DISPOSITIVO Y PROCEDIMIENTO PARA LA PROTECCIÓN DE UN APARATO MÉDICO Y DE UN PACIENTE TRATADO CON DICHO APARATO, CONTRA INFLUENCIAS PELIGROSAS PROCEDENTES DE UNA RED DE COMUNICACIONES.
Dispositivo (9; 34; 37) par la interacción con un aparato médico (10) que es adecuado para conexión en una red de comunicaciones(11) que comprende como mínimo una zona no segura (11b) y una zona segura (11a) en el lado del dispositivo,
que de manera que el aparato (9) comprende medios de transmisión (12; 44, 45) para transmitir paquetes de comunicación hacia y desde del aparato médico (10) por medio de la red de comunicaciones (11), que comprende medios de monitorización (13; 42, 43) para monitorizar el estado de la conexión del aparato (10) a la red (11) y que comprende medios de interrupción (14; 40, 41) para la interrupción de la conexión existente entre el área segura (11a) y el área no segura (11b) de la red (11) en caso de que, durante el procedo de monitorización se detecta un estado de la conexión a la red que presente riesgo para un paciente tratado con el aparato (10) o en cuanto al funcionamiento correcto el aparato (10), en el que el dispositivo comprende como mínimo dos canales separados (38, 39), cada uno con sus propios medios de transmisión (12; 44, 45), medios de monitorización (13; 42, 43) y de interrupción (14; 40, 41), caracterizado porque cada uno de los canales puede monitorizarse asimismo y también al otro canal independientemente y se puede separar del área no segura (11b) de la red de comunicaciones (11) cuando se detecta una situación de la conexión a la red que presenta riesgo para el paciente o para el funcionamiento correcto del aparato
Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E07109289.
Solicitante: B. BRAUN MELSUNGEN AG.
Nacionalidad solicitante: Alemania.
Dirección: Carl-Braun-Strasse 1 34212 Melsungen.
Inventor/es: Steinkogler,Alexander,Dr. , Lauer,Hans-Martin , Preus,Niko.
Fecha de Publicación: .
Fecha Solicitud PCT: 31 de Mayo de 2007.
Clasificación Internacional de Patentes:
- G06F19/00M3F
Clasificación PCT:
- G06F19/00
- H04L29/06 ELECTRICIDAD. › H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizadas por un protocolo.
Países PCT: Austria, Bélgica, Suiza, Alemania, Dinamarca, España, Francia, Reino Unido, Grecia, Italia, Liechtensein, Luxemburgo, Países Bajos, Suecia, Mónaco, Portugal, Irlanda, Eslovenia, Finlandia, Rumania, Chipre, Lituania, Letonia, Ex República Yugoslava de Macedonia, Albania.
Fragmento de la descripción:
La presente invención se refiere a un dispositivo para su integración en un aparato médico, el cual 5 es apropiado para su conexión en una red de comunicaciones que presenta, como mínimo, una zona no segura y también, en el lado que corresponde al aparato, una zona segura. Además, la presente invención se refiere a un aparato médico el cual es apropiado para su conexión en una red de comunicaciones que tiene, como mínimo, una zona no segura y, en el lado que corresponde al aparato una zona segura, así como a un sistema médico con múltiples aparatos médicos o aparatos parciales del tipo mencionado. 10 Además, la invención se refiere a un procedimiento para el control de un dispositivo correspondiente para su integración en un aparato médico.
