YORUM
Hastaneler ve tıbbi cihaz üreticileri, hasta monitörlerinden ve diğer tıbbi cihazlardan elde edilen kişisel sağlık bilgilerini korumak amacıyla güvenli bir ortam oluşturmaya yardımcı olmak için ekip halinde çalışmalıdır.
Bir süredir bu düşünce ortak sorumluluk veri güvenliğine yönelik uygulamalar, daha büyük teknoloji endüstrisinde en iyi uygulama olarak kabul edilmiştir. Örneğin, birçok bulut hizmeti sağlayıcısı, bulut sağlayıcıları ve müşterilerinin karşılıklı güvenlik yükümlülüklerini tanımlamak için bu modeli izlemektedir.
Sağlık alanında da benzer bir model ortaya çıktı; tıbbi araştırmacılar, geliştiriciler ve düzenleyici kurumlar siber güvenliğin aslında ortak bir sorumluluk olduğu konusunda hemfikir. Bu, tıbbi cihaz üreticilerinin, hastane yazılım sağlayıcılarının ve sağlık kuruluşlarının hasta bilgilerini ve tıbbi cihaz sistemlerini siber suç faaliyetlerine karşı korumak için işbirliği yapması gerektiği anlamına geliyor.
Tıbbi Cihaz Veri Güvenliğindeki Rolleri Anlamak
Birleşik Devletler FDA gerektirir tıbbi cihaz üreticileri ve yazılım sağlayıcıları adı verilen bir süreci takip edeceklerdir. tasarım gereği güvenlikHastanelerin bunları güvenli bir şekilde konuşlandırmasını ve kullanmasını kolaylaştırmak için belirli kontrollerin bir ürüne yerleştirilmesi gerektiğini savunuyor.
Yapılandırılabilir şifreleme, güvenli oturum açma sayfaları ve kullanıcı kimlik doğrulama gereksinimleri gibi özellikler, üreticilerin güvenlik özelliklerini ürünlerine nasıl entegre ettiğinin örnekleridir. Ürünün tasarımındaki bu güvenlik özellikleri çoğu zaman hastanelerin bunları etkinleştirmek ve sürdürülebilirliğini sürdürmek için harekete geçmesini gerektirir.
Ürün erişim kontrolü örneğini düşünün. Tipik olarak bir cihaz üreticisi veya yazılım sağlayıcısı, klinik kullanıcının kimliğini doğrulayarak veya doğrulayarak ürün işlevlerine erişim kontrolleri uygulayabilir. Bir hastanenin Active Directory hizmetine bakmak ve gerekli şifreleri ve protokolleri kullanmak, kullanıcının, ürünün yapılandırması aracılığıyla tanıdığı bir gruba ait olup olmadığını belirleyebilir.
Hangi kullanıcıların sisteme erişim yetkisine sahip olduğunu yalnızca sağlık kuruluşu belirleyebilir ve ürünü uygun şekilde yapılandırabilir. Uygunsuz bir grup kullanmak, çok fazla kullanıcıya izin vermek veya güncel bir dizini koruma konusunda gevşek davranmak, ağı gereksiz risklere açabilir.
Mobil ve bulut tabanlı uygulamalar bile ortak sorumluluk gerektirir. Hastaneler, tarayıcıların ve mobil cihazların, üreticinin çok faktörlü kimlik doğrulama gibi bulut tabanlı güvenlik kontrollerini optimize etmek için etkinleştirilen güvenlik özellikleriyle güncel olmasını sağlamalıdır.
Bu nedenle, güvenli ürün uygulamasını kolaylaştırmak için tıbbi ekipman üreticilerinin, kanıtlanmış algoritmalar ve tasarım gereği güvenlik süreci tarafından yönlendirilen tasarımlar kullanarak güvenlik kontrollerini yerleştirmeleri gerekir. Aynı zamanda hastanelerin de ürünün güvenli bir şekilde kullanılmasını sağlamak için kendilerine düşen sorumlulukları ve faaliyetleri bulunmaktadır.
Tesislerinde farklı ürünlerin mevcut olması nedeniyle BT liderlerinin nasıl ilerleyeceklerini bilmeleri zor olabilir. Güvenlik önlemlerinin başarılı olması için hastaneler ve üreticiler, hastanenin ihtiyaçlarını en iyi neyin karşılayacağını belirlemek üzere işbirliği yapmalıdır. Her hastanenin, sistem içindeki tüm ürünleri kapsayan BT altyapısını güvence altına alacak süreçleri ve prosedürleri vardır.
Bir hastane bir cihazı dağıtmadan önce üreticisinin, hastanenin kullanabileceği güvenlik özelliklerinin yanı sıra hastane ortamından beklentileri konusunda şeffaf olması gerekir. Hastaneler de bu güvenlik özellikleri konusunda kendilerini eğitmeli ve beklentilerini karşılayıp karşılamadıklarını belirlemelidir.
Hastaneler Rollerini Nasıl Biliyor?
Üreticiler genellikle hastanelerin tıbbi veri güvenliğini nasıl optimize edeceklerini anlamalarını kolaylaştırır. Genellikle klinik kullanıcılara ve sistem yöneticilerine Tıbbi Cihaz Güvenliği için Üretici Açıklama Beyanı (MDS2), yazılım malzeme listeleri (SBOM’lar), sağlamlaştırma kılavuzları ve diğer güvenlik kılavuzu materyalleri gibi bilgi ve kılavuzlar sağlarlar.
Bu belgeler, sağlık hizmeti sağlayıcılarının tıbbi cihaz verilerini izinsiz girişten korumak için üzerlerine düşeni yapmaları için takip edecekleri adım adım planlar sağlar. Önerilen adımlar arasında belirli personelin oturum açma erişiminin kısıtlanması, ağ bölümlemesi ve kısıtlı bağlantı noktaları kullanılarak sistemler arasındaki bağlantıların güvenliğinin sağlanması, tıbbi cihazların ve klinik veri alma sistemlerinin kimliğini doğrulamak için güvenilir sertifikaların kullanılması ve hastane ağına özel diğer eylemler yer alabilir.
Üreticilerin Tavsiye Edilen Güvenlik Yönergelerini Okuyun
Üreticilerin ürün belgeleri ve kılavuzları, hastanelere, bir tıbbi cihazın veya yazılımın yerleşik güvenlik özelliklerinden en iyi şekilde yararlanmak için nasıl yararlanabileceklerini anlatır. Gelişmiş güvenlik kontrolleri, güncellenmiş şifreleme yapılandırmaları veya yeni özel anahtarlar gibi ek önlemler gerektirebileceğinden, bir ürünün veya yazılımın yeni bir sürümü dağıtıldığında bu kılavuzları gözden geçirmek önemlidir.
Ayrıca, klinik kullanıcılar konfigürasyon veya erişim değişiklikleri yaptıkça, sistem erişim ihtiyaçları veya şifre gereklilikleri gibi bazı güvenlik kontrollerinin zaman içinde bozulması da alışılmadık bir durum değildir. Mevcut güvenlik yapılandırmasının etkinliğini kontrol etmek için bu kılavuzları düzenli olarak kullanın.
Siber suçluların kötü amaçlarla bir ağa sızmak için yalnızca tek bir zayıf noktaya ihtiyacı vardır. Faaliyetlerini engellemek için üreticilerin ve hastanelerin ekip oluşturması ve uçtan uca güvenli bir veri ortamında birbirlerinin rolleri ve paylaşılan sorumlulukları konusunda net olmaları gerekiyor.