USA
Food and Drug Administration i förra veckan tog ett steg mot att möta hotet sakernas Internet innebär för patienter och deras data genom att släppa vissa av de föreslagna riktlinjer för hantering av it-säkerhet i medicintekniska produkter.
“Ett växande antal medicinska enheter är utformade för att användas i nätverk för att underlätta patientens vård. Nätverk medicintekniska produkter, som andra nätverksanslutna datorn system, innehåller programvara som kan vara utsatta för it hot”, FDA säger i sitt förslag.
“Utnyttjande av sårbarheter kan utgöra en risk för att säkerheten och effektiviteten av medicinsk utrustning och normalt kräver löpande underhåll under produktens hela livscykel för att säkerställa en tillräcklig grad av skydd mot sådana bedrifter,” byrån anteckningar.
“Proaktivt hantera it-risker i medicinska enheter minskar patientsäkerheten inverkan och den övergripande risken för folkhälsan”, står det.
Riktlinjerna ger bästa praxis för att bedöma, sanera och rapportering av it-säkerhet sårbarheter i medicintekniska produkter.
Intressenter har 90 dagar på sig att lämna synpunkter till FDA på de föreslagna riktlinjerna innan de är klara.
En IoT Första
“FDA är att gratulera eftersom detta är första gången som någon är att erkänna den risk som är förknippad med Internet of Things”, sade Torsten George, vice vd för global marknadsföring på
RiskSense.
Byrån är att höja säkerheten bar för medicinsk enhet beslutsfattare, sade Lee Kim, chef för sekretess och säkerhet vid
Hälso-och Informations-och ledningssystem för Samhället.
“Jag tror att det ger några garantier för hälso-och sjukvården, men de måste söka sina nät för sårbarheter, också,” sade hon till TechNewsWorld. “De vårdgivare kan inte blunda för detta heller.”
De riktlinjer är särskilt viktiga för hälso-och sjukvård DET är mycket compliance-orienterade, konstaterade Chris Wysopal, CTO på
Veracode.
“Om en reglerande myndigheten inte har något att säga, organisationer tror att de inte behöver göra något eftersom de inte ta en risk-baserade strategi, finansiella service företag eller tillverkare gör när de försöker att skydda sitt varumärke eller intellektuell egendom”, sade han TechNewsWorld.
Riktlinjer Med Tänder
Medan FDA drag är bra, riktlinjer endast är rekommendationer om hur man beter sig. Medicinsk enhet beslutsfattare kan ignorera dem utan att behöva oroa dig för straff-ännu.
“Det är inga böter har nämnt ännu, men de kunde komma,” RiskSense George berättade TechNewsWorld.
Konkurrensen skulle också kunna spela en roll i knuffande enhet beslutsfattare att följa riktlinjerna.
“Det finns så många medicinska enheter ute och så mycket konkurrens som en särskiljande faktor skulle kunna bli enlighet med dessa riktlinjer,” HIMSS Kim sa.
Riktlinjerna kan ge foder för eventuella rättsliga åtgärder mot enhet beslutsfattare.
“Domstolarna är mycket stränga när det gäller cybersäkerhet. Om du inte följer bästa praxis i dessa dagar, domstolarna lutar mot konsumenter och slutanvändare när de gör sina bedömningar,” George noteras.
“Det finns potential att vissa jurister tittar på detta skulle använda dessa riktlinjer för att fastställa vårdslöshet i ett tvistemål,” sade Kim. “Det juridiska påtryckningar kan vara en drivkraft för tillverkare av medicintekniska produkter för att stötta upp sina säkerhetsrutiner.”
Mer Oro Över Brister App
Hälso-och IT-chefer inte verkar dela FDA ökad oro över riskerna med medicintekniska produkter utgör till patienter och deras uppgifter, enligt en undersökning som släpptes i förra veckan Veracode och HIMSS.
Undersökningen, som var en del av Veracode är “State of Webb och Mobila Applikation Säkerhet i Hälso-och sjukvård” rapporten visade att endast 7 procent av de 200 deltagande hälso-och IT-chefer som placeras osäkerhet om IoT-enheter-såsom medicinsk utrustning, POS-enheter, skrivare och fastighetsautomation — på deras lista över top säkerhetshot.