En el campo médico, la mayor parte de los aparatos han sido concebidos en el pasado en forma de aparatos autónomos. No obstante, en la actualidad, una proporción creciente de dichos aparatos están conectados a redes de comunicaciones. La razón de ello consiste parcialmente en una mayor conciencia 15 en cuanto a costes en los aparatos médicos, en la mejora de los procesos utilizados, el almacenamiento parcialmente central de datos y, por lo tanto, la necesidad de utilización de redes de comunicaciones y también la creciente complejidad de los aparatos médicos, que hacen que su realización con su propio sistema de ordenador no se pueda realizar o que sea muy costoso. Por esta razón, los aparatos médicos individuales complejos son, de hecho, sistemas que se basan en una serie de subsistemas de ordenador 20 propios, los cuales están unidos entre sí mediante una red de comunicaciones y que colaboran conjuntamente a la funcionalidad general del aparato médico. Por otra parte, se conocen muchos sistemas compuestos de aparatos médicos individuales que consiguen una funcionalidad conjunta solamente por la interacción de los aparatos médicos individuales contenidos en el sistema, cuya funcionalidad no se podría conseguir por los aparatos individuales. Por esta razón, estos sistemas constituyen aparatos médicos, 25 incluso aparatos médicos que presentan una complejidad más elevada que los subsistemas/aparatos médicos que contienen. Por ejemplo, en el campo de las bombas de infusiones, se puede conseguir un valor adicional sensible cuando se pueden reunir bombas en un sistema de bombas conjunto dentro del cual las bombas comunican entre sí. Cuando este sistema de bombas puede comunicar con el entorno, posibilita la transmisión de datos de las infusiones que se producen por el sistema de bombas en los 30 pacientes atendidos mediante las infusiones, hacia un sistema de información hospitalario. En este caso, es posible el considerar el sistema de bombas de infusiones como un aparato médico en el sentido que se describe en la presente invención.
También se observa en los últimos años, a causa de la reducción de costes, un traslado creciente de pacientes desde los cuidados estacionarios a cuidados ambulantes que, no obstante, solamente pueden 35 conducir a una reducción de los costes cuando los datos médicos que se generan pueden ser transmitidos con el objeto de análisis y evaluación a la instalación médica correspondiente de manera rápida y eficaz. Esto tiene lugar también de manera creciente con ayuda de redes de comunicaciones.
En este contexto aparecen, no obstante, una serie de dificultades y fuentes de peligros que aumentan la importancia de una elevada seguridad, especialmente por el tratamiento de pacientes o en el 40 servicio de aparatos médicos. Mediante la utilización de redes de comunicaciones en este campo se produce, por lo tanto, un nuevo tipo de peligro para los pacientes, o bien para los operadores de los aparatos médicos. Es posible que, mediante la interacción que se produce por la red de comunicaciones, el aparato médico sufra alteraciones de tipo tal que puedan conducir a poner en peligro al paciente objeto de tratamiento o a un fallo de las funciones del aparato médico. Este tipo de interacción, que puede llevar a 45 que se produzca una situación de peligro por el aparato médico, se designará a continuación como “ataque” al aparato médico. Un ataque de este tipo puede ser provocado, por ejemplo, por el software, que intente de manera intencionada conseguir fallos de seguridad para entrar en datos contenidos en el sistema de ordenador del aparato médico, que son confidenciales y utilizables solo de forma delictiva por terceros o para falsificar dichos datos. Este tipo de software se designará a continuación con la expresión “malware”. 50 Dado que el “malware” altera o corrompe los objetivos de la funcionalidad de un sistema de ordenador para espiar los datos o falsificar los mismos, se debe evitar en ese caso en especial el riesgo para los pacientes o para el funcionamiento correcto del aparato médico cuando éstos son atacados por el “malware”.
Para poder garantizar la seguridad de los datos y el mantenimiento del secreto de los datos contenidos en la red, se parte habitualmente, en el desarrollo de redes de comunicaciones, de partes de la 55 red de comunicaciones con diferentes niveles de seguridad. En los interfaces o puntos de separación entre estas zonas se instalan habitualmente mecanismos de seguridad tales como, por ejemplo, los llamados cortafuegos. Un cortafuegos (“firewall”) de este tipo se ha dado a conocer, por ejemplo, en los documentos WO 03/095024 y USA 6026502. El centro de gravedad de un aseguramiento de este tipo de los mecanismos de seguridad antes mencionados se encuentra justificado en la actualidad, en su mayor parte 60
en el sector comercial, para el aseguramiento de datos y el mantenimiento del secreto y no es apropiado o lo es solo de manera incompleta para las exigencias que caracterizan los aparatos médicos.
