Privacy statement: Your privacy is very important to Us. Our company promises not to disclose your personal information to any external company with out your explicit permission.
Come una squadra che lavora per un obiettivo, gli ospedali e i produttori di dispositivi medici hanno ciascuno parti distinte da giocare per aiutare a creare un ambiente sicuro per le informazioni sulla salute personale derivate da monitor dei pazienti e altri dispositivi medici.
Per qualche tempo, questa nozione di responsabilità condivisa per la sicurezza dei dati è stata riconosciuta come una migliore pratica nel settore tecnologico più ampio. Ad esempio, fornitori di servizi cloud come Amazon Web Services, Microsoft Azure e Google seguono questo modello di responsabilità condivisa per definire gli obblighi di sicurezza reciproca dei fornitori di cloud e dei loro clienti.
All'interno dell'assistenza sanitaria, è emerso un modello simile per i dati dei dispositivi medici. In Guida pubblicata nel settembre 2023, la Food and Drug Administration statunitense afferma: “ La FDA riconosce che la sicurezza informatica dei dispositivi medici è una responsabilità condivisa tra le parti interessate in tutto l'ambiente d'uso del sistema di dispositivi medici, compresi strutture sanitarie, pazienti, operatori sanitari e produttori di produttori di produttori di produttori di produttori di produttori di assistenza sanitaria e produttori di produttori dispositivi medici. "
I ricercatori e gli sviluppatori del settore medico concordano. Un articolo su Medical Product Outsourcing (MPO) afferma: “ La sicurezza informatica in generale, in realtà, è una responsabilità condivisa, poiché né gli ospedali né i produttori di dispositivi medici possono scongiurare il numero crescente di attacchi bersaglio sanitari da soli. Devono unire le forze per proteggere sia i prodotti che i pazienti dai danni. "
È chiaro produttori di dispositivi medici, fornitori di software ospedalieri e organizzazioni sanitarie devono collaborare per proteggere le informazioni sui pazienti e i sistemi di dispositivi medici contro l'attività criminale informatica. Per essere una squadra di successo, ciascuno dei giocatori deve conoscere e capire il loro ruolo.
La FDA statunitense richiede ai produttori di dispositivi medici e ai fornitori di software di seguire un processo chiamato "Sicurezza per progettazione", che sostiene che alcuni controlli devono essere incorporati in un prodotto per rendere più facile per gli ospedali distribuire e utilizzare il prodotto in modo sicuro. [2] Funzionalità come la crittografia configurabile, le pagine di accesso sicure e i requisiti di autenticazione dell'utente sono esempi di come i produttori integrano le capacità di sicurezza nei loro prodotti.
Per funzionare in modo ottimale, tuttavia, queste funzionalità che forniscono sicurezza nella progettazione del prodotto spesso richiedono un'azione da parte dell'ospedale per attivare e mantenere la redditività.
Prendiamo l'esempio di un controllo di accesso al prodotto. Un produttore di dispositivi o un provider di software può in genere implementare il controllo di accesso alle funzionalità del prodotto verificando o autenticando l'identità di un utente clinico in base al servizio Active Directory dell'ospedale, tramite password e protocolli, quindi controlla questo utente appartiene a un gruppo di Active Directory. Il prodotto lo sa dalla sua configurazione. Ora, solo l'organizzazione sanitaria può identificare quali utenti dovrebbero avere l'autorizzazione per accedere al sistema e configurare il prodotto in modo appropriato e talvolta configurare la propria Active Directory creando un gruppo se non può essere riutilizzato. L'uso di un gruppo inappropriato, come l'autorizzazione di troppi utenti o essere lassisti nel mantenere una directory aggiornata, può aprire una rete a un rischio inutile. Il produttore porta il controllo di sicurezza, l'ospedale la configurazione di controllo ottimale.
La crittografia dei dati, un'altra forte funzionalità di sicurezza, richiede anche un'azione da parte dell'ospedale e del produttore. Quando viene utilizzata la crittografia per garantire la riservatezza dei dati, è necessaria anche l'autenticazione del nodo di rete per garantire che i dati arrivino nella destinazione prevista. Ad esempio, i produttori possono fornire controlli di sicurezza come solidi algoritmi di crittografia dei dati e verifica del certificato per le informazioni in transito tra un dispositivo medico e la cartella clinica elettronica di un ospedale (EMR). Ora, per abilitare questa funzione di sicurezza, l'ospedale fornisce il certificato di autenticazione e una forte chiave privata per il suo EMR e una copia del certificato EMR al dispositivo medico, che lo utilizzerà per autenticarsi l'EMR. L'ospedale è anche incaricato della gestione di queste attività: scadenza, revoca. Affinché gli ospedali realizzino i vantaggi completi della crittografia e dell'autenticazione reciproca, il produttore deve offrire relativi controlli di sicurezza nel prodotto; Tuttavia, queste funzionalità non sono operative fino a quando non sono configurate correttamente dall'ospedale. In caso contrario, la funzione di sicurezza della crittografia non può funzionare, o anche peggio, può farla apparire come se la sicurezza venga fornita quando non lo è.
