Cybersicherheit
Eine zentrale Priorität innerhalb des Patientenüberwachung-Netzwerks von Mindray
Die Digitalisierung des Gesundheitswesens hält weltweit an, ohne dass es Anzeichen für eine Abschwächung gäbe. Von elektronischen Krankenakten (EMRs) bis zu Millionen verbundener Medizingeräte: Die Menge der Patientendaten steigt exponentiell an. Ein solches quantitatives wie qualitatives Wachstum der Datenübertragung bedeutet auch eine größere Verwundbarkeit gegenüber Cyberkriminellen. Im Ergebnis gewinnt das Thema der Cybersicherheit im Gesundheitswesen immer mehr an Bedeutung.
Um die Sicherheit von Krankenhausdaten gewährleisten zu können, müssen bei der Entwicklung, Implementierung und Testung von Medizingeräten für die Datenübertragung und ‑speicherung höhere Standards gelten. Zudem müssen sie ordnungsgemäß installiert, konfiguriert, gewartet und betrieben werden. Als aktives Mitglied der medizinischen Community ist Mindray stets bemüht, seinen Kunden bei der Verbesserung der Sicherheit ihrer Patientendaten bei Aufrechterhaltung der hohen Sichtbarkeit der Daten für das Gesundheitspersonal behilflich zu sein.
Um Cybersicherheitsrisiken proaktiv zu begegnen und bei der Einführung und Umsetzung entsprechender Strategien und Taktiken behilflich zu sein, baut Mindray vertrauensvolle Partnerschaften zu seinen Kunden auf. Cybersicherheit und PHI (Geschützte Gesundheitsdaten) bilden weiterhin den Schwerpunkt von Mindrays Lösung für die Patientenüberwachung.
Mindrays Cybersicherheitsstrategie beruht auf der Idee der tief stehenden Verteidigung und wird in Bezug auf die folgenden drei Aspekte umgesetzt: Endpunktesicherheit, Patientenbezogener Datenschutz und Sicherheitsorientierte Produktentwicklung.
Endpunktesicherheit
Endpunktesicherheit zielt auf die Minimierung der Bedrohungen durch unerlaubtes Zugreifen auf die vielen relevanten Geräte wie Laptops, Workstations, mobile und am Krankenbett installierte Medizingeräte.
Segmentierung des Netzwerks, Eliminierung unnötiger Verbindungen und Beschränkung des Zugangs zu Übertragungen über das Netzwerk. Kern der Endpunktesicherheit von Mindray ist jedoch das Abschließen und Sichern jener Medizingeräte.
Patientenbezogener Datenschutz
Der von Mindray verfolgte Ansatz zum PII-Schutz umfasst die sichere Verschlüsselung, das Passwortmanagement und die sichere Löschung von Daten.
- Steuerung des Nutzerzugangs
- Individualisierte Bildschirm- und Berichtskonfigurationen zur Förderung des Patientenvertrauens.
- Protokole ohne PII oder verschlüsselte Protokolle zwecks Schutz der Patientendaten.
Diese Strategien haben sich bei der Sicherung des patientenbezogenen Datenschutzes als wirksam erwiesen.
Sicherheitsorientierte Produktentwicklung
Risikomanagement, Sicherheitsdesignpraktiken und Sicherheitscodeanalyse erfolgen bereits in der Phase der Produktentwicklung. Strenge Tests wie Fuzz testing und Penetrationstestung zur Identifizierung sowohl von Verwundbarkeiten wie Stärken innerhalb einer Softwareanwendung oder eines Systems.
Die sicherheitsorientierte Produktentwicklung setzt sich auch nach der Markteinführung des Produktes noch fort; denn Mindray erstellt unablässig Patches und Sicherheits-Updates, um die Produktsicherheit im Zeitverlauf zu gewährleisten.
Mindrays Cybersicherheitsempfehlungen
Mindray verfügt über einen kontinuierlichen Verbesserungsprozess, bei dem die Auswirkungen aller Microsoft-Windows-Programme monatlich bewertet werden. Die Freigabe eines validierten Patches erfolgt in der Regel innerhalb von zwei Wochen nach dessen Veröffentlichung.
Wir haben validiert, dass die Mindray-Produkte der letzten Version mit den geltenden und auf das Betriebssystem angewandten Patches gemäß der Spezifikation funktionieren. Es wird empfohlen, die jeweiligen, in der Tabelle definierten Patches auf den betroffenen Mindray-Produkten zu installieren.
Es folgen die technischen Anmerkungen von Sicherheits-Patches für Mindray-Produkte, welche auf Windows laufen. Auch für wichtige Systemvulnerabilitäten gilt, dass Mindray die Wirkung auf den Produkten bewertet, um daraufhin eine entsprechende Mitteilung herauszugeben und dazugehörige Lösungen zu veröffentlichen.