الصفحة الرئيسية> مدونة> المسؤولية المشتركة: كيف يمكن أن تساعد المستشفيات

المسؤولية المشتركة: كيف يمكن أن تساعد المستشفيات

August 29, 2024

مثل فريق يعمل نحو هدف ، فإن المستشفيات ومصنعي الأجهزة الطبية لكل منها أجزاء مميزة للمساعدة في إنشاء بيئة آمنة للمعلومات الصحية الشخصية المستمدة من شاشات المرضى والأجهزة الطبية الأخرى.

لبعض الوقت ، تم التعرف على فكرة المسؤولية المشتركة عن أمان البيانات كأفضل ممارسة في صناعة التكنولوجيا الأكبر. على سبيل المثال ، يتبع مقدمو الخدمات السحابية مثل Amazon Web Services و Microsoft Azure و Google نموذج المسؤولية المشتركة هذا لتحديد التزامات الأمان المتبادل لمقدمي الخدمات السحابية وعملائهم.

ضمن الرعاية الصحية ، ظهر نموذج مماثل لبيانات الأجهزة الطبية. في إرشادات صدرت في سبتمبر 2023 ، تؤكد إدارة الغذاء والدواء الأمريكية ، " تدرك إدارة الأغذية والعقاقير أن الأمن السيبراني للأجهزة الطبية يمثل مسؤولية مشتركة بين أصحاب المصلحة في جميع أنحاء بيئة استخدام نظام الأجهزة الطبية ، بما في ذلك مرافق الرعاية الصحية والمرضى ومقدمي الرعاية الصحية والمصنعين الأجهزة الطبية. "

وافق الباحثون والمطورين في الصناعة الطبية. تنص مقال في مجال الاستعانة بمصادر خارجية للمنتجات الطبية (MPO) ، " الأمن السيبراني بشكل عام ، في الواقع ، يمثل مسؤولية مشتركة ، حيث لا يمكن للمستشفيات أو الشركات المصنعة للأجهزة الطبية تجنب العدد المتزايد من الهجمات التي تستهدف الرعاية الصحية بمفردها. يجب عليهم توحيد الجهود لحماية كل من المنتجات والمرضى من الأذى. "

من الواضح أن الشركات المصنعة للأجهزة الطبية ومقدمي برامج المستشفيات والمؤسسات الصحية يجب أن يتعاونوا لدراسة معلومات المرضى وأنظمة الأجهزة الطبية ضد نشاط مجريم الإنترنت. لكي يكون فريقًا ناجحًا ، يجب أن يعرف كل لاعب ويفهم دورهم.

فهم الأدوار في أمان بيانات الجهاز الطبي

تتطلب إدارة الأغذية والعقاقير (FDA) في الولايات المتحدة أن يتبع مصنعو الأجهزة الطبية ومقدمي البرامج عملية تسمى "الأمان حسب التصميم" ، والتي تؤكد أن بعض عناصر التحكم يجب تضمينها في منتج لتسهيل على المستشفيات نشر المنتج واستخدامه بشكل آمن. [2] ميزات مثل التشفير القابل للتكوين ، صفحات تسجيل الدخول الآمنة ومتطلبات مصادقة المستخدم هي أمثلة على كيفية دمج الشركات المصنعة إمكانيات الأمان في منتجاتها.

ومع ذلك ، فإن العمل على النحو الأمثل ، فإن هذه الميزات التي توفر الأمن في تصميم المنتج غالباً ما تتطلب إجراءً من جانب المستشفى لتفعيل الصلاحية والحفاظ عليها.

دعنا نأخذ مثال التحكم في الوصول إلى المنتج. يمكن لعادة ما يمكن لشركة مصنّعة أو مزود برامج للأجهزة تنفيذ التحكم في الوصول إلى وظائف المنتج عن طريق التحقق أو المصادقة ، هوية مستخدم سريري استنادًا إلى خدمة Directory في المستشفى ، من خلال كلمات المرور والبروتوكولات ، ثم تحقق من أن هذا المستخدم ينتمي إلى مجموعة Active Directory المنتج يعرف من تكوينه. الآن ، يمكن لمؤسسة الرعاية الصحية فقط تحديد المستخدمين الذين يجب أن يكون لديهم إذن للوصول إلى النظام ويمكنهم تكوين المنتج بشكل مناسب ، وأحيانًا تكوين دليل Active الخاص به عن طريق إنشاء مجموعة إذا كان لا يمكن إعادة استخدامه. يمكن أن يؤدي استخدام مجموعة غير لائقة ، مثل تفويض الكثير من المستخدمين ، أو أن يكونوا متراخين بشأن الحفاظ على دليل محدث ، فتح شبكة للمخاطر غير الضرورية. تجلب الشركة المصنعة التحكم الأمني ​​، والمستشفى تكوين التحكم الأمثل.

