| 摘要:确保医疗设备的安全并不是一个新的挑战。例如,前副总统切尼2007年在心脏附近植入除颤器,使其无线功能丧失,医院IT部门和医疗服务提供商多年来一直在保护医疗设备,以保护患者数据并满足美国健康保险携带和责任法案(HIPAA)要求。 |
随着安全范围的扩大,远程医疗的使用激增(尤其是在疫情期间),以及连接技术的数量和类型的激增,医疗网络安全已经演变成一项更加复杂和紧迫的工作。
如今,大型医院系统有大约350000多个医疗设备同时运行。除此之外,数以百万计的附加连接设备由患者自己维护。据估计,在未来10年内,受5G、边缘计算等创新技术的推动,互联医疗设备的数量可能增加到约500亿台。连通性的增加增加了网络攻击的威胁,不仅是对患者数据的攻击,而且也是对患者安全的威胁。如果诊断被延迟,或者正确的治疗不能到达正确的人员身上,医疗技术的漏洞(如核磁共振成像机或起搏器)可能会导致患者受伤。
如今,医疗保健行业能做些什么来加强他们的防御?他们如何为未来更安全的设备和网络打下基础?
这些挑战是相互关联的。解决方案不能孤立无援,制造商、医生、医疗机构和监管机构之间的合作现在比以往任何时候都更加重要。
设备制造商:将安全性集成到产品设计中
许多组织将医疗设备网络安全视为保护技术,而将其部署为本地网络的一部分。然而,医疗设备的设计和开发也需要考虑到移动和云计算安全,并对患者体验进行深思熟虑。尤其重要的是,我们采取这一步骤,因为医疗技术已经超出医院的范畴进入了病人的家中。连接的设备本身需要安全,而不是设备周围的网络。
还需要提高医疗器械供应链的透明度和透明度,即“软件物料清单”。许多医疗产品(如胰岛素泵或起搏器)的多组分特性使最终产品感觉像一个黑盒:医院和用户都知道它的用途,但他们对每件事都能起作用的各个组成部分并没有太多的了解。这使得当网络安全问题出现时很难解决。
根据2019年HIMSS网络安全调查,超过15%的重大安全问题最初是由医院的医疗设备问题或供应商的医疗设备引起的。结果,其中一些问题导致勒索软件攻击暴露出漏洞,因为医疗保健提供商和设备制造商争先恐后地找出哪些产品存在风险,而他们的系统正受到威胁。软件材料清单可以帮助他们快速应对安全、许可和运营风险。
医疗服务机构:优先考虑准备和患者教育
医疗保健提供商则需要加强对威胁的认识和防范,从设备采购一直考虑到安全问题,一直到遗留设备的消除,这些问题可能会持续数年甚至几十年。
目前,医疗机构使用已有15到20年历史的传统技术并不少见。其中许多设备不再受支持,它们的安全性也不符合当今不断变化的威胁的底线。然而,由于没有替代技术提供相同的功能,需要对这些设备进行加强监控。
威胁建模可以帮助医院和医疗机构了解其风险并提高恢复能力。在网络安全的另一个关键领域,即操作设备的人,培训和准备演习势在必行。例如,这样的练习可以让医生处于设备故障的紧急治疗场景中,随后的讨论提供了宝贵的机会来教育、建立意识并积极应对网络威胁。
提供者可以考虑“网络安全知情同意书”来教育患者。当患者在确认潜在风险(如感染或副作用)前签署表格时,网络知情同意可能包括与数据泄露、拒绝服务攻击、勒索软件等相关的风险。这是一个既能管理风险,又能让患者参与有关网络安全的对话的机会,增加对这项对他们健康至关重要的技术的信任。
监管机构:连接复杂的市场
美国的医疗保健行业非常复杂,由数百个大型医疗保健系统、成千上万的执业医师、公共和私人付款者、医疗设备制造商,软件公司等组成。
不断扩大的医疗保健生态系统可能使其难以协调。美国食品药品监督管理局(FDA)和医疗保健部门协调委员会等组织已开始挑战这一挑战。
他们在设备开发和旧技术处理等领域召集了小组和工作组。他们一直在与医院、患者、医疗设备制造商和其他机构联系,以加强信息共享和准备,以朝着更加开放协作的网络安全环境迈进。
去年,美国食品药品监督管理局(FDA)发布了安全通信,以警告医疗保健提供者和患者有关在通信中使用的无线遥测技术中发现的网络安全漏洞,这些漏洞影响了20多种类型的植入式心脏设备、编程器和家用监护仪。在2019年晚些时候,由于无法修补的网络漏洞,同一家设备制造商召回了数千个胰岛素泵。
这些只是许多例子中的两个例子,这些例子不仅说明了网络安全对患者健康的影响,而且对设备制造商和整个医疗系统的影响。互联健康应该使患者能够使用经过批准的技术,这些技术可以挽救生命,而不会给患者安全带来任何风险。
随着世界继续实现互联技术的前景,必须监控威胁、管理风险,并提高网络弹性。应该从合作开始,将网络安全纳入设备设计、行业监管、供应商弹性和患者教育中。
编辑:Harris
评论表单加载中...
