Uç Nokta Güvenliği, Yönetişim ve Risk Yönetimi, Sağlık Hizmetleri
Uzmanlar, Büyüyen Envanterleri ve Tedarikçilere Kaynakları Yönetme Konusunda Tavsiyeler Sunuyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
16 Ocak 2025
En küçük hastanelerde bile binlerce olmasa da yüzlerce tıbbi cihaz bulunurken, daha büyük sağlık kuruluşlarında çok ama çok daha fazlası, genellikle de on binlerce tıbbi cihaz bulunur. Bu, artık satıcılar tarafından desteklenmeyen çok sayıda eski cihazı ve eski ürünü de içerebilir.
Ayrıca bakınız: Gartner Raporu | SD-WAN için Magic Quadrant
Bu arada, yapay zeka ve makine öğrenimi ile desteklenenler de dahil olmak üzere daha yeni cihazlar sürekli olarak sağlık hizmeti BT ortamlarına giriyor. Kronik hastalıklardaki artış ve cerrahi prosedürlere ve teşhis testlerine olan talep, geçen yıl 542 milyar dolardan 2032’ye kadar 886 milyar dolara çıkması beklenen küresel tıbbi cihaz pazarındaki talebi artırıyor.
Akıllı, bağlantılı tıbbi ekipmanların bu saldırısıyla karşı karşıya kalan birçok sağlık hizmeti sağlayıcısı, cihaz siber güvenlik stratejileri ve bu ürünleri daha güvenli hale getirmeye yardımcı olacak yollar arıyor. Uzmanlar, bunun cihaz güvenliği konusunda sürekli bir kararlılık gerektirdiğini söylüyor; bu, pek çok sağlayıcının henüz yapmadığı bir şey.
Gıda ve İlaç İdaresi artık tıbbi cihaz üreticilerinden, ürünlerini piyasaya sürmeden önce kuruma sunarken yaşam döngüsü siber güvenlik konularını ayrıntılı olarak açıklamalarını istiyor. Siber uzmanlar ayrıca sağlayıcıların tıbbi cihaz güvenliği risklerini yönetmek için sağlam ve kapsamlı bir yaşam döngüsü yaklaşımı benimsemelerini öneriyor.
Medikal Güvenlik Stratejisti Axel Wirth, üreticilerin yaşam döngülerinin bir cihaz tipine, modeline veya versiyonuna uygulanabilir olduğunu ve döngünün tasarımdan tasarıma ve ürünün piyasaya sürülmesinden kullanım ömrünün sonuna kadar uzandığını ve ekonomik veya teknik faktörlere bağlı olduğunu söyledi. cihaz güvenlik firması MedCrypt.
Bunun aksine, sağlık hizmeti sunan kuruluşun yaşam döngüsünün bireysel cihazlara odaklandığını söyledi. Değiştirme planlaması ve tedariki ile başlar ve “kurulum ve canlı kullanıma alma, işletme ve bakım, kullanım sonu ve hizmetten çıkarma işlemlerine kadar uzanır.”
Sağlık hizmeti sağlayıcıları için bu tıbbi cihaz yaşam döngüsü aşamalarının her birine belirli siber güvenlik faaliyetleri eşlik etmelidir.
Buna, satın alma sözleşmelerinde siber güvenlik değerlendirmeleri, operasyon sırasında siber olayların tespit edilmesi ve bunlara müdahale edilmesi, bakım faaliyetlerinin bir parçası olarak düzenli yama ve günlük incelemesi ve bakım faaliyetleri sırasında cihazlardan hasta verileri, ağ ve kullanıcı kimlik bilgileri gibi tüm hassas bilgilerin kaldırılması dahildir. hizmetten çıkarıldığını söyledi.
Ancak gerçekte, belirli bir hastanenin tıbbi cihaz ekosisteminin karmaşıklığı, genellikle kurumun siber sorunları çözmeye yönelik mevcut kaynaklarıyla çelişir. Cihaz güvenliği firması Asimily’nin CEO’su Shankar Somasundaram, bu karmaşıklığın giderek arttığını söyledi.
“Neyse ki, son birkaç yılda görünürlüğü artırmaya, güvenlik faaliyetlerini otomatikleştirmeye ve en iyi uygulamaların uygulanmasına yardımcı olan özel ve ağ tabanlı tıbbi cihaz güvenlik araçlarının pazara girdiğini gördük” dedi.
“Bireysel klinik mühendisliği departmanları güvenlik yolculuklarının farklı aşamalarındadır, ancak herkes aynı yaklaşımı benimsemelidir; nerede olduğunuzu tanıyın, nerede olmanız gerektiğini tanımlayın ve yolculuğunuza bugün başlayın. Ve ihtiyaç duyulan yerde yardım isteyin” dedi. .
Mevcut Kaynaklar
Gıda ve İlaç İdaresi, Sağlık Sektörü Koordinasyon Konseyi ve diğer birkaç endüstri grubu, son aylarda ve yıllar içinde, sağlık hizmetleri sunan kuruluşların, eski cihazlar da dahil olmak üzere ortamlarındaki bağlantılı tıbbi cihazların güvenliğini daha iyi yönetmelerine yardımcı olmak için kılavuzlar ve en iyi uygulamaları yayınladı. cihazlar.
Health Information Tıbbi Cihaz Güvenliğinden Sorumlu Başkan Yardımcısı Phil Englert, HSCC’nin “Sağlık Endüstrisi Siber Güvenliği – Eski Teknoloji Güvenliğini Yönetme” – veya HIC-MaLTS – kılavuzunun, kuruluşlara eski tıbbi teknolojilerin siber risklerini yönetmek için kullanılabilecek en iyi uygulamaları sunduğunu söyledi. Paylaşım ve Analiz Merkezi (bkz: Eski Tıbbi Cihaz Güvenliğiyle Mücadeleye Yönelik Yardım Mevcuttur).
