공유 책임 : 병원이 손상을 도울 수있는 방법

목표를 향해 노력하는 팀과 마찬가지로 병원 및 의료 기기 제조업체는 각각 환자 모니터 및 기타 의료 기기에서 파생 된 개인 건강 정보를위한 안전한 환경을 조성 할 수있는 고유 한 부품을 가지고 있습니다.

한동안 데이터 보안에 대한 공유 책임에 대한이 개념은 대규모 기술 산업에서 모범 사례로 인식되었습니다. 예를 들어, Amazon Web Services, Microsoft Azure 및 Google과 같은 클라우드 서비스 제공 업체는이 공유 책임 모델을 따라 클라우드 제공 업체 및 고객의 상호 보안 의무를 정의합니다.

의료 내에서 의료 기기 데이터에 대해 유사한 모델이 등장했습니다. 2023 년 9 월에 발표 된 미국 식품의 약국은“ FDA는 의료 기기 사이버 보안이 의료 시설, 환자, 의료 서비스 제공자 및 제조업체를 포함한 의료 기기 시스템의 사용 환경 전반에 걸쳐 이해 관계자들 사이에서 공동 책임이라는 것을 인정합니다. 의료 기기. '

의료 산업 연구원과 개발자가 동의합니다. MPO (Medical Product Outsourcing)의 기사에 따르면“ 일반적으로 사이버 보안은 실제로 병원이나 의료 기기 제조업체가 자체적으로 의료 대상이되는 공격을 막을 수 없기 때문에 공유 책임입니다. 그들은 제품과 환자 모두에게 피해를 입지 않도록 힘을 합쳐야합니다. '

의료 기기 제조업체, 병원 소프트웨어 제공 업체 및 건강 조직은 사이버 범죄 활동에 대해 환자 정보 및 의료 기기 시스템을 보호하기 위해 팀을 구성해야합니다. 성공적인 팀이 되려면 각 플레이어는 자신의 역할을 알고 이해해야합니다.

의료 기기 데이터 보안의 역할 이해

미국 FDA는 의료 기기 제조업체와 소프트웨어 제공 업체가“설계에 의한 보안”이라는 프로세스를 따라야하며, 이는 특정 컨트롤이 제품에 내장되어 병원이 제품을 더 쉽게 배포하고 제품을 사용할 수 있도록해야합니다. [2] 구성 가능한 암호화, 보안 로그인 페이지 및 사용자 인증 요구 사항과 같은 기능은 제조업체가 보안 기능을 제품에 통합하는 방법의 예입니다.

그러나 최적으로 기능하기 위해 제품 설계에 보안을 제공하는 이러한 기능은 종종 생존력을 활성화하고 유지하기 위해 병원의 일부에서 조치가 필요합니다.

제품 액세스 컨트롤의 예를 들어 보겠습니다. 장치 제조업체 또는 소프트웨어 제공 업체는 일반적으로 병원의 Active Directory Service를 기반으로 임상 사용자의 신원을 확인하거나 인증하여 암호 및 프로토콜을 통해 제품 기능에 대한 액세스 제어를 구현할 수 있습니다. 제품은 구성에서 알고 있습니다. 이제 의료 조직 만 시스템에 액세스 할 수있는 사용자가 어떤 사용자가 권한을 부여 해야하는지 식별하고 제품을 적절하게 구성 할 수 있으며, 재사용 할 수없는 경우 그룹을 작성하여 자체 Active Directory를 구성 할 수 있습니다. 너무 많은 사용자를 승인하거나 최신 디렉토리를 유지하는 것에 대한 LAX와 같은 부적절한 그룹을 사용하면 불필요한 위험에 대한 네트워크를 열 수 있습니다. 제조업체는 보안 제어, 병원에 최적의 제어 구성을 제공합니다.

또 다른 강력한 보안 기능 인 데이터 암호화는 또한 병원과 제조업체의 조치가 필요합니다. 암호화를 사용하여 데이터 기밀성을 보장하는 경우 데이터가 예상 대상에 도착하도록하려면 네트워크 노드 인증도 필요합니다. 예를 들어, 제조업체는 의료 기기와 병원의 전자 의료 기록 (EMR) 간의 전송에 대한 정보에 대한 강력한 데이터 암호화 알고리즘 및 인증서 검증과 같은 보안 제어를 제공 할 수 있습니다. 이제이 보안 기능을 활성화하기 위해 병원은 EMR에 대한 인증 인증서와 강력한 개인 키와 의료 기기에 대한 EMR 인증서 사본을 제공합니다. 병원은 또한 만료, 취소와 같은 이러한 자산 관리를 담당하고 있습니다. 병원이 암호화 및 상호 인증의 모든 이점을 실현하기 위해서는 제조업체가 제품의 강력한 보안 제어를 제공해야합니다. 그러나 이러한 기능은 병원에서 제대로 구성 될 때까지 작동하지 않습니다. 그렇지 않은 경우 암호화 보안 기능이 작동하지 않거나 더 나빠질 수 없을 때 보안이 제공되는 것처럼 보일 수 있습니다.

