医疗设备和医院网络的网络安全

许多医疗设备包含可配置的嵌入式计算机系统，这些系统很容易受到网络安全漏洞的攻击. 除了, 因为医疗设备越来越多地通过互联网连接在一起, 医院网络, 其他医疗设备或智能手机, 网络安全漏洞的风险也在增加, 哪些因素会影响医疗设备的运行.

美国食品和药物管理局(FDA)最近意识到网络安全漏洞和事件可能直接影响医疗设备或医院网络运行, 如:

• 被恶意软件感染或禁用的网络连接/配置医疗设备
• 医院电脑上存在恶意软件, 智能手机和平板电脑, 以使用无线技术访问患者数据的移动设备为目标, 监测系统和植入的病人设备
• 不受控制的密码分发, 禁用密码, 用于特权设备访问的软件的硬编码密码.g.，发给行政、技术和维修人员)
• 未能及时为医疗设备和网络提供安全软件更新和补丁，未能解决旧医疗设备模型(遗留设备)中的相关漏洞
• 设计用于防止未经授权的设备或网络访问的现成软件中的安全漏洞, 例如纯文本或无身份验证, 硬编码的密码, 服务手册中记录的服务帐户和糟糕的编码/SQL注入.

FDA建议/行动

美国食品药品监督管理局(FDA)提出了一系列建议，以减轻技术可能对医疗保健组织构成的风险.

对于所有设备制造商:

制造商有责任保持警惕，识别其医疗设备相关的风险和危害, 包括网络安全相关风险, 并负责实施适当的缓解措施，以解决患者的安全问题，并确保设备的适当性能.

FDA要求医疗设备制造商采取适当措施，限制未经授权访问医疗设备的机会. 具体地说, 建议制造商审查其网络安全实践和政策，以确保采取适当的保障措施，防止未经授权访问或修改其医疗设备，或危及可能连接到该设备的医院网络的安全. 需要安全控制的程度将取决于医疗设备, 使用环境, 其所面临风险的类型和概率, 以及安全漏洞可能给病人带来的风险.

在评估你的设备时，考虑做以下事情:

• 采取措施限制未经授权的设备访问，只允许受信任的用户访问, 特别是那些维持生命或可以直接连接到医院网络的设备.
• 适当的安全控制可能包括用户身份验证, 例如用户ID和密码, 智能卡, or biometrics; strengthening password protection by avoiding 硬编码的密码 and limiting public access to passwords used for technical device access; physical locks; card readers; and guards.
• 保护单个组件免受开发，并针对设备的使用环境制定主动安全保护策略. 这种战略应包括及时部署例行工作, 经过验证的安全补丁和将软件或固件更新限制为经过验证的代码的方法. FDA通常不需要审查或批准仅为加强网络安全而进行的医疗设备软件更改.
• 使用维护设备关键功能的设计方法, 即使安全已经受到威胁, 被称为“故障安全模式”.”
• 在安全已被破坏的事件后，提供保留和恢复的方法.
• 网络安全事件的可能性越来越大，制造商应该考虑事件响应计划，以解决降级操作的可能性和有效的恢复和恢复.

新京十大正规网站保健设施:

FDA建议您采取措施评估您的网络安全并保护您的医院系统. 在评估网络安全时, 医院和卫生保健机构应考虑做以下工作:

• 限制对网络和联网医疗设备的未经授权访问
• 确保适当的杀毒软件和防火墙是最新的
• 监视网络活动的未经授权的使用
• 通过例行和定期评估保护单个网络组件, 包括更新安全补丁和禁用所有不必要的端口和服务
• 如果您认为您可能有与医疗设备相关的网络安全问题，请新萄京正规网站特定的设备制造商
  • 如果您无法确定制造商或无法新萄京正规网站制造商, FDA可能会协助漏洞报告和解决.
• 开发和评估策略，在不利条件下保持关键功能

向FDA报告问题 

及时报告不良事件可以帮助FDA识别和更好地理解与医疗器械相关的风险. 如果您怀疑网络安全事件影响了医疗设备的性能或影响了医院的网络系统, 通过MedWatch提交自愿报告, FDA安全信息和不良事件报告程序. 

受FDA用户设施报告要求的设施雇用的卫生保健人员应遵循其设施建立的报告程序.

设备制造商必须遵守医疗设备报告(MDR)法规.

本《新京十大正规网站》并非详尽无遗，任何讨论或意见也不应被视为法律建议. 读者应新萄京正规网站法律顾问或保险专业人士以获得适当的建议. 设计©2013 Zywave, Inc. 保留所有权利.