![](http://jcagaba.com/visuals/searchSecurity/information_security_threats/security_article_026_searchsitetablet_520X173.jpg)
alphaspirit——Fotolia
物联网医疗设备安全需要更广泛的措施
这是一个令人生畏的任务,试图确保完整的物联网医疗器械安全性,似乎是不可能的。两个行业专家讨论了这个问题并提供了他们的建议。
一天,在盐湖城的山间医疗中心,一个听力学设备丢失了。
这种特殊的设备通过不同的频道进入医院 - 最有可能通过不同的制造商 - 而不是许多国际渠道的其他设备。而且由于这种方差,卡尔西他无法确认这台设备使用的是什么操作系统,它是如何进入医院的,以及它是什么生命周期管理曾是。
韦斯特说:“这给我们造成了很大的混乱。”“这些设备必须像我们标准的台式电脑一样被监控和维护。我们需要知道它们在哪里,它们有什么数据,它们有什么控制措施。”
此外,一些设备具有具有静态信息的能力,这意味着它们可以存储患者信息在很长一段时间内。这就是丢失听诊器的情况。
“具有持久的数据成为一个问题,因为现在我看到的每个患者都存储在听力学设备上,”West说。
幸运的是,最终发现了听力学设备。在它上,西方发现了价值的患者数据的两年半。
Intermountain确保IoT医疗器械安全性
![Karl West,Ciso,Intermountain Healthcare](https://cdn.ttgtmedia.com/rms/onlineImages/west_karl.jpg)
与之事物(物联网)在医疗保健方面成为现实西方解释说,他和他的团队意识到只需采取所有设备和应用程序的库存都不足以确保IOT医疗设备安全。于是,他们开始创造一个数据词典。这有助于西方和他的团队知道“所有数据所在的地方,它起源于它,它移动[和]它的传输能力是什么,”他说。
“在Intermountain,我们正在收集风险类别,”韦斯特说。“我们现在有一个所有医疗设备的清单,重点是设备内部的数据。”
Intermountain具有移动设备库存,服务器库存等。
“我们正在研究那些说的人,'设备上有哪些数据,以及我们允许在该设备上允许的数据的分类?”“西说。
我们现在有一个所有医疗设备的清单,重点是里面的数据。 卡尔西CISO,山间医疗
除了创建一个数据字典,Intermountain还致力于在设备周围进行分类。例如,如果一个医生随身带着一个设备,这个设备是什么分类,与分类相关的数据是什么?
韦斯特说:“这样一来,我们就知道什么应该出现在设备上,什么不应该出现在设备上,然后我们就会监控这些内容。”他补充说,将部署工具来监测数据是否在变化,以及数据是否在流向它应该流向的地方。
“这是一个复杂的过程[和]很多工作,”West表示,补充说,在理解设备拥有的数据时,理解设备本身并不多。
飞利浦医疗保健的责任披露政策
“这是我们如何处理可能影响我们解决方案的事件和潜在漏洞的组成部分,”迈克尔麦克尼尔飞利浦医疗保健公司(Philips Healthcare)的全球产品安全和服务主管。“我们有一个入口或入口说,‘如果你确实找到了一些信息,你需要这样安全地将其记录下来,并能够将其传达给我们的组织。’”
这种方式是飞利浦负责任信息披露政策的核心,其目的是向外部各方——无论是研究人员还是医疗保健机构——提供飞利浦的访问权限遇到一个问题或者已发现与医疗设备的漏洞。
![麦克尼尔(Michael McNeil),飞利浦医疗保健(Philips Healthcare)全球产品安全和服务官](https://cdn.ttgtmedia.com/rms/onlineImages/mcneil_michael.jpg)
麦克尼尔表示,飞利浦采取了反馈并将其纳入公司的事件响应流程和客户教育努力。
虽然其他行业已经采取了负责任的信息披露政策,但医疗保健和医疗设备麦克尼尔说,行业滞后后面。
为了赶上进度,组织需要确保“他们遵循适当的标准和政策,他们结合内部和外部测试他们的产品和解决方案,[并且]他们在他们的开发过程中进行适当的风险评估,”他说。
给医疗保健首席信息官的建议
为了更好地确保物联网医疗器械安全,CIO应确保他们对其设备库存充分了解,并确认他们遵循如何部署这些设备的最佳实践,麦克尼尔表示。
他补充说,医疗保健CIO也应该与制造商和社区密切合作,“确保它们与这些设备在其环境中的执行方式保持一致,”麦克尼尔表示。“我希望看到制造商,以及管理这些环境的CIO和这些人,能够更加紧密地工作,并遵守与保持设备相关的这些活动。”
让我们知道您对故事和IoT医疗设备安全的看法;电子邮件Kristen Lee,新闻作家或者在推特上找到她@ kristen_lee_34.。