HIC-MaLTS yaygın sağlık hizmetleri siber güvenliği zorluklarını üstleniyor. Örneğin, “birçok farklı türde tıbbi cihaz ve bunların kullanıldığı çeşitli yerler benzersiz risk profillerine sahiptir ve diğerlerinin yanı sıra teşhis, tedavi edici, giyilebilir, implante edilebilir ve tıbbi cihaz olarak yazılım gibi kullanılabilecek özellikleri içerir. hastanelerde, kliniklerde ve diğer klinik dışı ve evde sağlık bakım ortamlarında” dedi.
Englert, HIC-MaLT’in eski cihazları ele almasının yanı sıra, Uluslararası Tıbbi Cihaz Düzenleyicileri Forumu’nun Eski Tıbbi Cihazların Siber Güvenliğine İlişkin IMDRF İlkeleri ve Uygulamaları’nın da tıbbi cihazların dört yaşam döngüsü aşamasıyla ilgili rehberlik sağladığını söyledi.
Bunlar geliştirme, destek, sınırlı destek ve desteğin sonudur” dedi. “Sağlık hizmeti kuruluşları, satın alma sırasında güvenlik değerlendirmelerini giderek daha fazla gerçekleştiriyor ancak her yaşam döngüsü aşamasında güvenlik duruşunun yeniden değerlendirilmesinden fayda sağlayacak.”
“Bu değerlendirmeler, güvenlik stratejilerini bilgilendirmek için kalan riskleri ölçüyor. Bakım operasyonları kararlarını yönlendirmek ve stratejik değiştirme planlarını bilgilendirmek için aşılmayacak bir risk eşiği, maliyet eşiklerini aşmayacak şekilde oluşturulabilir” dedi.
Englert, bir başka iyi uygulamanın da segmentasyon ve ağ erişim kontrolleriyle birlikte “sistem görünümü” envanterlerinin gerçekleştirilmesi olduğunu söyledi. “Bu uygulamalar, sağlık hizmeti sunan kuruluşlara, tıbbi ekipman popülasyonu genelinde önemli ölçüde geliştirilmiş esneklik ve müdahale yetenekleri sağlıyor.”
Ancak FDA’nın pazara giren yeni tıbbi cihazlara yönelik siber güvenliğe daha fazla odaklanmasıyla, sağlık hizmeti kuruluşları, ürünleri satın alınmadan önce daha dikkatli bir şekilde inceleme fırsatına sahip oluyor.
Englert, “Tıbbi cihaz tedarikinde erken planlamayı ve ortak siber direnç sorumluluklarını müzakere etmeyi ihmal etmek, siber güvenlik risklerini daha iyi yönetmek için kaçırılan en büyük şanstır” dedi.
HSCC’nin Medtech Siber Güvenliği için Model Sözleşme Dili – veya MC2 – MDM tarafından yönetilen tıbbi cihazların ve çözümlerin güvenliği, uyumluluğu, yönetimi, işletimi, hizmetleri ve güvenliği ile ilgili olarak sağlık hizmeti sunan kuruluşlar ve tıbbi cihaz üreticileri arasında ortak işbirliği ve koordinasyon için bir referans noktası sunar. ve bağlantılar dedi (bkz: Şablon Tıbbi Cihaz Sözleşmelerine Siber Eklemeye Yardımcı Olmayı Amaçlıyor).
Englert, bu çabanın tamamının, uygun güvenlik sözleşmesi şartları ve taahhütlerinin oluşturulması ve sürdürülmesi yoluyla sağlayıcıların siber güvenlik tehditlerine ve risklerine karşı korunmasına yardımcı olmayı amaçladığını söyledi.
Englert, Health-ISAC’ın tıbbi cihaz güvenlik konseyinin aynı zamanda sağlık kuruluşlarına güvenlik rollerini ve görevlerini belirlemede yardımcı olmak için tıbbi teknolojiye özel bir sorumluluk atama matrisi geliştirdiğini söyledi.
“Sağlık kuruluşları, kalan riskleri ve iş etkilerini etkili bir şekilde yönetmek için tipik yama ve güncelleme döngüleri, kurulum sorumlulukları ve ele alınan sorunların ve güvenlik açıklarının listeleri dahil olmak üzere tıbbi cihazlar için daha iyi şeffaflık talep etmelidir” dedi.
Uzmanlar, sağlık hizmeti sunan kuruluşların, tıbbi cihazlarla ilgili siber güvenlik endişelerini giderememenin getirdiği risk ve tehditlerin farkında olması gerektiğini söyledi.
Wirth, “Güvenlik araştırmacıları, implante edilebilir kalp defibrilatörleri, insülin pompaları veya görüntüleme sistemleri gibi bireysel tıbbi cihazların kötü niyetli olarak manipüle edilebileceğini ve hastaların zarar görebileceğini gösterdi” dedi. “Ancak pratikte gördüğümüz şey, sağlık sistemine yönelik daha geniş bir saldırı nedeniyle bakımdaki gecikmeler nedeniyle hastalar üzerinde daha dolaylı bir etkiye sahip.”
“Tıbbi cihazlar fidye yazılımı saldırılarına yakalandı ancak bu saldırıların hedefi oldukları için değil, saldırı profiline uydukları için oldu” dedi. “En büyük endişem, siber saldırganların bakım sürecindeki kritikliklerini fark edebilmeleri ve bu tür bir saldırıyı etkiyi ve kazancı en üst düzeye çıkarmak için kullanabilmeleri nedeniyle gelecekteki saldırıların tıbbi cihazları değiştirip hedef almasıdır.”