Anche le applicazioni mobili e basate su cloud richiedono una responsabilità condivisa, poiché gli ospedali dovranno garantire che browser e dispositivi mobili siano aggiornati e abilitati con funzionalità di sicurezza come l'autenticazione a più fattori per ottimizzare i controlli di sicurezza basati su cloud del produttore.
Pertanto, per garantire un'implementazione sicura di un prodotto, i produttori devono essere incorporati nei controlli di sicurezza di questo prodotto utilizzando algoritmi e progetti comprovati, guidati dal processo di "sicurezza per progettazione". Allo stesso tempo, gli ospedali hanno sempre la loro parte di responsabilità e attività per garantire che il prodotto venga effettivamente utilizzato in modo sicuro.
Quindi, ogni prodotto è diverso, come può un ospedale sapere cosa fare? Gli ospedali hanno i propri processi e procedure complessive per mantenere la propria infrastruttura IT, che si applicano a tutti i prodotti distribuiti. Ma per consentire agli ospedali di considerare e sfruttare le specificità di ciascun prodotto, i produttori devono essere trasparenti sulle caratteristiche di sicurezza che possono essere utilizzate dagli ospedali e dalle loro aspettative sull'ambiente ospedaliero. Gli ospedali a loro volta dovrebbero rendersi consapevoli di tali caratteristiche e aspettative di sicurezza. Ultimo ma non meno importante, entrambi devono collaborare per consentire un'implementazione riuscita.
Fortunatamente, i produttori possono rendere facile per gli ospedali capire cosa possono fare per ottimizzare la sicurezza dei dati medici. I produttori forniscono spesso utenti clinici e amministratori di sistema informazioni e linee guida in documenti come la dichiarazione di divulgazione del produttore per la sicurezza dei dispositivi medici (MDS2), le guide di indurita e altri materiali di orientamento alla sicurezza.
Questi documenti forniscono un progetto passo-passo per i fornitori di servizi sanitari per garantire che stiano facendo la loro parte per proteggere i dati dei dispositivi medici da attacchi informatici o altre intrusioni. I passaggi consigliati possono includere la limitazione dell'accesso di accesso al personale specifico; protezione di connessioni tra i sistemi tramite segmentazione della rete e porte limitate; utilizzando certificati affidabili per verificare l'identità di dispositivi medici e sistemi di ricezione di dati clinici; e molte altre azioni specifiche per la rete dell'ospedale.
La documentazione del prodotto e le guide di indurimento dei produttori dicono agli ospedali come possono sfruttare le funzionalità di sicurezza incorporate di un dispositivo medico o software al fine di fornire un uso in modo ottimale sicuro. È importante rivedere queste guide ogni volta che viene distribuita una nuova versione di un prodotto o software, poiché i controlli di sicurezza migliorati possono richiedere, ad esempio, configurazioni di crittografia aggiornate o nuove chiavi private.
Inoltre, non è raro per alcuni controlli di sicurezza - come chi richiede l'accesso al sistema o cosa dovrebbe essere una password - degradare nel tempo poiché gli utenti clinici apportano modifiche alla configurazione o i requisiti di accesso alla modifica. Pertanto, si consiglia inoltre di utilizzare queste guide su base regolare per controllare l'efficacia dell'attuale configurazione di sicurezza.
I criminali informatici hanno solo bisogno di un punto debole per infiltrarsi in una rete per scopi nefasti. Per contrastare la loro attività, i produttori e gli ospedali devono collaborare ed essere chiari sui ruoli reciproci e sulle responsabilità condivise in un ambiente di dati sicuro end-to-end.
Philips fornisce documentazione, comprese le guide di indurimento del sistema con azioni raccomandate, che gli ospedali possono seguire per sfruttare le funzionalità di sicurezza che sono incorporate nei dispositivi medici e soluzioni software Philips. Le raccomandazioni vengono riviste con ogni nuovo hardware o rilascio di Hardware o software Philips e possono aiutare gli ospedali a prendere le misure giuste per adempiere alla loro responsabilità condivisa per la sicurezza dei dati dei dispositivi medici.
Per verificare che l'ambiente di sicurezza della rete soddisfi la tua responsabilità condivisa, chiedi al proprio amministratore di sistema di sicurezza di controllare le guide di indurita e i documenti di sicurezza disponibili nel portale dei clienti di Philips.
Inoltre, si prega di contattare il rappresentante Philips per saperne di più sulla crittografia dei dati e le funzionalità di sicurezza migliorate disponibili nelle soluzioni di Philips e su come tu e Philips possano aiutare a vicenda a proteggere la sicurezza e la privacy delle informazioni sulla salute personale dei tuoi pazienti. Insieme, possiamo creare un team vincente per la sicurezza dei dati.
Privacy statement: Your privacy is very important to Us. Our company promises not to disclose your personal information to any external company with out your explicit permission.
Fill in more information so that we can get in touch with you faster
Privacy statement: Your privacy is very important to Us. Our company promises not to disclose your personal information to any external company with out your explicit permission.