Es incluso posible que se genere un ataque a un aparato médico a través de otro participante en la comunicación, habitualmente aparatos médicos, dentro de la parte considerada como segura de una red de comunicaciones, aunque los asociados en la comunicación funcionen sin fallos y muestren un 5 comportamiento de comunicaciones que se considere por su parte como cooperativo, puesto que, no obstante, por el efecto sumativo y por determinadas situaciones se puede producir una alteración. Esto es comparable a las colas que se forman en una autopista, que se producen por una determinada densidad de vehículos de forma espontánea, es decir, sin una causa externa identificable. De manera alternativa, un ataque a un aparato médico puede tener lugar por parte de otros aparatos médicos dentro de la parte 10 considerada como segura de una red de comunicaciones cuando los protocolos de comunicación de dos tipos de aparatos médicos conducen a posibles fallos de interpretación o por la comunicación de los aparatos médicos, los otros aparatos médicos quedan sobrecargados.
De manera específica, aumenta el peligro potencial cuando para la fabricación del aparato médico se utilizan componentes de software de tipo general (“Allround”), tal como, por ejemplo, sistemas operativos 15 habituales que han sido desarrollados para una serie de posibles casos de utilización, que presentan una elevada complejidad intrínseca y, por lo tanto, están sometidos de manera especial al riesgo de un ataque. El fabricante de un aparato médico se encuentra, en este caso, ante el dilema de que los componentes de software utilizados presentan, por una parte, un peligro potencial, pero, por otra parte, el desarrollo de los aparatos médicos sin la utilización de este tipo de componentes es tan compleja que de ello se genera un 20 elevado riesgo potencial para los pacientes o para el funcionamiento correcto del aparato médico. Lo que hace incluso más peligrosa la utilización de dichos componentes de software es el hecho de que el malware está destinado principalmente a dichos componentes de software y, por lo tanto, actúa de manera específica los puntos débiles existentes en cuanto a seguridad. En este caso, el malware puede llegar por una ruta indirecta a través de la conexión de la parte segura de la red de comunicaciones a una parte no 25 segura o por rutas directas con intermedio del soporte de datos o mediante una combinación de ambas rutas en el aparato médico.
Es un objetivo de la presente invención el suprimir estas dificultades o bien, como mínimo, solucionarlas parcialmente para la fabricación de un dispositivo que permite la protección de aparatos médicos contra las acciones de peligro antes mencionadas procedentes de una red de comunicaciones. 30
La invención se define mediante las reivindicaciones.
Reivindicaciones:
1. Dispositivo (9; 34; 37) par la interacción con un aparato médico (10) que es adecuado para conexión en una red de comunicaciones(11) que comprende como mínimo una zona no segura (11b) y una zona segura (11a) en el lado del dispositivo, que de manera que el aparato (9) comprende medios de transmisión (12; 44, 45) para transmitir paquetes de comunicación hacia y desde del aparato médico (10) 5 por medio de la red de comunicaciones (11), que comprende medios de monitorización (13; 42, 43) para monitorizar el estado de la conexión del aparato (10) a la red (11) y que comprende medios de interrupción (14; 40, 41) para la interrupción de la conexión existente entre el área segura (11a) y el área no segura (11b) de la red (11) en caso de que, durante el procedo de monitorización se detecta un estado de la conexión a la red que presente riesgo para un paciente tratado con el aparato (10) o en cuanto al 10 funcionamiento correcto el aparato (10), en el que el dispositivo comprende como mínimo dos canales separados (38, 39), cada uno con sus propios medios de transmisión (12; 44, 45), medios de monitorización (13; 42, 43) y de interrupción (14; 40, 41), caracterizado porque cada uno de los canales puede monitorizarse asimismo y también al otro canal independientemente y se puede separar del área no segura (11b) de la red de comunicaciones (11) cuando se detecta una situación de la conexión a la red que 15 presenta riesgo para el paciente o para el funcionamiento correcto del aparato.
2. Dispositivo, según la reivindicación 1, caracterizado por comprender un comparador (46; 61) que es adecuado para comparar los resultados de un filtrado de paquete en cada canal (38, 39) entre sí y enviando los paquetes de comunicaciones a transmitir solamente si son el mismo en cada canal (38, 39).