يتطلب تشفير البيانات ، وهي ميزة أمان قوية أخرى ، إجراءً من جانب المستشفى وكذلك الشركة المصنعة. عند استخدام التشفير لضمان سرية البيانات ، تكون مصادقة عقدة الشبكة ضرورية أيضًا للتأكد من وصول البيانات إلى الوجهة المتوقعة. على سبيل المثال ، يمكن للمصنعين تقديم عناصر تحكم أمان مثل خوارزميات تشفير البيانات القوية والتحقق من الشهادة للمعلومات في العبور بين الجهاز الطبي والسجل الطبي الإلكتروني للمستشفى (EMR). الآن ، لتمكين ميزة الأمان هذه ، يوفر المستشفى شهادة المصادقة ومفتاح خاص قوي لـ EMR ، ونسخة من شهادة EMR للجهاز الطبي - والتي ستستخدمها لمصادقة EMR. المستشفى مسؤول أيضًا عن إدارة هذه الأصول - انتهاء الصلاحية ، الإلغاء. لكي تحقق المستشفيات الفوائد الكاملة للتشفير والمصادقة المتبادلة ، يجب على الشركة المصنعة تقديم عناصر تحكم أمان قوية ذات صلة في المنتج ؛ ومع ذلك ، فإن هذه الميزات لا تعمل حتى يتم تكوينها بشكل صحيح بواسطة المستشفى. إذا لم يكن الأمر كذلك ، فإن ميزة أمان التشفير لا يمكن أن تعمل ، أو حتى أسوأ من ذلك ، يمكن أن تجعلها تظهر كما لو أن الأمان يتم توفيره عندما لا يكون كذلك.

حتى التطبيقات المتنقلة والمنتظمة السحابية تتطلب مسؤولية مشتركة ، حيث ستحتاج المستشفيات إلى التأكد من أن المتصفحات والأجهزة المحمولة محدّثة وتمكينها بميزات أمان مثل المصادقة متعددة العوامل لتحسين عناصر التحكم في الأمن القائمة على السحابة في الشركة المصنعة.

وبالتالي ، لضمان تنفيذ آمن لمنتج ما ، يتعين على الشركات المصنعة التضمين في عناصر تحكم أمان المنتج باستخدام خوارزميات وتصميمات مثبتة ، مسترشدة بعملية "الأمان حسب التصميم". في الوقت نفسه ، تتمتع المستشفيات دائمًا بنصيبها من المسؤوليات والأنشطة لضمان استخدام المنتج بالفعل بشكل آمن.

ثم ، كل منتج يختلف ، كيف يمكن للمستشفى معرفة ماذا يفعل؟ لدى المستشفيات العمليات والإجراءات الشاملة الخاصة بها للحفاظ على تأمين البنية التحتية لتكنولوجيا المعلومات ، والتي تنطبق على جميع المنتجات المنشورة. ولكن للسماح للمستشفيات بالنظر في خصائص كل منتج والاستفادة منه ، يجب أن يكون المصنعون شفافين بشأن ميزات الأمان التي يمكن أن تستخدمها المستشفيات وكذلك توقعاتهم في بيئة المستشفى. يجب أن تجعل المستشفيات بدورها نفسها على دراية بتلك الميزات والتوقعات الأمنية. أخيرًا وليس آخرًا ، يحتاج كلاهما إلى التعاون لتمكين التنفيذ الناجح.

كيف تعرف المستشفيات دورها؟

لحسن الحظ ، يمكن للمصنعين أن يسهل على المستشفيات فهم ما يمكنهم فعله لتحسين أمان البيانات الطبية. غالبًا ما تزود الشركات المصنعة للمستخدمين السريريين ومسؤولي النظام بالمعلومات والإرشادات في مستندات مثل بيان الكشف عن الشركة المصنعة لأمن الأجهزة الطبية (MDS2) ، وأدلة التصلب ومواد التوجيه الأمنية الأخرى.

