今年1月，衛(wèi)生和公共衛(wèi)生部門協(xié)調(diào)委員會(Healthcare & Public Health Sector Coordinating council)發(fā)布了一份報(bào)告，詳細(xì)闡述了改善醫(yī)療設(shè)備安全性的必要性。

利用醫(yī)療設(shè)備作為攻擊載體的成功網(wǎng)絡(luò)事件，讓人們認(rèn)清了現(xiàn)實(shí)。在美國的一個例子中，一臺聯(lián)網(wǎng)的便攜式x光機(jī)被感染，并通過整個企業(yè)網(wǎng)絡(luò)傳播。它花了大約16個月的時間徹底根除了惡意軟件。

雖然醫(yī)療設(shè)備安全是整體安全的重要組成部分，但它常常被排在行動計(jì)劃的最后。從歷史上看，醫(yī)療設(shè)備的安全一直掌握在制造商手中，他們經(jīng)常聲稱，如果不違反FDA的規(guī)定或經(jīng)過艱難的審批，他們就無法更新自己的軟件。盡管這是事實(shí)，但監(jiān)管機(jī)構(gòu)、制造商和醫(yī)療行業(yè)領(lǐng)袖最近的努力已開始顯示出這方面取得進(jìn)展的跡象。

與此同時，醫(yī)療IT領(lǐng)導(dǎo)者能做些什么來確保醫(yī)療設(shè)備的安全呢?以下是每個醫(yī)療機(jī)構(gòu)都應(yīng)該立即采取的三個基本步驟。

1. 連接信息技術(shù)和臨床工程。

在一些醫(yī)療組織中，IT和臨床工程(CE)的領(lǐng)導(dǎo)是一個角色。這可能是一個副總裁或董事，但在某個層次上，這兩個部門需要統(tǒng)一的領(lǐng)導(dǎo)，以確保它們以協(xié)調(diào)的方式工作。連接和交互使用。雖然IT和CE的目標(biāo)不同，但它們是一致的。它知道系統(tǒng)和安全;CE了解醫(yī)療器械和相關(guān)法規(guī)要求。對于大多數(shù)IT人員來說，CE是一個陌生的世界，但它是可知的。例如，當(dāng)您有一個IT VP或主管來促進(jìn)關(guān)于醫(yī)療設(shè)備網(wǎng)絡(luò)劃分的討論時，IT和CE必須一起找出細(xì)節(jié)。盡管IT領(lǐng)導(dǎo)者一開始可能難以理解醫(yī)療設(shè)備的世界，但這是一項(xiàng)有趣且有價值的工作，將為簡化通信和更有效的安全風(fēng)險(xiǎn)管理帶來回報(bào)。

2. 庫存網(wǎng)絡(luò)連接的設(shè)備。

您的CE領(lǐng)導(dǎo)應(yīng)該對組織中的醫(yī)療設(shè)備有一個準(zhǔn)確的清單，并且該數(shù)據(jù)應(yīng)該包括該設(shè)備是否聯(lián)網(wǎng)。如果數(shù)據(jù)不存在，那么這應(yīng)該是您的優(yōu)先級。根據(jù)醫(yī)療器械的類別，相對容易發(fā)現(xiàn)。例如，您的CE主管將知道您的藥物泵是否在網(wǎng)絡(luò)上(可能是)，或者您的主動脈內(nèi)氣囊泵是否啟用網(wǎng)絡(luò)(這取決于)，或者您的CT或MRI機(jī)器是否連接(可能是)。有了這些數(shù)據(jù)，您就可以開始開發(fā)您的安全計(jì)劃了。從最簡單的開始(像CT和MRI這樣的固定設(shè)備)，然后按照你的方式進(jìn)行下去。或者，從你認(rèn)為風(fēng)險(xiǎn)最高的設(shè)備開始。關(guān)鍵是制定一個計(jì)劃，然后開始工作。

3.在隔離網(wǎng)絡(luò)上分割醫(yī)療設(shè)備。

由于您不太可能在大多數(shù)醫(yī)療設(shè)備上運(yùn)行任何類型的保護(hù)軟件(反病毒、反惡意軟件等)，您必須通過防火墻、網(wǎng)絡(luò)分割、白名單、網(wǎng)絡(luò)監(jiān)控等來保護(hù)它們。你可以做很多非侵入性的事情，但是不要采取任何行動，除非你已經(jīng)和CE負(fù)責(zé)人徹底檢查過了，并且在病人不會受到任何故障影響的時候做了測試。例如，你想保護(hù)你的x光機(jī)和CT機(jī)。在凌晨1點(diǎn)測試您的解決方案。在你通知x光和CT檢查負(fù)責(zé)人后的周日。這聽起來可能非常謹(jǐn)慎，但你不能提出可能影響病人護(hù)理的問題。如果正在處理某個病例，并且網(wǎng)絡(luò)更改導(dǎo)致機(jī)器重新啟動，則可能會導(dǎo)致延遲患者治療的問題。重要的是要記住，理所當(dāng)然的事情必須在醫(yī)療環(huán)境中得到更多的關(guān)注。在做出任何可能影響病人護(hù)理的改變之前，確保你已經(jīng)計(jì)劃和測試了。

FDA和制造商繼續(xù)解決這一問題的同時，你可以采取一些積極的措施來提高醫(yī)療設(shè)備的安全性。它可能并不完美，但信息安全是一個不斷發(fā)展的領(lǐng)域，沒有完美的狀態(tài)，只有不斷的改進(jìn)。                

來源：Susan Snedaker