3. Dispositivo, según la reivindicación 1, caracterizado porque los medios de transmisión (12; 44, 20 45) comprenden un filtro de paquete que lleva a cabo el filtrado de paquete en los paquetes de comunicación transmitidos entre el área no segura (11b) y el área segura (11a) de la red de comunicación (11), de manera que el filtro de paquete es adecuado para bloquear paquetes de comunicación que presentan un riesgo potencial para el aparto médico (10), porque los medios de interrupción comprenden como mínimo un dispositivo interruptor (14; 40, 41), y porque los medios de monitorización (12) 25 comprenden como mínimo una lógica de control (13; 42, 43) que, cuando se detecta un estado de la red de conexión que presenta un riesgo para un paciente o para el correcto funcionamiento del aparato, activa la apertura del dispositivo o dispositivos de interrupción (14; 40, 41) a efectos de separar el área no segura (11b) con respecto al área segura (11a) de la red de comunicación (11) que está conectada directamente al dispositivo médico (10). 30
4. Dispositivo, según la reivindicación anterior, caracterizado porque el filtro o filtros de paquetes (12; 44, 45) llevan a a cabo un filtrado de paquetes bidireccional de los paquetes de comunicación transmitidos entre el área no segura (11b) y el área segura (11a) de la red de comunicación (11).
5. Dispositivo, según la reivindicación 3 ó 4, caracterizado porque el filtro de paquetes (12; 44, 45) sustituye de manera parcial o completa los medios de monitorización (13; 42, 43) y/o los medios de 35 interrupción (13, 14) al bloquear paquetes de comunicación perjudiciales o todos los paquetes de comunicación cuando se detecta una situación de conexión a la red que presenta riesgo para el paciente o para el correcto funcionamiento del aparato.
6. Dispositivo, según la reivindicación anterior, caracterizado porque la separación entre el área segura (11a) y el área no segura (11b) de la red de comunicación (11) es implementada en forma de 40 segmentación lógica.
7. Dispositivo, según una de las reivindicaciones 1 a 5, caracterizado porque la separación entre el área segura (11a) y el área no segura (11b) de la red de comunicación (11) es implementada en forma de segmentación física.
8. Dispositivo, según la reivindicación anterior, caracterizado porque dicha segmentación física es 45 conseguida por diferentes rutas de transmisión física en el área segura (11a) y el área no segura (11b) de la red de comunicación (11) o por diferentes casos de la misma ruta de transmisión.
9. Dispositivo, según la reivindicación 7 u 8, caracterizado porque la red de comunicación (11) comprende rutas de transmisión por cables y/o por radio.
10. Dispositivo, según la reivindicación anterior, caracterizado porque la ruta de transmisión en el 50 área segura (11a) de la red de comunicación (11) consiste en fibra óptica.
11. Dispositivo, según una de las reivindicaciones 3 a 10, caracterizado porque el filtro de paquetes (12; 44, 45) es adecuado para llevar a cabo una traducción y/o encriptado de los protocolos de comunicación utilizados en la zona no segura (11b) o en la zona segura (11a) de la red de comunicación (11) de manera tal que paquetes de comunicación que han sido modificados con respecto a los paquetes 55
de comunicación que se originan del protocolo original son utilizados en la otra área respectiva de la red de comunicación (11).
12. Dispositivo, según una de las reivindicaciones anteriores 3 a 11, caracterizado porque dicha lógica de control (13) tiene medios para llevar a cabo una comprobación estática y/o dinámica de los datos a transmitir en la red de comunicaciones (11), de manera que los resultados de dicha comprobación 5 conducen a que la conexión existente entre el área segura (11a) y el área no segura (11b) de la red (11) se mantengan o se corten por activación del dispositivo o dispositivos de interrupción (14; 40, 41).
13. Dispositivo, según una de las reivindicaciones anteriores, caracterizado porque los dispositivos de interrupción (14; 40, 41) están situados en el lado conectado al área segura (11a) de la red de comunicación (11) y/o en el lado del aparato (9) conectado al área no segura (11b) de la red de 10 comunicación (11), a efectos de poder separar solamente el dispositivo médico (10) y/o tanto el dispositivo médico (10) como el aparato (9) propiamente dicho con respecto al área no segura (11b).
