Toplu olarak Tıbbi Şey İnterneti (IOMT) olarak adlandırılan bağlı tıbbi cihazların benimsenmesi hasta bakımını dönüştürmüştür. Bununla birlikte, bu teknolojik ilerleme, hasta güvenliğini korumak ve organizasyonel güvenliği korumak için siber güvenlik zorlukları da getirmiştir.
IOMT’yi güvence altına almak: risklere öncelik vermek
İnfüzyon pompalarından görüntüleme sistemlerine kadar olan IOMT cihazları genellikle birbirine bağlanır ve ağlar üzerinden iletişim kurar ve bu da siber tehditler için potansiyel giriş noktaları yapar. Genellikle uzun yaşam döngülerine sahip eski sistemlerde çalışan tıbbi cihazların eşsiz doğası, bunları güvence altına almanın karmaşıklığını birleştirir.
“Sağlık kuruluşları, 9.0 ve üstü yüksek CVSS puanları olan cihazları yönetmek için sürekli mücadele ediyor. OT ve IOMT cihazlarının% 20’sinin bu yüksek riskli kategoriye girdiğini gördük. Tabii ki, bu CVSS puanları değerlidir. Bununla birlikte, hangilerini düzeltileceklerine öncelik verirken genellikle güvenilirler. Güvenlik açıklarıyla uğraşırken kuruluşlar “okyanusu kaynatmaya” çalışıyorlar, ”diye açıkladı Claroty sağlık hizmeti sektör müdürü Ty Greenhalgh yardım net güvenliğine söyledi.
“Riskleri gerçekten yönetmek ve önceliklendirmek için kuruluşların teknik puanların ötesine bakmaları ve hasta bakımı ile ilgili operasyonları etkileyen bağlamsal risk faktörlerini dikkate almaları gerekir. Bu, kritik bakım alanlarındaki cihazların, yaşam sonu durumlarına yakın veya bunların ötesinde eski cihazların, herhangi bir güvensiz iletişim protokolünün bulunduğu ve kişisel bilgilerin ne kadar hassas kişisel bilgilerin depolandığını tanımlamayı içerebilir ”diye ekledi Greenhalgh.
Tıbbi cihazlarda güvenlik zayıflıkları
1. Eski sistemler ve modası geçmiş ürün yazılımı
Eski işletim sistemlerinde önemli sayıda tıbbi cihaz çalışır. Çalışmalar, bağlı tıbbi cihazların% 14’ünün desteklenmemiş veya ömrü sonu işletim sistemlerinde çalıştığını ve bu desteklenmeyen cihazların% 32’sini içeren X-ışını ve MRI sistemleri gibi görüntüleme cihazlarıyla birlikte çalıştığını göstermiştir. Eski yazılıma olan bu güven onları bilinen istismarlara duyarlı hale getirir.
2. Varsayılan ve zayıf kimlik doğrulama
Endişe verici bir şekilde, tıbbi cihazların% 21’i genellikle çevrimiçi kılavuzlardan kolayca elde edilebilen zayıf veya varsayılan kimlik bilgileri ile güvence altına alınır. Bu gözetim, saldırganların hastane ağlarına sızması için bir kapı sağlar.
3. Bölümlenmemiş ağlar
Hastanelerin yaklaşık% 22’sinde misafir ve iç ağları köprüleyen cihazlara sahiptir. Şaşırtıcı bir şekilde, cerrahi cihazların% 4’ü konuk ağları üzerinden iletişim kurarak kritik ekipmanı kamu erişim noktalarından elde edilen potansiyel saldırılara maruz bırakıyor. 
4. Görünürlük ve envanter yönetimi eksikliği
Birçok sağlık kuruluşu, bağlı cihazlarının kapsamlı bir envanterinden yoksundur. Bu görünürlük yokluğu, etkili izleme ve risk değerlendirmesini engeller, çok sayıda cihazı kontrolsüz ve savunmasız bırakır.
