x

扫描关注“远东医视界“订阅号

他山之石
医疗设备软件管理漏洞,使得病人及病人数据面临危险

医疗设备软件管理漏洞,使得病人及病人数据面临危险
美国紧急医疗研究机构(Emergency Care Research Institute, ECRI)——2017年十大医疗技术危害之六

医疗设备软件管理不充分容易造成安全警报延迟等情况,而网络安全的漏洞如果被恶意利用,也会对病人安全造成影响。为了解决这个危害,医疗机构应该验证其计算机化维护管理系统(Computerized Maintenance Management System, CMMS)可以有效追踪医疗设备和系统软件版本的能力。另外,在计算机化维护管理系统中应例行性的将设备现在及旧有的软件版本信息保存下来。

医疗设备软件管理的常见问题

1. 对于医疗机构来说,医疗设备软件管理中最具挑战的工作,是维持医疗设施设备的软件始终是最新版本,并做到资料可被持续更新且易于被检索。

2. 有些设备无法追踪软件的全部信息,而且对有效的管理对软件更新及纠正措施都准备不足。

3. 对软件更新和设备警报的管理不到位,会影响病人的照护质量以及病人和员工的安全,例如:
     a) 导致停机或以其他方式影响医疗设备和互连系统的性能。
     b) 延迟识别和实现关键软件更新,包括那些处理安全问题的更新。
     c) 允许网络安全漏洞持续存在,可能导致数据丢失、被盗或无法访问。

4. ECRI在收集的事件和灾害信息中,已经注意到许多事件是由上述问题而导致病人的伤害或潜在的伤害。

ECRI机构的建议:

1. 评估计算机化维护管理系统(CMMS)能提供有效追踪医疗设备和系统版本信息的能力。CMMS软件功能应该:
     a) 可以使用包括软件版本字句来追踪软件版本。
     b) 提供一个附加相关信息记录的方式,比如设备网络地址或其操作系统。
     c) 允许系统修改或创建字句来满足他们的需求。
     d) 允许客制化的工作流程和步骤,以支持未来的成长及扩充程序。
     e) 能够对应支持那些因软件或操作系统升级而受影响的相关设备。

2. 如果当前的设备所使用的计算机化维护管理系统(CMMS),不能满足软件追踪的需求,考虑用一个更适合你设备的计算机维护管理系统(CMMS)来替换它。

3. 在数据资料库里记录临床设备和那些直接与医疗设备连接的医疗信息系统的软件版本信息。必要时协调临床工程和信息工作,比如内部互联系统;依赖映射的网络管理可以简化这个过程。

4. 对于新买的设备和系统,在设备或系统被执行之前记录软件版本信息,比如验收检查时。

5. 对于正在使用的设备:
     a) 制定一个计划,包括准确的目标和完成日期,为了:
       (1)设备和系统的软件版本应该普遍的记录在您的计算机化维护管理系统(CMMS)内。优先考虑以下设备:
                (a)联网设备。
                (b)生命支持类设备。
                (c)其他高风险设备。(一个故障就会对患者造成危害的高风险设备)
       (2)持续验证正确的软件版本被记录在数据库中,例如,可以在每个设备做检查和维护保养时进行检查验证。
     b) 考虑每年对每个设备型号的软件更新进行可用性和可取性调查,或根据设备制造商的通知(例如,对现场校正)进行调查。
       (1)确认软件或操作系统升级是否是有用的,以及这些更新是打算如何完成的。
       (2)在单一个别基础上,确定是否应将每个更新应用于设备清单中的设备。
       (3)形成一个计划:应用适当的升级在合适的设备上。
       (4)在计算机维护管理系统(CMMS)上记录所有异动

背景:
1. 医疗设备和医疗信息设备的软件更新往往被预期用来:
     a) 提高设备功能,比如通过用户界面或工作流程来增强
     b) 使用新的功能来提高设备效能或安全
     c) 修补设备软件漏洞,包括解决病人的安全隐患和网络安全缺陷

2. 追踪软件版本允许设备管理达成:
     a) 软件更新的跟踪实现
     b) 识别警报或召回受影响的设备
     c) 评估管理软件更新的负担
     d) 监控连接系统的兼容性
     e) 与设备制造商讨论软件更新如何影响连接设备,以及制造商是否建议使用者需更新培训。

3. 许多设备现在有执行一些级别的软件版本追踪,但是它们缺乏在更广泛的基础上有一个正式的程序或者合适的软件去处理这些事。

4. 软件追踪和软件更新,在临床工程和信息部门间协调失败,会导致设备故障给患者造成潜在危害。例如,Windows 10 的升级可能会导致医疗设备的故障。

5. 在2014年的前十大医疗技术危害中的第七条,ECRI机构讨论了执行一个对升级或变更网络设施和系统的有效管理办法。保持一个完整又准确的设备清单和软件版本,是这个过程中的一个基础。在这个报导中关键的建议包括:
     a) 提高临床工程部门和信息部门员工的协调。临床设施和系统会是越来越多的网络工作;这样一来,信息或临床工程都不能单独进行更新工作。
     b) 维护在线(接口)上设备/系统的清单。
     c) 在一个可控环境中测试并验证变化。

 

转载自Top 10 Health Technology Hazards for 2017,ECRI Institute

翻译:上海宏信医院管理有限公司  赵凌珺