1月份,医疗保健协会发布了一份报告 & 公共卫生部门协调委员会 详细说明了提高医疗设备安全性的必要性这是一个直到最近才在医疗保健领域经常讨论的话题. 利用医疗设备作为攻击媒介的成功网络事件已经将现实带回家. 在美国有一个例子, 一台联网的便携式x光机被感染,并在整个公司网络中传播. 他们花了大约16个月的时间才完全根除了这个恶意软件.
医疗设备安全是整体安全的重要组成部分, 它经常被放在行动计划的底部. 从历史上看, 医疗设备的安全掌握在制造商手中,他们经常坚持声称,如果不违反FDA的规定或通过艰巨的审批,他们就无法更新软件. 虽然这是真的, 监管机构之间最近的努力, 制造商和医疗保健行业的领导者开始在这方面显示出进展的迹象.
与此同时,医疗保健IT领导者可以做些什么来保护医疗设备? 以下是每个医疗机构应该立即采取的三个基本步骤.
1. 连接信息技术和临床工程.
在一些医疗保健组织中,IT和临床工程(CE)的领导属于同一角色. 可能是副总裁或董事, 但在某个层次上, 这两个部门需要统一领导,确保协调工作. 连接和交叉列车. 虽然IT和CE的目标不同,但它们是一致的. IT knows systems and security; CE knows medical devices and associated regulatory requirements. 对于大多数IT人员来说,CE是一个陌生的世界,但它是可知的. 当您有IT副总裁或主管促进有关医疗设备网络分段的讨论时, 例如, IT和CE必须一起解决细节问题. 一开始,IT领导者可能很难理解医疗设备的世界, 这是一项有趣且值得的努力,它将在简化通信和更有效的安全风险管理方面带来回报.
2. 盘点联网设备.
您的CE领导应该拥有组织中医疗设备的准确清单,该数据应该包括设备是否联网. 如果这些数据不存在,那么这应该是你的首要任务. 根据医疗器械的类别,相对容易发现. 例如, 你的CE领导会知道你的药物泵是否联网(可能是)或者你的主动脉内球囊泵是否联网(视情况而定)或者你的CT或MRI机器是否联网(可能是). 有了这些数据,您就可以开始制定安全计划了. 从最简单的开始(像CT和MRI这样的固定设备),然后慢慢地往下看. 或者,从你认为风险最高的设备开始. 关键是要制定一个计划,然后开始工作.
3. 隔离网络上的医疗设备分段.
因为你不太可能运行任何类型的保护软件(杀毒软件), 反恶意软件, 等.)在你的大多数医疗设备上, 你必须通过防火墙来保护它们, 网络市场细分, 白名单, 网络监控, 等. 你可以做很多非侵入性的事情, 但在你和你的CE领导彻底审查并在病人不会受到任何小故障影响的情况下完成测试之前,不要采取任何行动. 例如,你想保护你的x光机和CT机. 在1a下测试你的解决方案.m. 在你通知x光和CT检查负责人之后的周日. 这听起来可能非常谨慎,但你不能引入可能影响患者护理的问题. 如果正在进行一个案例,并且网络更改导致机器重新启动, 你可能会造成延误病人治疗的问题. 重要的是要记住,在It中被认为是理所当然的事情,在医疗环境中必须更加小心地完成. 确保在做出任何可能影响患者护理的更改之前进行计划和测试.
而FDA和制造商继续解决这一过程中的问题, 您可以采取一些积极的步骤来提高医疗设备的安全性. 它可能并不完美, 但信息安全是一个不断发展的领域,没有完美的状态,只有不断的改进.