14. Dispositivo, según una de las reivindicaciones anteriores, caracterizado porque comprende una arquitectura redundante por integración en los medios de monitorización (13; 42, 43) de un modelo de la función de los medios de transmisión (12; 44; 45) que hace posible comprobar su funcionamiento 15 correcto.
15. Dispositivo, según la reivindicación 2, caracterizado por comprender en cada canal (38, 39) una lógica de seguridad que es adecuada para separar el área no segura (11b) de la red de comunicaciones (11) con respecto al área segura (11a) de la misma, independientemente de la lógica de seguridad de cualquier otro canal cuando se detecta una situación de la conexión de la red que presenta 20 riesgo para el paciente o para el funcionamiento correcto del dispositivo.
16. Aparato médico (10) apropiado para su conexión a una red de comunicaciones (11) que comprende como mínimo un área no segura (11b) y un área segura (11a) en el lado del aparato, caracterizado por comprender un dispositivo (9; 34; 37) según una de las reivindicaciones anteriores.
17. Aparato, según la reivindicación anterior, caracterizado por comprender una bomba de 25 infusión (62) o un monitor de un paciente.
18. Sistema médico que comprende una serie de aparatos médicos (10) o sub-aparatos (15, 16) que es apropiado para su conexión a una red de comunicaciones (11) que comprende como mínimo un área no segura (11b) y un área segura (11a) en el lado del dispositivo, caracterizado porque el sistema comprende como mínimo un dispositivo (9; 34; 37) según una de las anteriores reivindicaciones 1 a 15. 30
19. Sistema médico, según la reivindicación anterior, caracterizado porque cada uno de los aparatos individuales (10) o sub-aparato (15, 16) tiene su propio dispositivo (9) de acuerdo con una de las reivindicaciones 1 a 15.
20. Método para el control de un dispositivo (9; 34; 37) para interaccionar con un aparato médico (10) que es adecuado para conexión en una red de comunicaciones (¡1) que comprende como mínimo un 35 área no segura (11b) y un área segura (11a) en el lado del aparato, de manera que el método asegura la transmisión del paquete de comunicación hacia y desde el aparato médico (10) con intermedio de la red de comunicaciones (11), que monitoriza la situación de la conexión del aparato (10) con la red (11) y que interrumpe una conexión existente entre el área segura (11a) y el área no segura (11b) de la red (11) si durante el proceso de monitorización se detecta una situación de conexión a la red que presenta riesgo 40 para el paciente o para el correcto funcionamiento del aparato y en el que el método funciona como mínimo en dos canales separados (38, 39) cada uno de ellos con su transmisión, monitorización e interrupción propias, caracterizado porque cada canal puede monitorizarse tanto a si mismo como también a otro canal independientemente y se puede separar del área no segura (11b) de la red de comunicaciones (11) cuando se detecta una situación de la conexión a la red que presenta riesgo para el paciente o para el correcto 45 funcionamiento del dispositivo.
21. Método, según la reivindicación anterior, caracterizado porque lleva a cabo filtrado de paquetes durante la transmisión de los paquetes de comunicación transmitidos entre el área no segura (11b) y el área segura (11a) de la red de comunicación (11), de manera que este filtrado es adecuado para bloquear paquetes de comunicación que presentan riesgo potencial para el dispositivo médico (109). 50
22. Método, según una de las reivindicaciones 20 a 21, caracterizado porque lleva a cabo un filtrado de paquetes bidireccional en los paquetes de comunicaciones transmitidos entre el área no segura (11b) y el área segura (11a) de la red de comunicaciones (11).
23. Método, según una de las reivindicaciones 20 a 22, caracterizado porque permite la segmentación lógica entre el área segura (11a) y el área no segura (11b) de la red de comunicación (11). 55
24. Método, según una de las reivindicaciones 21 a 23, caracterizado porque permite que dichas etapas e monitorización y/o interrupción sean sustituidas parcial o completamente por el filtrado de paquetes durante la etapa de transmisión bloqueando, durante el filtrado de paquetes, paquetes de comunicación perjudiciales o todos los paquetes de comunicación cuando se ha detectado una situación de la conexión con la red que presente riesgo para el paciente o para el funcionamiento correcto del 5 dispositivo.