병원은 브라우저와 모바일 장치가 최신 상태이며 제조업체의 클라우드 기반 보안 컨트롤을 최적화하기 위해 다중 인증 인증과 같은 보안 기능을 통해 활성화되어야하므로 공유 책임이 필요합니다.

따라서 제품의 안전한 구현을 보장하기 위해 제조업체는“보안 별 설계”프로세스에 의해 입증 된 알고리즘 및 설계를 사용 하여이 제품 보안 제어에 포함시켜야합니다. 동시에 병원은 항상 제품을 안전하게 사용하도록하기 위해 책임과 활동에 대한 부분을 가지고 있습니다.

그러면 각 제품이 다르면 병원은 어떻게 해야하는지 알 수 있습니까? 병원에는 모든 배포 된 제품에 적용되는 IT 인프라를 안전하게 유지하기위한 전반적인 프로세스 및 절차가 있습니다. 그러나 병원이 각 제품의 특이성을 고려하고 활용할 수 있도록 제조업체는 병원에서 사용할 수있는 보안 기능과 병원 환경에 대한 기대에 대해 투명해야합니다. 병원은 차례로 그러한 보안 기능과 기대를 알고 있어야합니다. 마지막으로, 성공적인 구현을 가능하게하기 위해 팀을 구성해야합니다.

병원은 자신의 역할을 어떻게 알 수 있습니까?

다행히 제조업체를 사용하면 병원이 의료 데이터 보안을 최적화하기 위해 수행 할 수있는 일을 쉽게 이해할 수 있습니다. 제조업체는 종종 임상 사용자 및 시스템 관리자에게 의료 장치 보안을위한 제조업체 공개 명세서 (MDS2), 경화 가이드 및 기타 보안 지침 자료와 같은 문서의 정보 및 지침을 제공합니다.

이 문서는 의료 서비스 제공 업체가 사이버 공격이나 다른 침입으로부터 의료 기기 데이터를 보호하기 위해 자신의 역할을 수행하도록하기 위해 의료 서비스 제공자가 단계별 청사진을 제공합니다. 권장 단계에는 특정 직원에 대한 로그인 액세스 제한이 포함될 수 있습니다. 네트워크 세분화 및 제한된 포트를 통한 시스템 간 연결 보안; 신뢰할 수있는 인증서를 사용하여 의료 기기의 신원 및 임상 데이터 수신 시스템을 확인합니다. 그리고 병원 네트워크와 관련된 많은 다른 조치.

통화 유도 → 제조업체의 권장 보안 가이드 라인을 읽습니다

제조업체의 제품 문서 및 경화 가이드는 병원에 최적의 안전을 제공하기 위해 의료 기기 또는 소프트웨어의 내장 보안 기능을 활용하는 방법을 알려줍니다. 예를 들어 향상된 보안 컨트롤에는 업데이트 된 암호화 구성 또는 새로운 개인 키와 같은 새로운 버전의 제품 또는 소프트웨어가 배포 될 때마다 이러한 가이드를 검토하는 것이 중요합니다.

또한 임상 사용자가 구성 변경 또는 액세스 요구 사항 변경을 수행함에 따라 시간이 지남에 따라 저하되는 경우 시스템 액세스가 필요한 사람 또는 비밀번호와 같은 일부 보안 컨트롤은 드문 일이 아닙니다. 따라서 현재 보안 구성의 효과를 제어하기 위해 이러한 가이드를 정기적으로 사용하는 것이 좋습니다.

사이버 범죄자는 사악한 목적을 위해 네트워크에 침투하기 위해 약점 만 있으면됩니다. 그들의 활동을 막기 위해서는 제조업체와 병원이 엔드 투 엔드 보안 데이터 환경에서 서로의 역할과 공유 책임에 대해 팀을 구성하고 분명해야합니다.

Philips는 Philips 의료 기기 및 소프트웨어 솔루션에 포함 된 보안 기능을 활용하기 위해 권장 조치가 장착 된 시스템 경화 가이드를 포함한 문서를 제공합니다. 권장 사항은 각 New Philips 하드웨어 또는 소프트웨어 릴리스와 함께 개정되며 병원이 의료 기기 데이터 보안에 대한 공유 책임을 이행하기위한 올바른 조치를 취할 수 있도록 도와줍니다.

네트워크 보안 환경이 공유 책임을 충족하는지 확인하려면 보안 시스템 관리자에게 Philips 고객 포털에서 사용할 수있는 경화 가이드 및 보안 문서를 확인하도록 요청하십시오.

In addition, please contact your Philips representative to learn more about the enhanced data encryption and security features available in Philips solutions, and how you and Philips can mutually help protect the security and privacy of your patients' personal health information. 우리는 함께 데이터 보안을 위해 우승 팀을 만들 수 있습니다.