Eylemsizlik maliyeti
1. Saldırılar
Sağlık sektörü fidye yazılımı saldırıları için ana hedef haline gelmiştir. 2024’te, sağlık kuruluşlarının% 92’si en az bir siber saldırı yaşadı ve% 69’u doğrudan bir sonuç olarak hasta bakımında kesintileri bildirdi.
2. FDA uyarıları ve cihaz hatırlıyor
Mart 2019’da FDA, Medtronic’in implante edilebilir kardiyak cihazlarındaki siber güvenlik güvenlik açıkları ile ilgili uyarılar yayınladı. Belirlenen kusurlar, yetkisiz kullanıcıların bu cihazlara erişmesine ve kontrol etmesine izin verebilir ve hasta güvenliği için ciddi riskler oluşturabilir.
3. Ulus-Devlet Tehditleri
APT’ler giderek daha fazla sağlık altyapılarını hedefliyorlar. Bu sofistike saldırılar genellikle hassas hasta verilerini yaymayı veya kritik hizmetleri bozmayı ve güçlü savunma mekanizmalarının gerekliliğinin altını çizmeyi amaçlamaktadır.
Düzenleyici ve uyumluluk zorlukları
1. FDA ve Tıbbi Cihaz Güvenlik Yönetmelikleri
FDA, tıbbi cihazlarda siber güvenliğin önemini vurgulayarak, üreticileri cihaz yaşam döngüsü boyunca güvenlik önlemlerini birleştirmeye teşvik eden yönergeler yayınladı. Hem hasta güvenliğini hem de düzenleyici onay sağlamak için bu yönergelere uyum şarttır.
2. Hipaa ve IOMT
Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirlik Yasası (HIPAA) hasta bilgilerinin korunmasını zorunlu kılar. Korumalı sağlık bilgilerini (PHI) ele alan tıbbi cihazlar, yetkisiz erişim ve veri ihlallerini önlemek için HIPAA’nın katı güvenlik gereksinimlerine uymalıdır.
3. AB MDR ve GDPR sonuçları
Avrupa Birliği’nin Tıbbi Cihaz Düzenlemesi (MDR) ve Genel Veri Koruma Yönetmeliği (GDPR), tıbbi cihaz güvenliği ve veri koruması üzerine katı standartlar uygular. Uyumsuzluk, önemli para cezalarına ve yasal yansımalara neden olabilir, bu da kuruluşların uygulamalarını bu düzenlemelerle uyumlu hale getirmelerini zorunlu kılar.
Proaktif katılım
“CISOS için öncelik proaktif katılım olmalı. İlk olarak, gerçek zamanlı güvenlik açığı izlemesini uygulayın ve güvenlik yamalarının cihaz işlevselliğini bozmadan hızlı bir şekilde dağıtılabilmesini sağlayın. Tıbbi cihaz güvenliği sürekli olmalıdır – sadece geliştirme veya düzenleyici sunum sırasında bir kontrol noktası değil. İkincisi, düzenleyici uyum tek seferlik bir çaba değildir. FDA artık devam eden güvenlik açığı izleme, koordineli açıklama politikaları ve sağlam yazılım yama stratejileri bekliyor. Güvenlik süreçlerinin otomatikleştirilmesi – ister SBOM (Yazılım Materyalleri Yasası) Yönetimi, Bağımlılık İzleme veya Uyumluluk Raporlaması için – insan hatasını azaltır ve yanıt sürelerini iyileştirir. Bir SBOM sadece uyumluluk için değil, bir cihazın yaşam döngüsü boyunca güvenlik açıklarını izlemek ve azaltmak için bir araç olarak değerlidir ”dedi.
“Son olarak, işbirliği esastır. Tıbbi cihaz siber güvenlik, üreticiler, sağlık hizmeti sağlayıcıları ve düzenleyiciler arasında ortak bir sorumluluktur. Tedarikçi riskini değerlendirmek ve yazılım tedarik zincirlerini güvence altına almak için açık, tekrarlanabilir süreçler oluşturmak, fidye yazılımı ve sıfır gün istismarları gibi tehditlere maruz kalmayı azaltacaktır ”dedi.
