医疗保健供应链协会及其集团采购组织成员是对美国医院,长期护理设施,手术中心,诊所和其他医疗保健提供商的采购和购买合作伙伴。鉴于我们在整个医疗保健供应链上的独特视线,以及我们在医疗行业的前线工作的经验,HSCA对医疗行业面临的挑战,因为它寻求保护患者隐私,同时改善患者护理。因此,HSCA已向医疗设备,医疗保健提供商和服务提供商发出以下关键网络安全考虑:

  1. 提供商和供应商应参加一个或多个信息共享和分析组织(ISAOS),并确保其政策和实践反映了广泛接受的标准,例如国家标准和技术研究所(NIST),国际标准化组织( ISO),以及联邦信息安全管理法(FISMA)网络安全的建议和要求。
  1. 网络可访问的医疗设备,软件和服务的供应商应保证他们符合现有的美国食品和药物管理指导文件和行业标准。除非没有实用的替代方案,否则提供者不应获取或使用否则不需要的设备,软件或服务。在这些情况下,提供商应确保以减少安全事件风险的方式部署设备,软件或服务。
  1. 网络可访问的医疗设备,软件和服务的供应商应以自费为代价提供可靠的,并及时的信息,有关其设备或服务之一,固件,软件和/或任何其他安全问题的任何问题或风险的可靠和及时的信息提供有关应对任何漏洞所做什么的指导。
  1. 提供商应避免从制造商获取任何设备或服务,这些设备不保证他们积极参与ISAOS。鼓励提供者也参加ISAOS。用户社区之间的信息共享是战斗网络犯罪分子的重要因素,并且参与ISAOS是这种共享的平台,以及改善所有参与者的网络安全的一个因素。
  1. 医疗器械制造商应为任何可以连接到网络的医疗设备提供医疗设备安全性(MDS2)的制造商披露声明(即,任何具有MAC地址的设备)。提供商应避免提供供应商无法或不愿意提供MDS2的设备。当供应商提供MDS2S时,这些MDS2S应在购买,使用或实施任何医疗设备之前由提供商网络安全团队或其指定的第三方审查。应以与组织的安全政策和实践一致的方式安装和运营所有医疗设备和服务。
  1. 虽然遵守当前指南,但可以显着降低与医疗设备和服务,传统设备以及可能的未来不合规相关的网络安全风险持续持续的风险。提供商对关联的遗留设备,软件和服务具有相当大的投资,可能不符合现有指南和标准,但这对维护患者护理至关重要。认识到在短期内不实用或可行的退休或取代这些资产,制造商应意识到承认对传统设备的安全性并迅速地工作的责任升级到当前安全标准,或为提供商提供设备升级路径没有或最低额外的成本,可能相对于未来销售额提供竞争地位。

维护设备和信息安全是连接设备和服务的制造商和供应商的共同责任,以及使用它们的提供商。提供这种安全性是一项持续的努力,需要警惕,适应和持续的沟通,因为我们继续为患者提供最佳护理。

Todd Ebert.,R.Ph.是医疗保健供应链协会(HSCA)的总裁兼首席执行官。