Medizinische Geräte stellen zunehmend eine Schwäche in der Sicherheit für die meisten Organisationen im Gesundheitswesen, die in der Regel Hunderte von verschiedenen Geräten von Dutzenden Herstellern.
Ausrüstung angefangen von Infusionspumpen, um klinikbetten zu Bluetooth-fähigen Geräten, können Sie 10 oder mehr Jahre alt, arbeiten auf alten, anfälligen Betriebssystem-oder Anwendungs-Systeme, und Sie sind oft in der Nähe des Patienten und die wesentlichen in der Bereitstellung von lebensrettenden Behandlung.
Da eine zunehmende Anzahl dieser Geräte mit der cloud verbunden sind, ist es Zeit, um eine strukturierte Vorgehensweise zu gewährleisten, dass die Sicherheits-Risiken sind genau verwaltet, sagte James L. Winkel, einen information security architect bei Trinity Health, ein Livonia, Michigan-based katholische Gesundheitssystem.
Winkel, detailliert die wachsende Gefahr, die in der cloud verbundene Geräte‘ Sicherheits-Risiken, sowie ein Ansatz für die Verschärfung Verteidigung, basierend auf Ihrer Nähe zu den Patienten während seines jüngsten HIMSS20 Digitale Präsentation, Umgang mit dem Risiko für Medizinische Geräte mit der Cloud Verbunden.
Mildernde device-security-Risiken sollte beginnen, bevor wir Sie gekauft, Winkel sagte. Er skizziert fünf „Grad der Trennung“ medizinische Geräte können von Patienten-und security-Profis “ Strategie für die Stärkung der Sicherheit variiert zwischen den verschiedenen Kategorien. Sie sind:
0: Geräte implantiert, die Patienten
1: Geräte, berühren Sie den Patienten, wie eine Blut-gas-monitor in einer Intensivstation
2: Geräte, berühren Sie nicht die Patienten, aber lebenswichtigen Messungen, wie Blutdruck-monitor
3: Geräte, berühren Sie nicht die Patienten, sondern bieten immer noch Daten von entscheidender Bedeutung für die richtige Patienten die Diagnose
4: Geräte, die getrennt sind, und sind eher ein Instrument, das gegen eine, die diagnostische oder klinische
Bevor Sie alle Geräte, die gekauft werden, security-Experten müssen einbezogen werden, sammeln Dokumente, wie der Hersteller disclosure statement auf Sicherheit für medizinische Geräte, verstärkt diese formalen Aussagen mit zusätzlichen Fragen der Sicherheit, Winkel sagte. Basierend auf dieser information, ist es von entscheidender Bedeutung, um eine Risikobewertung durchführen und Bedrohungsanalyse.
„Besondere Aufmerksamkeit widmen, um [Sicherheit] steuert, dass die Hersteller sagen: im Ort,“ Winkel angegeben. “Schau dir all die zugehörige software, sowohl für das Gerät, das Betriebssystem und die Anwendung system. Einige dieser Geräte verfügen über Datenbank-software verbunden. Identifizieren Sie alle verbindungen für den Daten; wissen, wo die Daten verarbeitet werden und wo die Patientendaten gespeichert werden – in mehrerer Geräte vor Ort, Netzwerk-Speichermedien oder in der cloud. Jeder von denen hat unterschiedliche Anforderungen an die Sicherheit.“
Verschiedene Organisationen bieten den technischen Rahmen skizziert Sicherheit Haltungen für Geräte, die mit Informationen zur Gesundheit – dazu gehören das National Institute of Standards Technology, HITRUST und der Internationalen Organisation für Standardisierung.
„Wenn du tust, Kontrolle Bewertung, ist es wichtig, ein anerkannter Rahmen“, sagte er.
Verträge für Gerät kauft, sollte sicherstellen, dass alle Bedrohungen und Schwachstellen angesprochen werden, obwohl nicht alle von Ihnen korrigiert werden können oder saniert.
Zum Beispiel Verträge sollten angeben, wie schnell die patches beheben Sicherheitsprobleme, angefangen von zwei Wochen für die high-priority-patches zu vier Wochen für die low-priority-Updates.
“Eine Menge Zeit, Anbieter lassen Sie nicht den patch anwenden, um Ihre Geräte – Sie wollen es selbst zu tun. Wenn es dauert Sie ein Jahr, um heraus zu kommen und den patch anwenden, das ist ein problem.“
Wenn Geräte gekauft werden und im Einsatz, es fällt operations management zur Verwaltung Schutz und Sicherheit, die entscheidend ist für Geräte, die verwaltet werden, über cloud-services oder Daten hochladen in die cloud. Die verschiedenen Ebenen der Aufmerksamkeit, die erforderlich sind, je näher die Geräte sind für den Patienten sein.
Zum Beispiel, implantierte Geräte „stellen eine einzigartige Reihe von Fragen,“ Winkel sagte. “Das Gerät selbst in der Regel nicht direkt mit dem Internet verbinden oder die cloud – ein Herzschrittmacher in der Regel tut Sie dies in einem anderen Gerät, wie zum Beispiel ein handheld-Gerät, das Sie halten neben den Patienten, die liest dann die Informationen aus dem Schrittmacher, die dann eine Verbindung zu einer Basisstation oder einem smart-Gerät. In diesem Fall haben Sie mehrere Punkte zu überprüfen, für die Sicherheit.“
Mit implantierten Geräten, typische Anliegen sind, wie die Geräte erreichen identity-und access-management, und wie die Gesundheits-Organisation sorgt dafür, dass neue Schwachstellen saniert werden. IAM ist kritisch auf die implantierten Geräte, denn die Patienten können in den Einstellungen, wo Geräte kann problemlos zugegriffen werden und gehackt.
Je nach Ihrer Nähe zu den Patienten, medizinische Geräte kann schwierig sein, patch -, Winkel-sagte in Gliederung Herausforderungen für die verschiedenen Grade der Trennung vom Patienten. IAM-Themen sind Häufig für fast alle Typen von Geräten, und es kann schwierig sein, führen Sie antivirus-Programme und Anwendung der patches, während Sie im Dienst.
Die Hersteller einige Geräte erlauben nicht, dass Antiviren-software auf Ihnen installiert und Sie können schwache oder gar keine IAM, die es schwierig macht, Schicht auf wesentliche Sicherheit für Geräte, die eine Verbindung mit der cloud. In diesen Fällen können Geräte sein, etwas gedämmt durch die Segmentierung auf der Netzwerk-und Steuerung des Datenflusses zu und von dem Gerät, Winkel sagte.
Für Geräte, die eine Verbindung mit der cloud, Organisationen im Gesundheitswesen sollten sammeln von log-Dateien, wo immer möglich und Implementierung einer cloud access security broker-Lösung.
“Was dieser tut, ist die Identifizierung der PHI-Daten gehen in die cloud und auch die Daten verschlüsselt werden. Anbieter auch bewerten müssen, um die cloud-Sicherheit und Cloud Security Alliance IoT-control-matrix ist ein guter Ort, um zu starten“, sagte er.
Fred Bazzoli ist ein Co-Autor Healthcare IT News.
Twitter: @fbazzoli
Healthcare-IT-News ist die HIMSS Media-Publikation.