Bossgoo Test DEMO
Comme une équipe travaillant vers un objectif, les hôpitaux et les fabricants de dispositifs médicaux ont chacun des pièces distinctes à jouer pour aider à créer un environnement sécurisé pour les informations de santé personnelles dérivées des moniteurs des patients et d'autres dispositifs médicaux.
Pendant un certain temps, cette notion de responsabilité partagée pour la sécurité des données a été reconnue comme la meilleure pratique au sein de l'industrie technologique plus large. Par exemple, les fournisseurs de services cloud tels qu'Amazon Web Services, Microsoft Azure et Google suivent ce modèle de responsabilité partagée pour définir les obligations de sécurité mutuelle des fournisseurs de cloud et de leurs clients.
Dans les soins de santé, un modèle similaire a émergé pour les données des dispositifs médicaux. Dans les conseils publiés en septembre 2023, la US Food and Drug Administration affirme: « La FDA reconnaît que la cybersécurité des dispositifs médicaux est une responsabilité partagée parmi les parties prenantes tout au long de l'environnement du système de dispositifs médicaux, notamment des établissements de santé, des patients, des prestataires de soins de santé et des fabricants de fabricants de fabricants de fabricants de fabricants de fabricants de fabricants de fabricants de fabricants de fabricants de fabricants de fabricants de fabricants de fabricants et de fabricants dispositifs médicaux. "
Les chercheurs et les développeurs de l'industrie médicale sont d'accord. Un article dans l'externalisation des produits médicaux (MPO) stipule: « La cybersécurité en général, en fait, est une responsabilité partagée, car ni les hôpitaux ni les fabricants de dispositifs médicaux ne peuvent conjurer le nombre croissant d'attaques ciblées par les soins de santé par eux-mêmes. Ils doivent unir leurs forces pour protéger les produits et les patients contre les dommages. "
Il est clair que les fabricants de dispositifs médicaux, les fournisseurs de logiciels hospitaliers et les organisations de santé doivent s'associer pour protéger les informations des patients et les systèmes de dispositifs médicaux contre l'activité cybercriminale. Pour être une équipe réussie, chacun des joueurs doit connaître et comprendre leur rôle.
La FDA américaine exige que les fabricants de dispositifs médicaux et les fournisseurs de logiciels suivent un processus appelé «sécurité par conception», qui soutient que certains contrôles doivent être intégrés dans un produit pour faciliter le déploiement des hôpitaux et utiliser le produit en toute sécurité. [2] Des fonctionnalités telles que le chiffrement configurable, les pages de connexion sécurisées et les exigences d'authentification des utilisateurs sont des exemples de la façon dont les fabricants intègrent les capacités de sécurité dans leurs produits.
Pour fonctionner de manière optimale, cependant, ces fonctionnalités offrant une sécurité dans la conception du produit nécessitent souvent une action de la part de l'hôpital pour activer et maintenir la viabilité.
Prenons l'exemple d'un contrôle d'accès au produit. Un fabricant d'appareils ou un fournisseur de logiciels peut généralement mettre en œuvre le contrôle d'accès aux fonctionnalités du produit en vérifiant ou en authentifiant l'identité d'un utilisateur clinique en fonction du service Active Directory de l'hôpital, via des mots de passe et des protocoles, puis de vérifier cet utilisateur appartient à un groupe Active Directory Le groupe Active Directory Le groupe Active Directory Le groupe Active Directory Le groupe Active Directory Le groupe Active Directory Le groupe Active Director Le produit sait depuis sa configuration. Désormais, seule l'organisation des soins de santé peut identifier quels utilisateurs devraient avoir l'autorisation d'accéder au système et peuvent configurer le produit de manière appropriée, et parfois configurer son propre Active Directory en créant un groupe s'il ne peut pas être réutilisé. L'utilisation d'un groupe inapproprié, comme l'autorisation de trop d'utilisateurs, ou le fait de maintenir un répertoire à jour, peut ouvrir un réseau à un risque inutile. Le fabricant apporte le contrôle de la sécurité, l'hôpital la configuration de contrôle optimale.
Le chiffrement des données, une autre caractéristique de sécurité solide, nécessite également une action de la part de l'hôpital ainsi que du fabricant. Lorsque le chiffrement est utilisé pour garantir la confidentialité des données, l'authentification du nœud de réseau est également nécessaire pour s'assurer que les données arrivent à la destination attendue. Par exemple, les fabricants peuvent fournir des contrôles de sécurité tels que des algorithmes de chiffrement des données robustes et une vérification des certificats pour des informations en transit entre un dispositif médical et un dossier médical électronique (DME) d'un hôpital. Maintenant, pour activer cette fonctionnalité de sécurité, l'hôpital fournit le certificat d'authentification et une clé privée solide de son DME, et une copie du certificat de DME sur le dispositif médical - qui l'utilisera pour authentifier le DME. L'hôpital est également chargé de gérer ces actifs - expiration, révocation. Pour que les hôpitaux réalisent tous les avantages du chiffrement et de l'authentification mutuelle, le fabricant doit offrir des contrôles de sécurité solides connexes dans le produit; Cependant, ces fonctionnalités ne sont pas opérationnelles tant qu'elles sont correctement configurées par l'hôpital. Sinon, la fonctionnalité de sécurité du chiffrement ne peut pas fonctionner, ou pire encore, peut faire en sorte que la sécurité soit fournie alors qu'elle ne l'est pas.
