今年1月，衛生和公共衛生部門協調委員會(Healthcare & Public Health Sector Coordinating council)發布了一份報告，詳細闡述了改善醫療設備安全性的必要性。

利用醫療設備作為攻擊載體的成功網絡事件，讓人們認清了現實。在美國的一個例子中，一臺聯網的便攜式x光機被感染，并通過整個企業網絡傳播。它花了大約16個月的時間徹底根除了惡意軟件。

雖然醫療設備安全是整體安全的重要組成部分，但它常常被排在行動計劃的最后。從歷史上看，醫療設備的安全一直掌握在制造商手中，他們經常聲稱，如果不違反FDA的規定或經過艱難的審批，他們就無法更新自己的軟件。盡管這是事實，但監管機構、制造商和醫療行業領袖最近的努力已開始顯示出這方面取得進展的跡象。

與此同時，醫療IT領導者能做些什么來確保醫療設備的安全呢?以下是每個醫療機構都應該立即采取的三個基本步驟。

1. 連接信息技術和臨床工程。

在一些醫療組織中，IT和臨床工程(CE)的領導是一個角色。這可能是一個副總裁或董事，但在某個層次上，這兩個部門需要統一的領導，以確保它們以協調的方式工作。連接和交互使用。雖然IT和CE的目標不同，但它們是一致的。它知道系統和安全;CE了解醫療器械和相關法規要求。對于大多數IT人員來說，CE是一個陌生的世界，但它是可知的。例如，當您有一個IT VP或主管來促進關于醫療設備網絡劃分的討論時，IT和CE必須一起找出細節。盡管IT領導者一開始可能難以理解醫療設備的世界，但這是一項有趣且有價值的工作，將為簡化通信和更有效的安全風險管理帶來回報。

2. 庫存網絡連接的設備。

您的CE領導應該對組織中的醫療設備有一個準確的清單，并且該數據應該包括該設備是否聯網。如果數據不存在，那么這應該是您的優先級。根據醫療器械的類別，相對容易發現。例如，您的CE主管將知道您的藥物泵是否在網絡上(可能是)，或者您的主動脈內氣囊泵是否啟用網絡(這取決于)，或者您的CT或MRI機器是否連接(可能是)。有了這些數據，您就可以開始開發您的安全計劃了。從最簡單的開始(像CT和MRI這樣的固定設備)，然后按照你的方式進行下去。或者，從你認為風險最高的設備開始。關鍵是制定一個計劃，然后開始工作。

3.在隔離網絡上分割醫療設備。

由于您不太可能在大多數醫療設備上運行任何類型的保護軟件(反病毒、反惡意軟件等)，您必須通過防火墻、網絡分割、白名單、網絡監控等來保護它們。你可以做很多非侵入性的事情，但是不要采取任何行動，除非你已經和CE負責人徹底檢查過了，并且在病人不會受到任何故障影響的時候做了測試。例如，你想保護你的x光機和CT機。在凌晨1點測試您的解決方案。在你通知x光和CT檢查負責人后的周日。這聽起來可能非常謹慎，但你不能提出可能影響病人護理的問題。如果正在處理某個病例，并且網絡更改導致機器重新啟動，則可能會導致延遲患者治療的問題。重要的是要記住，理所當然的事情必須在醫療環境中得到更多的關注。在做出任何可能影響病人護理的改變之前，確保你已經計劃和測試了。

FDA和制造商繼續解決這一問題的同時，你可以采取一些積極的措施來提高醫療設備的安全性。它可能并不完美，但信息安全是一個不斷發展的領域，沒有完美的狀態，只有不斷的改進。                

來源：Susan Snedaker