Vad de flesta berörda chefer var cyberattackers att utnyttja sårbarheter i program (28 procent), följt av phishing-attacker på anställda, slarviga anställda och insiders (26 procent).
Rädslan över sårbarheter höjs med goda skäl.
“Data från faktiska kod-nivå analys av miljarder rader kod som utförs av Veracode visar att 80 procent av hälso-program uppvisar kryptografiska frågor såsom svag algoritmer vid den initiala bedömningen. Med tanke på den stora mängd av känsliga uppgifter som samlas in av hälso-och sjukvård organisationer, detta är ganska rörande,” i rapporten konstateras.
“Dessutom, hälso-och sjukvård som är värre än de allra flesta andra branscher när det gäller att ta itu med sanering med endast 43 procent av kända sårbarheter är sanerade,” det fortsatt.
Hälso-och sjukvård organisationer bör testa medicinsk utrustning de använder och håller leverantörer ansvar för luckor i säkerheten, rapporten rekommenderar.
“Många medicinska enheter, inklusive mr skannrar, X-ray maskiner och drog infusion pumpar, är utsatta för dataintrång, skapa betydande hälsorisker för patienter,” i rapporten konstateras.
Brott Dagbok
- Jan. 18. Softpedia rapporter bekräftelse av ett dataintrång som äventyras en databas över 6 miljoner Nexus Mods användarkonton. Nexus Mods är de största gaming mods databas på Internet.
- Jan. 18. New West Hälsa Services-rapporter stöld av en bärbar dator och som innehåller personuppgifter för nuvarande eller tidigare kunder. De brott som enligt uppgift skulle kunna påverka 25 000 personer. Men företaget säger att det finns inga bevis för att de uppgifter som har använts eller används.
- Jan. 19. Säkerhet forskaren Chris Vickery rapporter om att en databas som innehåller den privata konto information 325 000 Earbits användare som exponeras på Internet för en okänd tid.
- Jan. 20. FACC meddelar att det uppstår US$55 miljoner i skadestånd när dess finansiella ekonomiavdelningen var målet för cyberfraud.
- Jan. 20. SplashData släpper årliga lista över värre lösenord. Dess analys av mer än 2 miljoner läckta lösenord 2015 visar att de mest använda lösenord “lösenord”, följt av 123456 och 12345678.
- Jan. 20. En distribuerad denial-of-service-attack stör webbplats för Irlands Nationella Lotteriet i två timmar.
- Jan. 20. Studenter på Virginia Tech University framställning förvaltningen att ta bort två-faktor autentisering krav för vissa områden eftersom det är ett “jobbigt.”
- Jan. 21. Kantar Worldpanel Comtech rapporter TalkTalk, som har drabbats av ett stort dataintrång i förra årets fjärde kvartalet, tappade 7 procent av sina kunder och 4,4 procent av sin marknadsandel under den perioden.
- Jan. 21. Irländska Dator Samhället släpper en enkät som finns med 55 procent av den Irländska företag har sett sina uppgifter stulna, hackade eller på annat sätt äventyras under det senaste året till stor del på grund av oaktsamhet anställda.”
- Jan. 22. Obama-administrationen meddelar att de har bett Försvarsdepartementet för att utforma, bygga och driva ett nytt datasystem för lagring och bearbetning av personlig information för federal anställda, underleverantörer och andra. Enligt nyhetsrapporter, flytta är ett svar på den massiva dataintrång på Kontoret för personaladministration förra året.
- Jan. 22. University of Virginia meddelar att ett dataintrång sina mänskliga resurser-system har utsatts information om skatter för 1 400 anställda och en insättning direkt bank information för 40 andra.
- Jan. 22. Irländska regeringen webbplatser avkastning på nätet efter att DDoS-attack tog dem offline.
- Jan. 22. Northwest Territories Makt skickar brev till en hemlig antal kunder för att informera dem om att deras personliga information skickades av misstag till en kund i en e-postbilaga. Företaget säger att kunden inte öppna e-posten och har undertecknat ett sekretessavtal.