Risk Azaltma Stratejileri
Tıbbi Cihaz Güvenlik Çerçevesi Oluşturma:
- Varlık envanteri ve risk değerlendirmesi: Tüm bağlı tıbbi cihazların kapsamlı stokları yapın ve güvenlik açıklarını tanımlamak ve öncelik vermek için düzenli risk değerlendirmeleri yapın.
- Ağ Segmentasyonu ve Mikrosegmentasyon: Tıbbi cihazları diğer kritik sistemlerden izole etmek için ağ segmentasyonunu uygulayarak, tehlikeye atılan bir cihazın potansiyel etkisini azaltın.
- Sıfır Güven Mimarisi: Ağ içindeki tüm cihazlar ve kullanıcılar için katı erişim kontrolleri ve sürekli doğrulama uygulayan sıfır güven modeli benimseyin.
Satıcı Güvenlik Yönetimini Geliştirme:
- Güvenlik güncellemeleri için hesap verebilirlik: Cihaz üreticileri ile net anlaşmalar oluşturun, onları zamanında güvenlik yamalarından ve güncellemelerinden sorumlu tutun.
- Yazılım Malzeme Yasası (SBOM): Potansiyel güvenlik açıklarını daha iyi değerlendirmek için her cihazdaki bileşenlere ve yazılımlara şeffaflık sunan bir SBOM sağlamalarını isteyin.
Yapay zeka ve tehdit istihbaratından yararlanmak:
- Anomali tespiti: Cihaz davranışını izlemek ve bir güvenlik ihlalini gösterebilecek anomalileri tespit etmek için yapay zeka kullanın.
- Tehdit İstihbarat Paylaşımı: Ortaya çıkan tehditler ve güvenlik açıkları hakkında bilgi sahibi olmak için bilgi paylaşım girişimlerine katılın.
Olay yanıtı ve esneklik planlaması:
- IOMT’ye özgü yanıt planları: Hızlı muhafaza ve hafifletme sağlayarak tıbbi cihaz güvenlik olaylarına göre uyarlanmış olay müdahale planları geliştirin.
- Düzenli matkaplar ve simülasyonlar: Potansiyel siber olaylara hazırlanmak, organizasyonel hazırlığı ve yanıt yeteneklerini geliştirmek için masa üstü egzersizler ve simülasyonlar yapın.
“Dijital dönüşümün yeni cihazları ağa devretme oranı, bu varlıkların nerede olduğunu veya nasıl performans gösterdiklerini izleme yeteneklerini geride bırakıyor. Bu, bütçeleri gereksiz yere tahliye eden az kullanılan varlıklara yol açabilir. CISOS, israf edilen harcamalar alanlarını belirlemek ve az kullanılan teknolojiyi optimize etmek için fırsatları belirlemek için varlıkların ağ ile nasıl etkileşime girdiğine dair anlayışlarını geliştirmelidir. Bunu yapmak için bir Önce görünürlük Zihniyet ve sağlam bir varlık yönetim sistemi oluşturun. Bu, kaynakları en üst düzeye çıkarmak ve finansal kayıpları en aza indirmek için gereklidir ”diye açıkladı Greenhalgh
“Buna yardımcı olmak için güvenlik liderleri kuruluşlarında bilgi silolarını parçalamalıdır. CISOS, mevcut politikalarını gözden geçirmeli ve kuruluşun dört bir yanından bilgili paydaşlarla ilgilenmelidir. Örneğin klinik mühendisleri, tıbbi cihazların arkasındaki teknolojilere paha biçilmez bilgiler tutuyorlar, ancak genellikle varlık yönetimi ve ağ güvenliği tartışmalarından çıkarılıyorlar ”dedi.