Отправляя данные, я подтверждаю, что ознакомилась/ознакомился с Политикой в отношении обработки персональных данных, принимаю её условия и предоставляю ООО «РИА «Стандарты и качество» Согласие на обработку персональных данных.
Отправляя данные, я подтверждаю, что ознакомилась/ознакомился с Политикой в отношении обработки персональных данных, принимаю её условия и предоставляю ООО «РИА «Стандарты и качество» Согласие на обработку персональных данных.
Для приобретения подписки для абонементного доступа к статьям, вам необходимо зарегистрироваться
После регистрации вы получите доступ к личному кабинету
Зарегистрироваться Войти
Когда разразился COVID-19, многие организации здравоохранения (Health Care Organizations, HCO) изо всех сил старались обеспечить пациентов мобильными устройствами. Этот шаг в направлении расширения возможностей подключения одновременно расширил возможности для кибератак и повысил уязвимость данных.
“Многие устройства, которые были проверены FDA на наличие Covid-19, прошли ускоренный процесс проверки разрешения на экстренное использование (EUA), и многие разработанные мобильные приложения для отслеживания не были проанализированы на предмет уязвимостей”, - сказал Джастин Хейл, директор по управлению корпоративными рисками Baxter.
Чтобы лучше защитить данные, руководителям HCO необходимо установить все флажки, обычно связанные с созданием безопасной среды, такие как оценка ИТ-инфраструктуры, мониторинг доступа к информации, создание группы поддержки ИТ и поощрение врачей доводить проблемы безопасности данных до ИТ и биомедицинского персонала.
Однако, что, возможно, более важно, руководителям необходимо тесно сотрудничать с производителями медицинского оборудования (MDM) для обеспечения безопасности данных. Хейл особо рекомендует:
# 1: Сотрудничайте с симпатическими MDM. “Процесс оценки рисков для безопасности продукта должен быть симбиотическим между MDM и системой здравоохранения”, - сказал он.
HCO должны сотрудничать с MDM, которые понимают среду здравоохранения, в которую они попадают, и которые могут создавать соответствующие модели угроз для своих устройств. Затем производители могут встроить безопасность в процесс проектирования с самого начала, безопасность по замыслу, а не как запоздалую мысль.
# 2: Убедитесь, что MDM имеют правильные учетные данные. “MDM должен быть в состоянии доказать уровень зрелости кибербезопасности своей собственной ИТ-инфраструктуры, сред разработки, жизненного цикла разработки программного обеспечения и жизненного цикла разработки продукта”, - отметил Хейл.
MDM также должны иметь возможность проверять свои возможности в области защиты данных с помощью сертификатов и аккредитаций, таких как:
- Сертификация Международной организации по стандартизации ISO/IEC 27001 по информационной безопасности, кибербезопасности и защите конфиденциальности.
- Стандарт кибербезопасности UL 2900-2-1 для медицинских устройств, признанный FDA в 2017 году.
- Управление нумерации CVE (CNA) в рамках программы Common Vulnerability and Exposures (CVE). Как CNA, MDM отвечают за присвоение идентификаторов CVE кибер-уязвимостям для коммерчески доступных продуктов и за публичное раскрытие информации об уязвимостях в соответствующей записи CVE.
“Как орган по нумерации CVE, мы поддерживаем более быстрое выявление, устранение и устранение потенциальных уязвимостей в области кибербезопасности. Это позволяет больницам и клиникам продолжать фокусироваться на предоставлении пациентам помощи самого высокого уровня”, - сказал он.
Чтобы получить эту сертификацию, Агентство кибербезопасности и безопасности инфраструктуры (CISA) требует, чтобы компании прошли процесс проверки, подали заявку, прошли тестирование и получили одобрение. “Производители должны доказать CISA, что у них есть внутренние компетенции для оценки и расчета CVE. И это сложный процесс”, - отметил Хейл.
# 3: Ожидайте пострыночных услуг. После продажи своих устройств MDM должны обеспечить четкую коммуникацию и разработать планы поддержки.
“Как только продукт продан и установлен, он становится устаревшим устройством, которое производители должны поддерживать. С этого момента появляются новые уязвимости. Существуют новые средства контроля, которые необходимо ввести в действие. Вот где самый большой пробел и самая большая область для улучшения – это сообщение об уязвимости и управление после развертывания ”, - отметил он.
# 4: Требуйте виртуальной поддержки. В прошлом при обслуживании технологий MDM обычно приходилось физически выводить каждое устройство из эксплуатации для применения обновлений и исправлений, прежде чем возвращать его в HCO.
Однако теперь руководители HCO должны работать с MDM, которые имеют безопасные подключения к своей среде, что позволяет удаленно обслуживать и обновлять устройства, не нарушая клинический рабочий процесс.
В целом, при работе с правильными MDM, HCO могут устранять уязвимости и уверенно оказывать медицинскую помощь. “Опытные производители понимают, что нужно сделать в области кибербезопасности,- заключил Хейл. - Они знают элементы управления и типы настроек безопасности, которые должны быть на их устройствах”.