Kommande Evenemang Säkerhet
- Jan. 28. Förståelse Malware Laterala Spridningen Används i Hög Värde-Attacker. Klockan ET. Webinar sponsras av Cyphort. Gratis vid registrering.
- Jan. 28. Tillstånd Phish — En 360-Graders Utsikt. 1 p.m. ET. Webinar sponsrad sponsrad av Wombat Säkerhet Teknik. Gratis vid registrering.
- Jan. 28. Cybersäkerhet Prognos: Vad som finns på Horisonten. 2 p.m. ET. Webinar sponsras av Kaspersky Lab. Gratis vid registrering.
- Feb. 3. Att bygga en IT-Säkerhet Medvetenhet Program Som Verkligen Fungerar. 2 p.m. ET. InformationWeek DarkReading webinar. Gratis vid registrering.
- Feb. 4. 2016 årlig Global Infrastructure Security Update. Klockan 11 ET. Webinar sponsras av Arbor Networks. Gratis vid registrering.
- Feb. 5-6. B-Sidor Huntsville. Dynetics, 1004 Explorer Blvd., Huntsville, Alabama. Kostnadsfri.
- Feb. 9. Börja Med Säkerhet. University of Washington Law School, 4293 Memorial Sätt NE, Seattle. Sponsrade av Federal Trade Commission. Kostnadsfri.
- Feb. 11. SecureWorld Charlotte. Charlotte Convention Center, 501 Söder College St, Charlotte, North Carolina. Anmälan: konferensen passera, $195; SecureWorld Plus $625; utställningar och öppna sessioner, $30.
- Feb. 11. Data Brott & Sekretess Litigation Konferens. Julia Morgan Ballroom, 465 California St, San Francisco. Registrering: advokater och företag, $795; rättegångar tjänsteleverantör, sek 1,195; advokatbyrå assistent, $375, juridiska marknadsföring deltagare, $595.
- Feb. 11-12. Kostymer och Spooks DC. National Press Club, 529 14 St NW, Washington, D.C. Registrering: $599; staten och den akademiska världen, $499.
- Feb. 16. Utformning av den Heliga Graal av nätverkssäkerhet. 1 p.m. ET. Webinar sponsras av Spikar Säkerhet. Gratis vid registrering.
- Feb. 17. Stoppa Kränkningar på Omkretsen: Strategier för passerkontroll. 1 p.m. ET. Webinar sponsras av 451 Forskning och SecureAuth. Gratis vid registrering.
- Feb. 20. B-Sidor Seattle. Den Commons Mixer Byggnad, 15255 NE 40 St, Redmond, Washington, usa. Biljetter: deltagare, $15 plus $1.37 avgift, en super awesome givare deltagare, $100 plus $3.49 avgift.
- Feb. 28-29. B-Sidor Och San Francisco. DNA Lounge, 375 11 St, San Francisco. Registrering: $25.
- Feb. 29-4 Mars. RSA USA 2016. Moscone Center, 747 Howard St, San Francisco. Registrering: hela konferensen passera innan Jan. 30, $1,895; före Feb. 27, $2,295; efter Februari. 26, $2,595.
- Feb. 29-4 Mars. HIMSS16. Sands Expo och Convention Center, Las Vegas. Anmälan: innan Februari. 3, $865; efter Februari. 2, $1,165.
- Mars 10-11. B-Sidor och SLC. Salt Palace Convention Center, 90 South West Temple, Salt Lake City. Registrering: $65.
- Den 18 mars. Gartner Identity and Access Management Summit. London. Anmälan: före Jan 23, 2,225 euro plus MOMS, efter Jan. 22, 2,550 euro plus MOMS. offentliga sektorn. Sek 1,950 plus MOMS.
- Mars 29-30. SecureWorld Boston. Hynes Convention Center, Exhibit Hall D. Anmälan: konferensen passera, $325; SecureWorld Plus $725; utställningar och öppna sessioner, $30.
- Juni 13-16. Gartner Security & Risk Management Summit. Gaylord National Resort & Convention Center, 201 Vattnet St, National Harbor, Maryland. Anmälan: före den 16 April sek 2,950; efter 15 April, $3,150; offentlig sektor, $2,595.