25. Método, según una de las reivindicaciones 20 a 24, caracterizado porque el filtrado de paquetes es adecuado para llevar a cabo la traducción y/o encriptado de los protocolos de comunicación utilizados en el área no segura (11b) o en el área segura (11a) de la red de comunicaciones (11) de manera tal que los paquetes de comunicación que han sido modificados con respecto a los paquetes de 10 comunicación que se originan del protocolo original son utilizados en la otra área respectiva de la red de comunicaciones (11).
26. Método, según una de las reivindicaciones 20 a 25, caracterizado porque durante la etapa de monitorización se lleva a cabo una comprobación estática y/o dinámica de los datos a transmitir en la red de comunicaciones (11), conduciendo el resultado de dicha comprobación al mantenimiento o al corte de la 15 conexión existente entre el área segura (11a) y el área no segura (11b) de la red (11).
27. Método, según una de las reivindicaciones 20 a 26, caracterizado porque funciona de manera redundante integrando en la etapa de monitorización como mínimo un modelo parcial de la función de la etapa de transmisión que hace posible comprobar su correcto funcionamiento.
Patentes similares o relacionadas:
TRANSMISIÓN SEGURA DE CONTROL INALÁMBRICO A UNA UNIDAD CENTRAL, del 13 de Enero de 2012, de STRYKER CORPORATION: Sistema para controlar al menos dos dispositivos médicos (2, 3, 5A, 5B) por medio de una conexión inalámbrica segura, que comprende una consola […]
SISTEMA DE MONITORIZACIÓN DE PACIENTES, del 5 de Julio de 2011, de WELCH ALLYN PROTOCOL INC: Un monitor inalámbrico de paciente que tiene unos medios para la comunicación selectiva con cualquiera de una pluralidad de redes de telemetría médica, […]
APARATO DE MEDICIÓN DE LA TENSIÓN ARTERIAL, del 17 de Junio de 2011, de KAZ EUROPE SA: Aparato de medición de la tensión arterial , que comprende: un dispositivo de medición para determinar datos de tensión arterial con una interfaz […]
SISTEMA PARA PROGRAMACION DE DISPOSITIVOS MEDICOS BASADA EN INDICACIONES, del 20 de Septiembre de 2010, de CARDIAC PACEMAKERS, INC.: Un sistema de gestión del ritmo cardiaco (CRM), que comprende:
un sistema externo adaptado para programar un dispositivo médico implantable, incluyendo […]
METODO Y SISTEMA PARA LA GESTION DE INFORMACION DE CLASIFICACION DE VICTIMAS, EN FUNCION DE SU GRADO DE GRAVEDAD Y CONDICION MEDICA, EN SITUACIONES DE EMERGENCIA, del 6 de Julio de 2010, de UNIVERSITAT AUTONOMA DE BARCELONA: Método y sistema para la gestión de información de clasificación de víctimas, en función de su grado de gravedad y condición médica, en situaciones de emergencia.
El […]
BOMBA DE ADMINISTRACION DE MEDICACIONES A UN PACIENTE CON COMUNICACION INALAMBRICA CON UN SISTEMA DE GESTION DE INFORMACION DE UN HOSPITAL, del 28 de Abril de 2010, de B. BRAUN MEDICAL INC.: Una bomba de infusión de medicación, para ser utilizada con un sistema de gestión de información hospitalaria (HIMS) , en donde el HIMS incluye un receptor […]
SISTEMA "ON LINE" INTERACTIVO PARA LA VISUALIZACION DE CONTENIDOS A TRAVES DE UN DISPOSITIVO, CON CAPACIDAD PARA EL REGISTRO DE ACTIVIDADES Y PARAMETROS BIOMEDICOS, INTERVENCION COGNITIVA, CONTROL DOMOTICO Y TELEALARMA DE GESTION REMOTA, del 7 de Abril de 2010, de UNIVERSIDADE DA CORUA: Sistema "on line" interactivo para la visualización de contenidos a través de un dispositivo, con capacidad para el registro de actividades y parámetros […]
Procedimiento y dispositivo para el procesamiento de una solicitud de servicio, del 29 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para el procesamiento de una solicitud de servicio, comprendiendo el procedimiento: recibir (S201), mediante un nodo de consenso, una solicitud […]