توفر هذه المستندات مخططًا خطوة بخطوة لمقدمي الرعاية الصحية لمتابعة لضمان قيامهم بدورهم لحماية بيانات الأجهزة الطبية من الهجمات الإلكترونية أو غيرها من التدخلات. قد تتضمن الخطوات الموصى بها تقييد الوصول إلى تسجيل الدخول إلى موظفين محددين ؛ تأمين الاتصالات بين الأنظمة عبر تجزئة الشبكة والمنافذ المقيدة ؛ استخدام الشهادات الموثوقة للتحقق من هوية الأجهزة الطبية وأنظمة تلقي البيانات السريرية ؛ والعديد من الإجراءات الأخرى الخاصة بشبكة المستشفى.

دعوة إلى اتخاذ إجراء → اقرأ إرشادات الأمان الموصى بها للمصنعين

تخبر وثائق منتجات الشركات المصنعة وتصلب المستشفيات المستشفيات كيف يمكنهم الاستفادة من ميزات الأمان المدمجة للجهاز الطبي أو البرنامج من أجل توفير استخدام آمن على النحو الأمثل. من المهم مراجعة هذه الأدلة في كل مرة يتم فيها نشر إصدار جديد من المنتج أو البرامج ، لأن عناصر تحكم الأمان المحسّنة قد تتطلب ، على سبيل المثال ، تكوينات التشفير المحدثة أو المفاتيح الخاصة الجديدة.

بالإضافة إلى ذلك ، ليس من غير المألوف بالنسبة لبعض عناصر التحكم في الأمان - مثل من يتطلب الوصول إلى النظام أو ما يجب أن تكون عليه كلمة المرور - للتدهور بمرور الوقت حيث يقوم المستخدمون السريريون بإجراء تغييرات على التكوين أو تغيير متطلبات الوصول. لذلك ، يوصى أيضًا باستخدام هذه الأدلة بشكل منتظم للتحكم في فعالية تكوين الأمان الحالي.

لا يحتاج مجرمو الإنترنت إلى بقعة ضعيفة واحدة فقط للتسلل إلى شبكة لأغراض شائنة. لإحباط نشاطهم ، يحتاج المصنعون والمستشفيات إلى التعاون والتوضيح بشأن أدوار بعضهم البعض والمسؤوليات المشتركة في بيئة بيانات آمنة شاملة.

يوفر Philips الوثائق ، بما في ذلك أدلة تصلب النظام مع الإجراءات الموصى بها ، للمستشفيات التي يجب متابعتها للاستفادة من ميزات الأمان المضمنة في Philips Medical Devices وحلول البرمجيات. تتم مراجعة التوصيات مع كل إصدار جديد من أجهزة Philips أو البرامج ويمكن أن تساعد المستشفيات في اتخاذ الخطوات الصحيحة لتحقيق مسؤوليتها المشتركة عن أمان بيانات الأجهزة الطبية.

للتحقق من أن بيئة أمان الشبكة الخاصة بك تلبي مسؤوليتك المشتركة ، اطلب من مسؤول نظام الأمان التحقق من أدلة التصلب ومستندات الأمان المتوفرة في بوابة عملاء Philips الخاصة بك.

بالإضافة إلى ذلك ، يرجى الاتصال بممثل Philips الخاص بك لمعرفة المزيد حول ميزات تشفير البيانات المحسنة وميزات الأمان المتوفرة في Philips Solutions ، وكيف يمكن لك أنت وفيليبس المساعدة بشكل متبادل في حماية أمن وخصوصية معلومات الصحة الشخصية لمرضاك. معًا ، يمكننا إنشاء فريق رابح لأمن البيانات.

اتصل بنا

Author:

Mr. Yang

بريد إلكتروني:

664270928@qq.com

Phone/WhatsApp:

+86 15869346648

المنتجات الشعبية
صناعة الأخبار
You may also like
Related Categories

البريد الإلكتروني لهذا المورد

الموضوع:
المحمول:
الالكتروني:
رسالة:

Your message must be betwwen 20-8000 characters

  • ارسل السؤال
333
We will contact you immediately

Fill in more information so that we can get in touch with you faster

Privacy statement: Your privacy is very important to Us. Our company promises not to disclose your personal information to any external company with out your explicit permission.

إرسال