客户专栏2021年8月4日

CMS以医疗设备网络安全为目标——如何确保持续的医疗保险/医疗补助覆盖

通过约翰Giantsidis, CyberActa, Inc.总裁

432423

医疗设备网络安全风险是对设备实现其目标的能力的不断发展威胁,并提供其核心功能。FDA非常清楚的是,网络安全必须是医疗器械制造商质量管理系统的一部分,而该机构已经确定了静态和动态码分析,渗透测试和其他技术的需求,以管理医疗设备网络安全风险。渗透测试只是对当前的时刻评估,已知的安全风险;安全性测试在直接设计要求和明确的,反驳的威胁模型和临床相关的网络安全风险方面提供了最多的漏洞最具科学价值,而不是仅仅依赖于未知的漏洞的非结构化搜索。

在其2021年6月的报告中,美国卫生和公众服务监察长办公室(U.S. Department of Health and Human Services Office of Inspector General)宣布,医疗保险缺乏对医院联网医疗设备的网络安全的一致监督。1医疗保险和医疗保险服务(CMS)的中心监督参与的医疗保险条件(警察)以获得医疗保险费用,并正在考虑与FDA和FDA一起突出医疗设备网络安全的重要性的额外方法民权办公室(OCR)。1

监察长办公室的权力是不可撤销的。OIG此前曾审查FDA在评估上市前和上市后医疗设备的网络安全风险方面的作用。2018年的一份报告发现,FDA已采取措施解决新出现的网络安全问题,包括向FDA设备审核员发布医疗设备网络安全指导文件,并审查网络医疗设备上市前提交的网络安全信息。2但是,该报告还发现FDA可以更多地将其对网络医疗设备的网络安全评估整合到预先征询审查过程中。2OIG建议FDA促进使用预提交会议来解决网络安全相关问题,并将网络安全纳入FDA审核员用于促进其对网络设备审查的工具中。2FDA同意并实施了这些建议。另一份报告发现,FDA的政策和程序不足以处理涉及医疗设备网络安全的上市后事件。3.该报告发现,FDA没有充分测试其利用医疗设备应对网络安全事件引发的紧急情况的能力。此外,该报告还发现,在19个地区办公室中,有两个地区的FDA尚未建立书面标准操作程序,以应对易受网络安全威胁的医疗设备召回问题。3.OIG建议FDA评估医疗设备的网络安全风险;与联邦合作伙伴签订正式协议;确保创建召回易受网络安全威胁的设备的程序;并建立与关于网络安全事件的关键利益相关者共享信息的程序。3.FDA同意了这些建议。

正如经营风险一样,一个组织永远无法消除其产品可能面临的每种医疗设备网络安全风险。然而,具有执行责任的管理人员必须首先和最重要的,确保患者受到保护,并了解安全失败可能导致本组织的重要长期费用,并且可以大大损害消费者信任和品牌声誉。

你的组织能做什么?具有执行责任的管理人员需要准确地了解其医疗器械的网络安全姿势。他们还需要向自己保证,他们有关于已知医疗设备安全漏洞和威胁的最新信息,以便他们可以做出明智的信息风险决策。

如何制定网络安全风险管理框架

通过将网络风险纳入现有的医疗设备风险管理和治理流程,我们需要在医疗设备网络安全成为议程之前将其列入议程。重要的是要明白,网络安全不是在执行一份要求清单;4它正在将医疗设备的网络风险管理到可接受的水平。将医疗设备网络安全风险作为组织治理、风险管理和质量框架的一部分进行管理,为在医疗设备的整个开发、制造和商业化过程中管理网络安全风险提供了战略框架。有执行责任的管理者需要问以下探索性问题:

  • 我们是否了解医疗设备网络安全如何影响我们的职责?
    • 我们是否有足够的专业知识来理解医疗设备网络安全对我们的产品和组织的战略目标的重要性?
    • 谁负责我们医疗设备的网络安全?
    • 我们是否以清晰的方式表达了我们在医疗设备网络安全上所需的信息?
  • 目前谁负责我们的医疗设备网络安全?
    • 有正式的预约吗?
    • 这个人是如何与我们保持联系的?
    • 他们是否参与了其他类型的报告过程?
    • 这个人的目标是什么?是谁设定的?
    • 这些目标是否以一种有益于整个组织的方式促进医疗设备网络安全?
    • 这个人是否能够联系到必要的人以确保我们的网络安全效率?
  • 我们的组织需要什么样的医疗设备网络安全专业知识?我们已经拥有什么样的专业知识?
    • 我们的组织需要什么样的专业知识来管理其网络风险?
    • 我们应该在内部保留哪些任务,我们应该外包吗?
    • 本组织中每个工作人员都对网络安全有何专业知识?我们如何全面地培养我们的员工对我们的安全实践?
  • 对于任何缺失的专业领域,我们的组织有什么样的计划?
    • 谁负责网络安全专业知识的发展?
    • 这个开发工作是基于一个计划吗?谁负责执行?
    • 我们到哪里去找我们需要的人?
    • 他们是否在我们的组织中工作,或者我们是否应该通过外包获得我们需要的技能,例如?
  • 我们的组织如何了解安全事件,其医疗设备已受到追疑?
    • 我们的阈值是否适用于正确的级别?
    • 它们是否足够低,以便在检测到任何事故时能够给出正确的警告?它们是否足够高,以便处理它们的人不会被无意义的信息所累?
  • 我们知道谁负责领导对安全事件的响应,谁有权力做决定吗?
    • 谁能在哪些问题上做决定?

必须有一份危机管理计划

推出医疗器械网络安全计划不是一个简单的任务,并且成功的计划计划需要从决策者和利益相关者购买。在制定企业案例时要重新计算医疗设备网络安全计划,重要的是确保决策者了解实施和管理成功计划所需的内容。程序的大多数资源通常会在三个方面分配:

  • 过程
  • 技术。

一家公司的医疗设备网络安全团队需要具备:

  • 有足够数量的具有适当技能的员工。团队的组成将取决于公司的产品及其复杂性和风险概况;和
  • 支持所需医疗设备网络安全流程的资源,例如进行威胁分析和风险评估,并确定和实施适当的控制。

在今天的市场中,有许多网络安全技术可以促进公司的医疗设备网络安全计划的运作。自动化,效率和一致性是这些技术可以提供的一些好处。

在医疗设备网络安全计划的设计、启动和实施过程中,必须具备的一点是,立即实施危机管理计划,使组织能够在危机期间领导、采取并保持主动,如果失去主动,还能寻找机会重新获得主动。采取合理的措施几乎总比什么都不做要好,但它应该基于事先商定的计划和准备。如果事先有一些工作要比没有工作更容易在短时间内采取适当的行动(在这种情况下通常是这样)。这样,紧张或即兴创作,在这个时候都是很常见的,可以避免。

许多组织已经根据ISO 27001和ISO 22301制定了危机管理计划,描述了发展危机管理能力所需的任务,并确定了应对严重情况或灾难时应采取的主要行动。这些计划通常包括一份危机手册,作为参考框架,根据连续性、偶然性、沟通、人力资源等方面正在执行的行动脚本,并明确分配责任。这些计划应通过演习或培训班在本组织及其管理层中适当传播。

结论

网络安全对医疗设备的安全和有效性至关重要。如果没有适当的网络安全控制,医院的联网医疗设备可能会受到损害,从而对患者造成伤害。FDA认为,网络医疗设备的网络安全是利益相关者(包括FDA、设备制造商和医疗保健提供商)共同承担的责任。目前,医疗保险缺乏对医院联网医疗设备的网络安全的持续监督。很快,医疗保险的参与条件将涵盖医疗设备的网络安全评估,这将对制造商产生涓滴效应,要求他们提供考虑到网络安全的医疗设备。否则,使用该设备的医院可能无法参与医疗保险/医疗补助计划。

参考文献

  1. OIG,医疗保险缺乏对医院联网医疗设备网络安全的一致监督,OEI-01-20-00220, 2021年6月
  2. OIG, FDA应进一步将其网络安全审查纳入医疗器械上市前审查流程(OEI-09- 16-00220), 2018年9月。
  3. OIG,食品和药物管理局的政策和程序应更好地解决医疗设备上市后的网络安全风险(A-18-16-30530), 2018年10月。
  4. 总统关于改善联邦政府网络安全的行政命令(EO 14028)

关于作者:

John Giantsidis是总统CyberActa公司,精品咨询授权医疗设备,数字健康和制药公司的网络安全,隐私,数据完整性,风险,SAMD监管合规性和商业化努力。他也是佛罗里达州的技术委员会和U.S. Marine Corps的Cyber​​ Aux委员会成员。他拥有克拉克大学,来自新罕布什尔大学的克拉克大学的科学学士学位,以及网络安全政策的工程硕士学位和乔治华盛顿大学的遵守。他可以到达John.Giantsidis@cyberacta.com.