今年1月,卫生和公共卫生部门协调委员会(Healthcare & Public Health Sector Coordinating council)发布了一份报告,详细阐述了改善医疗设备安全性的必要性。
利用医疗设备作为攻击载体的成功网络事件,让人们认清了现实。在美国的一个例子中,一台联网的便携式x光机被感染,并通过整个企业网络传播。它花了大约16个月的时间彻底根除了恶意软件。
虽然医疗设备安全是整体安全的重要组成部分,但它常常被排在行动计划的最后。从历史上看,医疗设备的安全一直掌握在制造商手中,他们经常声称,如果不违反FDA的规定或经过艰难的审批,他们就无法更新自己的软件。尽管这是事实,但监管机构、制造商和医疗行业领袖最近的努力已开始显示出这方面取得进展的迹象。
与此同时,医疗IT领导者能做些什么来确保医疗设备的安全呢?以下是每个医疗机构都应该立即采取的三个基本步骤。
1. 连接信息技术和临床工程。
在一些医疗组织中,IT和临床工程(CE)的领导是一个角色。这可能是一个副总裁或董事,但在某个层次上,这两个部门需要统一的领导,以确保它们以协调的方式工作。连接和交互使用。虽然IT和CE的目标不同,但它们是一致的。它知道系统和安全;CE了解医疗器械和相关法规要求。对于大多数IT人员来说,CE是一个陌生的世界,但它是可知的。例如,当您有一个IT VP或主管来促进关于医疗设备网络划分的讨论时,IT和CE必须一起找出细节。尽管IT领导者一开始可能难以理解医疗设备的世界,但这是一项有趣且有价值的工作,将为简化通信和更有效的安全风险管理带来回报。
2. 库存网络连接的设备。
您的CE领导应该对组织中的医疗设备有一个准确的清单,并且该数据应该包括该设备是否联网。如果数据不存在,那么这应该是您的优先级。根据医疗器械的类别,相对容易发现。例如,您的CE主管将知道您的药物泵是否在网络上(可能是),或者您的主动脉内气囊泵是否启用网络(这取决于),或者您的CT或MRI机器是否连接(可能是)。有了这些数据,您就可以开始开发您的安全计划了。从最简单的开始(像CT和MRI这样的固定设备),然后按照你的方式进行下去。或者,从你认为风险最高的设备开始。关键是制定一个计划,然后开始工作。
3.在隔离网络上分割医疗设备。
由于您不太可能在大多数医疗设备上运行任何类型的保护软件(反病毒、反恶意软件等),您必须通过防火墙、网络分割、白名单、网络监控等来保护它们。你可以做很多非侵入性的事情,但是不要采取任何行动,除非你已经和CE负责人彻底检查过了,并且在病人不会受到任何故障影响的时候做了测试。例如,你想保护你的x光机和CT机。在凌晨1点测试您的解决方案。在你通知x光和CT检查负责人后的周日。这听起来可能非常谨慎,但你不能提出可能影响病人护理的问题。如果正在处理某个病例,并且网络更改导致机器重新启动,则可能会导致延迟患者治疗的问题。重要的是要记住,理所当然的事情必须在医疗环境中得到更多的关注。在做出任何可能影响病人护理的改变之前,确保你已经计划和测试了。
FDA和制造商继续解决这一问题的同时,你可以采取一些积极的措施来提高医疗设备的安全性。它可能并不完美,但信息安全是一个不断发展的领域,没有完美的状态,只有不断的改进。
来源:Susan Snedaker