Grupo de Produto
Como uma equipe que trabalha em direção a uma meta, hospitais e fabricantes de dispositivos médicos têm peças distintas para ajudar a criar um ambiente seguro para as informações pessoais de saúde derivadas de monitores de pacientes e outros dispositivos médicos.
Por algum tempo, essa noção de responsabilidade compartilhada pela segurança dos dados foi reconhecida como uma prática recomendada no setor de tecnologia maior. Por exemplo, provedores de serviços em nuvem, como Amazon Web Services, Microsoft Azure e Google, seguem esse modelo de responsabilidade compartilhada para definir as obrigações de segurança mútua dos provedores de nuvem e de seus clientes.
Na assistência médica, surgiu um modelo semelhante para dados de dispositivos médicos. Em orientações divulgadas em setembro de 2023, a Administração de Alimentos e Medicamentos dos EUA afirma: “ A FDA reconhece que a segurança cibernética de dispositivos médicos é uma responsabilidade compartilhada entre as partes interessadas em todo o ambiente de uso do sistema de dispositivos médicos, incluindo instalações de saúde, pacientes, profissionais de saúde e fabricantes de dispositivos médicos. ”
Pesquisadores e desenvolvedores do setor médico concordam. Um artigo em terceirização de produtos médicos (MPO) afirma: “ A cibersegurança em geral, na verdade, é uma responsabilidade compartilhada, pois nem os hospitais nem os fabricantes de dispositivos médicos podem afastar o crescente número de ataques direcionados à saúde por conta própria. Eles devem unir forças para proteger os produtos e os pacientes contra danos. ”
É claro que os fabricantes de dispositivos médicos, os provedores de software hospitalar e as organizações de saúde devem se unir para proteger as informações dos pacientes e os sistemas de dispositivos médicos contra a atividade cibernética. Para ser uma equipe de sucesso, cada um dos jogadores deve conhecer e entender seu papel.
O FDA dos EUA exige que os fabricantes de dispositivos médicos e os provedores de software sigam um processo chamado "Segurança por design", que sustenta que certos controles devem ser incorporados a um produto para facilitar a implantação e o uso do produto com segurança. [2] Recursos como criptografia configurável, páginas de login seguras e requisitos de autenticação do usuário são exemplos de como os fabricantes integram os recursos de segurança em seus produtos.
Para funcionar de maneira ideal, no entanto, esses recursos que fornecem segurança no design do produto geralmente exigem ação por parte do hospital para ativar e manter a viabilidade.
Vamos dar o exemplo de um controle de acesso ao produto. Um fabricante de dispositivos ou provedor de software normalmente pode implementar o controle de acesso às funcionalidades do produto verificando ou autenticando a identidade de um usuário clínico com base no serviço do Active Directory do hospital, através de senhas e protocolos, e verifique esse usuário pertence a um grupo do Active Directory o grupo O produto sabe a partir de sua configuração. Agora, apenas a organização de saúde pode identificar quais usuários deve ter autorização para acessar o sistema e configurar o produto adequadamente e, às vezes, configurar seu próprio diretório ativo criando um grupo se não puder ser reutilizado. Usando um grupo inadequado, como autorizar muitos usuários ou ser negligente em manter um diretório atualizado, pode abrir uma rede para um risco desnecessário. O fabricante traz o controle de segurança, o hospital a configuração ideal de controle.
A criptografia de dados, outro recurso de segurança forte, também requer ação por parte do hospital e também do fabricante. Quando a criptografia é usada para garantir a confidencialidade dos dados, a autenticação de nós de rede também é necessária para garantir que os dados cheguem ao destino esperado. Por exemplo, os fabricantes podem fornecer controles de segurança, como algoritmos robustos de criptografia de dados e verificação de certificados para obter informações em trânsito entre um dispositivo médico e o registro médico eletrônico (EMR) de um hospital. Agora, para ativar esse recurso de segurança, o hospital fornece o certificado de autenticação e uma forte chave privada para o seu EMR e uma cópia do certificado EMR para o dispositivo médico - que o usará para autenticar o EMR. O hospital também é responsável pelo gerenciamento desses ativos - expiração, revogação. Para os hospitais realizarem todos os benefícios da criptografia e da autenticação mútua, o fabricante deve oferecer fortes controles de segurança relacionados ao produto; No entanto, esses recursos não estão operacionais até serem configurados corretamente pelo hospital. Caso contrário, o recurso de segurança de criptografia não pode funcionar, ou pior ainda, pode fazer parecer que a segurança está sendo fornecida quando não é.
