カジノサイト

専門家は議会に、追跡の欠如が医療機器のサイバーセキュリティのギャップを生むと語る

4月1日の米国下院公聴会で、医療とサイバーセキュリティの専門家は、これはエイプリルフールの冗談ではないと述べた。医療機器の在庫を追跡する確立されたプロセスが確立されておらず、患者、オペレーター、医療スタッフは、在庫の潜在的なギャップによって悪用される危険にさらされている。.

ペースメーカー、患者モニター、インスリン ポンプなどのデバイスは、毎日命を救っています。医療専門家が患者の治療とケアを行うのに役立つ重要なツールとなっています。しかし、他の多くの最新デバイスと同様に、その多くはネットワークやインターネットに接続されています。

その接続により患者に関する洞察が得られ、治療が改善される可能性がありますが、リスクが生じる可能性もあります。

「私たちの患者は、救命治療を提供するために数百万台の医療機器（その多くは老朽化した機械）に依存しています。したがって、私たちの従来の医療機器のサイバーセキュリティは文字通り生死にかかわる問題となります。」、UCSD ヘルスケア サイバーセキュリティ センターの共同ディレクター。ダメフは4月1日に下院監視・調査小委員会の前で証言した証人の1人だった。

ダメフ氏と他の目撃者によると、これらの従来のデバイスは医療分野全体に広がっています。ただし、国レベルでも地域レベルでも、これらのデバイスを追跡する在庫は存在せず、その全範囲を理解せずにこれらのデバイスのサイバーセキュリティを確保することは困難です。 1 つのモデルで脆弱性が検出された場合、何台のデバイスが使用されているかが不明なままの場合、どうすればすべてのデバイスにパッチを適用できるでしょうか?問題をさらに悪化させているのは、古いデバイスが厳しい予算で運営されている組織やプロバイダーに販売される可能性がある二次市場の慣行です。

「従来の医療機器のサイバーセキュリティに関する真実は、脅威の規模を理解するために必要な基本的な統計の多くが不足しているということです」とダメフ氏は証言の中で付け加えた。 「…現在、私たちには、従来の医療機器がどこにどれだけあるのかを国家規模で判断する能力がありません。」

4 人の専門家は問題への取り組み方についてさまざまな提言を行ったが、食品医薬品局 (FDA) および民間部門によるさらなる行動の必要性を指摘した。

証人らは、近年FDAがこれらの機器に関するサイバーセキュリティを改善しており、病院のリソースや患者との関係をさらに圧迫するランサムウェア攻撃などのサイバー攻撃が増加していることを認めた一方で、医療機器に関するサイバーセキュリティの取り組みを改善するよう、FDAや他の医療機関にさらなる圧力をかけるよう求めた。

ダメフ氏は、デバイスと資産の可視性を高めるよう呼びかけ、扶養家族とリスクをマッピングする保健分野調整評議会(HSCC)の試みを賞賛した。 HSCC は現在、医療提供者、医療 IT、保険会社、公衆衛生機関、製薬会社や医療技術会社に頼ってこれらの要素をマッピングしており、「これらの重要な機能と資産、それらの接続ポイントと依存関係、合併と買収による関連する集中リスク、および医療提供に対する相対的なリスク…それらの機能が中断された場合に生じる可能性のあるものを特定する」HSCC エグゼクティブ ディレクター、グレッグ ガルシア。

ケビン・フー、ノースイースタン大学工学部教授FDA がサイバーセキュリティの専門知識を拡大すること。従来の医療機器には、すべてのソフトウェア コンポーネントを追跡するためのソフトウェア部品表 (SBOM) を含める必要があり、これによりサイバーセキュリティへの対応が向上する可能性があります。そして同庁は、デバイスのセキュリティとそれが病院にどのような影響を与えるかを分析して判断する全国規模の試験施設を育成することを求めた。

ミシェル・ジャンプ、MedSec LLC CEO、FDA は医療機器メーカーに対する検査を活用し、サイバーセキュリティの推奨事項を確実に満たすよう圧力をかける可能性がある。

どのように米国省宛、FDA、国立衛生研究所はこのリスクに影響を与える可能性があります。