Même les applications mobiles et basées sur le cloud nécessitent une responsabilité partagée, car les hôpitaux devront s'assurer que les navigateurs et les appareils mobiles sont à jour et activés avec des fonctionnalités de sécurité telles que l'authentification multi-facteurs pour optimiser les contrôles de sécurité basés sur le cloud du fabricant.
Ainsi, pour assurer une mise en œuvre sécurisée d'un produit, les fabricants doivent s'intégrer dans ces contrôles de sécurité de produit à l'aide d'algorithmes et de conceptions éprouvés, guidés par le processus «Security by Design». Dans le même temps, les hôpitaux ont toujours leur part de responsabilités et d'activités pour s'assurer que le produit est réellement utilisé en toute sécurité.
Ensuite, chaque produit étant différent, comment un hôpital peut-il savoir quoi faire? Les hôpitaux ont leurs propres processus et procédures globaux pour rester sécurisé leur infrastructure informatique, qui s'applique à tous les produits déployés. Mais pour permettre aux hôpitaux de considérer et de tirer parti des spécificités de chaque produit, les fabricants doivent être transparents sur les fonctionnalités de sécurité qui peuvent être utilisées par les hôpitaux ainsi que leurs attentes sur l'environnement hospitalier. Les hôpitaux devraient à leur tour se faire prendre conscience de ces caractéristiques et attentes de sécurité. Enfin et surtout, les deux doivent faire équipe pour permettre une implémentation réussie.
Heureusement, les fabricants peuvent permettre aux hôpitaux de comprendre facilement ce qu'ils peuvent faire pour optimiser la sécurité des données médicales. Les fabricants fournissent souvent aux utilisateurs cliniques et aux administrateurs système des informations et des directives dans des documents tels que la déclaration de divulgation du fabricant pour la sécurité des dispositifs médicaux (MDS2), des guides de durcissement et d'autres documents d'orientation de sécurité.
Ces documents fournissent un plan étape par étape pour que les fournisseurs de soins de santé puissent suivre pour s'assurer qu'ils font leur part pour protéger les données des dispositifs médicaux des cyberattaques ou d'autres intrusions. Les étapes recommandées peuvent inclure la restriction de l'accès de connexion à un personnel spécifique; sécuriser les connexions entre les systèmes via la segmentation du réseau et les ports restreints; utiliser des certificats de confiance pour vérifier l'identité des dispositifs médicaux et des systèmes de réception de données cliniques; et de nombreuses autres actions spécifiques au réseau de l'hôpital.
Les guides de documentation des produits et de durcissement des fabricants indiquent aux hôpitaux comment ils peuvent tirer parti des fonctionnalités de sécurité intégrées d'un appareil médical ou d'un logiciel afin de fournir une utilisation optimale sécurisée. Il est important d'examiner ces guides chaque fois qu'une nouvelle version d'un produit ou d'un logiciel est déployée, car des contrôles de sécurité améliorés peuvent nécessiter, par exemple, des configurations de chiffrement mises à jour ou de nouvelles clés privées.
De plus, il n'est pas rare que certains contrôles de sécurité - tels que qui nécessite un accès au système ou ce que devrait être un mot de passe - pour se dégrader avec le temps à mesure que les utilisateurs cliniques apportent des modifications de configuration ou des exigences d'accès. Par conséquent, il est également recommandé d'utiliser ces guides régulièrement pour contrôler l'efficacité de la configuration de sécurité actuelle.
Les cybercriminels n'ont besoin que d'un point faible pour infiltrer un réseau à des fins néfastes. Pour contrecarrer leur activité, les fabricants et les hôpitaux doivent s'associer et être clairs sur les rôles de chacun et les responsabilités partagées dans un environnement de données sécurisé de bout en bout.
Philips fournit une documentation, y compris des guides de durcissement du système avec des actions recommandées, pour que les hôpitaux suivent pour tirer parti des fonctionnalités de sécurité qui sont intégrées dans les appareils médicaux et les solutions logicielles de Philips. Les recommandations sont révisées avec chaque nouvelle version matérielle ou logicielle de Philips et peuvent aider les hôpitaux à prendre les bonnes mesures pour assumer leur responsabilité partagée pour la sécurité des données des dispositifs médicaux.
Pour vérifier que votre environnement de sécurité réseau répond à votre responsabilité partagée, demandez à votre administrateur du système de sécurité de vérifier les guides de durcissement et les documents de sécurité disponibles dans votre portail client Philips.
De plus, veuillez contacter votre représentant Philips pour en savoir plus sur les fonctionnalités de chiffrement et de sécurité des données améliorées disponibles dans Philips Solutions, et comment vous et Philips pouvez vous aider à protéger la sécurité et la confidentialité des informations de santé personnelle de vos patients. Ensemble, nous pouvons faire une équipe gagnante pour la sécurité des données.
December 06, 2024
December 01, 2024
July 03, 2024
July 19, 2023
November 21, 2024
Envoyer à ce fournisseur
December 06, 2024
December 01, 2024
July 03, 2024
July 19, 2023
November 21, 2024
Privacy statement: Your privacy is very important to Us. Our company promises not to disclose your personal information to any external company with out your explicit permission.
Fill in more information so that we can get in touch with you faster
Privacy statement: Your privacy is very important to Us. Our company promises not to disclose your personal information to any external company with out your explicit permission.