Mesmo os aplicativos móveis e baseados em nuvem exigem uma responsabilidade compartilhada, pois os hospitais precisarão garantir que os navegadores e dispositivos móveis estejam atualizados e ativados com recursos de segurança, como a autenticação de vários fatores para otimizar os controles de segurança baseados em nuvem do fabricante.
Assim, para garantir uma implementação segura de um produto, os fabricantes precisam incorporar os controles de segurança do produto usando algoritmos e projetos comprovados, guiados pelo processo "Segurança por design". Ao mesmo tempo, os hospitais sempre têm sua parcela de responsabilidades e atividades para garantir que o produto seja realmente usado com segurança.
Então, cada produto sendo diferente, como um hospital pode saber o que fazer? Os hospitais têm seus próprios processos e procedimentos gerais para manter a infraestrutura de TI, que se aplicam a todos os produtos implantados. Mas, para permitir que os hospitais considerem e alavancem as especificidades de cada produto, os fabricantes precisam ser transparentes sobre os recursos de segurança que podem ser usados pelos hospitais, bem como suas expectativas no ambiente hospitalar. Os hospitais, por sua vez, devem se conscientizar desses recursos e expectativas de segurança. Por último, mas não menos importante, ambos precisam se unir para permitir a implementação bem -sucedida.
Felizmente, os fabricantes podem facilitar para os hospitais entender o que podem fazer para otimizar a segurança dos dados médicos. Os fabricantes geralmente fornecem aos usuários clínicos e administradores de sistemas informações e diretrizes em documentos como a Declaração de Divulgação do Fabricante para Segurança de Dispositivos Médicos (MDS2), guias de endurecimento e outros materiais de orientação de segurança.
Esses documentos fornecem um plano passo a passo para os prestadores de serviços de saúde seguirem para garantir que eles estejam fazendo sua parte para proteger os dados de dispositivos médicos de ataques cibernéticos ou outras intrusões. As etapas recomendadas podem incluir restringir o acesso de login a pessoal específico; proteger conexões entre sistemas por meio de segmentação de rede e portas restritas; usando certificados confiáveis para verificar a identidade de dispositivos médicos e sistemas de recebimento de dados clínicos; e muitas outras ações específicas para a rede do hospital.
Os guias de documentação e endurecimento do produto dos fabricantes dizem aos hospitais como eles podem aproveitar os recursos de segurança incorporados de um dispositivo médico ou software para fornecer um uso idealmente seguro. É importante revisar esses guias toda vez que uma nova versão de um produto ou software é implantada, porque os controles de segurança aprimorados podem exigir, por exemplo, configurações de criptografia atualizadas ou novas chaves privadas.
Além disso, não é incomum para alguns controles de segurança - como quem exige acesso ao sistema ou qual deve ser uma senha - para degradar com o tempo, pois os usuários clínicos fazem alterações na configuração ou a mudança de requisitos de acesso. Portanto, também é recomendável usar esses guias regularmente para controlar a eficácia da configuração de segurança atual.
Os cibercriminosos precisam apenas de um ponto fraco para se infiltrar em uma rede para propósitos nefastos. Para impedir sua atividade, os fabricantes e hospitais precisam se unir e ficar claros sobre os papéis e responsabilidades compartilhadas um do outro em um ambiente de dados seguro de ponta a ponta.
A Philips fornece documentação, incluindo guias de endurecimento do sistema com ações recomendadas, para que os hospitais sigam para alavancar os recursos de segurança incorporados nas Philips Medical Dispositivos e soluções de software. As recomendações são revisadas com cada novo hardware ou lançamento de software da Philips e podem ajudar os hospitais a tomar as etapas certas para cumprir sua responsabilidade compartilhada pela segurança dos dados de dispositivos médicos.
Para verificar se o seu ambiente de segurança de rede atende à sua responsabilidade compartilhada, peça ao seu administrador do sistema de segurança para verificar os guias de endurecimento e os documentos de segurança disponíveis no seu portal de clientes da Philips.
Além disso, entre em contato com seu representante da Philips para saber mais sobre os recursos aprimorados de criptografia e segurança de dados disponíveis nas soluções da Philips e como você e a Philips podem ajudar a proteger mutuamente a segurança e a privacidade das informações de saúde pessoal de seus pacientes. Juntos, podemos criar uma equipe vencedora para segurança de dados.
Detalhes de Contato
Send Inquiry
CATEGORIES
Privacy statement: Your privacy is very important to Us. Our company promises not to disclose your personal information to any external company with out your explicit permission.
Fill in more information so that we can get in touch with you faster
Privacy statement: Your privacy is very important to Us. Our company promises not to disclose your personal information to any external company with out your explicit permission.
