3. Taraf Risk Yönetimi, Yönetişim ve Risk Yönetimi, Sağlık Hizmetleri
Yeni HSCC Yayını, Cihaz ve İlaç Üreticilerinin Siber Yanıtı İyileştirmesine Yardımcı Olmayı Amaçlıyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
14 Kasım 2024
Sağlık Sektörü Koordinasyon Konseyi’nin yeni bir taktik kitabı, ilaç, cihaz ve dayanıklı ekipman gibi tıbbi ürün üreticilerinin fidye yazılımı saldırılarına ve diğer siber olaylara karşı tepkilerini planlamalarına ve iyileştirmelerine yardımcı olmayı amaçlıyor.
Ayrıca bakınız: NIST CSF’yi Üçüncü Taraf Risk Yönetimine Entegre Etme: Gelişmiş Güvenlik ve Uyumluluk Stratejileri
Tıbbi Ürün Üreticisi Siber Olay Müdahale Kılavuzu veya MPM-CIRP, HSCC’nin ortak siber güvenlik çalışma grubu içindeki operasyonel teknoloji siber görev gücü tarafından geliştirildi; üyeleri arasında Gıda ve İlaç İdaresi ve özel sektör de dahil olmak üzere hükümetten paydaşlar yer alıyor. üreticiler, teknoloji firmaları ve diğerleri dahil.
Başucu kitabı, tıbbi ürün üreticilerinin olay müdahale planlarında kullanmaları için adım adım tavsiyeler ve süreçler sunan kapsamlı bir kılavuzdur. Tavsiyeler, hassas verilerin ele geçirilmesi gibi üretim siber olaylarının tanımlanması, bunlara yanıt verilmesi ve iyileştirilmesinden, üretimi ve diğer kritik operasyonları kesintiye uğratabilecek fidye yazılımlarına ve hizmet reddi saldırılarına karşı savunmaya kadar uzanır.
HSCC, “Bu taktik kitabı, şirketlerin kendi iç taktik kitaplarını kendi özel koşullarına göre oluşturmaları ve uyarlamaları için bir başlangıç noktası veya hızlandırıcı olarak hizmet etmeyi amaçlıyor” dedi.
Sağlık Bilgi Paylaşımı ve Analiz Merkezi’nde tıbbi cihaz güvenliğinden sorumlu başkan yardımcısı olan Phil Englert, tıbbi ürün üreticilerinin sıklıkla diğer sektörlerdeki meslektaşlarıyla aynı siber olaylara müdahale zorluklarıyla karşı karşıya kaldıklarını söyledi; örneğin beceri ve teknolojilerdeki kısıtlamalar. HSCC’nin başucu kitabı.
Ancak Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada, tıbbi ürünlerin amaçlandığı gibi performans göstermesini sağlamaya yönelik üretim süreçlerinin halk sağlığının korunması açısından hayati öneme sahip olduğunu ve Sağlık ve İnsani Hizmetler Bakanlığı veya Siber Güvenlik Altyapısı ve Güvenlik Ajansı gibi diğer devlet kurumlarına rapor verilmesini gerektirebileceğini söyledi.
Örneğin, “Federal Gıda, İlaç ve Kozmetik Yasası’nın 506J bölümü uyarınca, bir halk sağlığı acil durumu sırasında veya öncesinde, belirli tıbbi cihazların üreticilerinin, üretimde bir kesinti veya kalıcı olarak devam etmeme durumunda FDA’ya bildirimde bulunması gerekir” dedi.
Cihaz güvenliği firması MedCrypt’in baş güvenlik stratejisti ve aynı zamanda başucu kitabına katkıda bulunanlardan biri olan Axel Wirth ayrıca, BT güvenliğinin pek çok alanında olduğu gibi, “olay müdahalesine ilişkin ortak görüşümüz büyük ölçüde geleneksel kurumsal BT ortamıyla uyumludur” dedi.
“Örneğin, mevcut standartlar ve çerçeveler tipik BT olaylarıyla ilgileniyor ve bunun sonucunda çoğu kuruluşun Yİ planları siber riskin ‘karanlık köşelerini’ ihmal ediyor” dedi.
“Başucu kitabı, yalnızca tıbbi ürün üretim ortamının benzersiz ihtiyaçlarını vurgulamakla kalmayıp, aynı zamanda bu spesifik olay müdahale yeteneklerini geliştirmek için kullanılabilir bir çerçeve sağlayarak bunun üstesinden geliyor” dedi.
Kişiselleştirilebilir Tavsiyeler
MPM-CIRP’nin tavsiyeleri her büyüklükteki tıbbi ürün üreticisi için özelleştirilebilirken, kılavuz, rehberliğinin genellikle özel siber personele sahip olmayan küçük ve orta ölçekli şirketler için özellikle yararlı olabileceğini belirtiyor.
“Özellikle küçük üreticilerde, siber olaylara müdahale ekibinde bir kişi birden fazla rolde görev alabilir. “Örneğin, siber olaylara müdahale yöneticisi ve BT teknik müdahale liderleri genellikle aynı kişidir. Ek olarak, irtibat rolleri çökebilir veya birden fazla irtibat rolü tek bir kişi tarafından doldurulabilir.” diye belirtildi.
Bununla birlikte, taktik kitabında “rollerin, sorumlulukların ve iletişim bilgilerinin önceden belirlenmesi koşuluyla küçük siber güvenlik ekipleri esnek ve çevik bir yanıt verebilir” denildi.
Kılavuz, olay müdahale planının hazırlanmasından; olay tespiti, soruşturması ve analizi; bir müdahale ekibinin etkinleştirilmesi; kontrol altına alma ve yok etme; Olay kurtarma ve olay sonrası faaliyetler.
Englert, “Olaya müdahale temelleri teknolojiler arasında benzer olduğundan, başucu kitabı tanıdık gelecektir” dedi.
“Olayın ciddiyet değerlendirmesinin iş etkisi, ulusal güvenlik veya sivil özgürlükler açısından çerçevelenmesine ek olarak, kılavuz aynı zamanda olay müdahale planlamasında halk sağlığını veya güvenliğini de etkiliyor” dedi.
“Ayrıca, kılavuzlar, şüpheli veya doğrulanan olayların Health-ISAC’ye ve diğer bilgi paylaşımı ve analiz kuruluşlarına raporlanması da dahil olmak üzere, siber olaylara müdahale ekibi sürecine düzenleyici hususları da dahil ediyor.”
Tıbbi cihaz tasarım ve üretim şirketi Velentium’un ürün güvenliği direktörü ve aynı zamanda taktik kitabına katkıda bulunan Christopher Gates, birçok tıbbi ürün üreticisi arasında siber olaylara müdahale planlamasının önemi konusunda farkındalıkta bir boşluk olduğunu söyledi.
“Geçenlerde yaklaşık 350 sözleşmeli üreticiye taktik kitabı ve üretim sahasında güvenliği uygulamaya başlamanın yolları hakkında kişisel bir sunum yaptım” dedi.
“Konu izleyici katılımına geldiğinde bu şimdiye kadar yaptığım en kötü konuşmaydı. Bu nedenle, üretim alanındaki siber güvenliğe yönelik bu genel ilgisizlik durumuna dayanarak, en büyük mücadelenin ‘insanlar’ olduğu şeklinde cevap vermem gerekir” dedi. Gates, Health-ISAC’ın tıbbi cihaz güvenlik konseyinin eş başkanıdır.
“İnsanlar günümüzün siber güvenlik gerçeğiyle karşı karşıya kalsalar bile riskleri görmezden gelmeyi tercih ederler” dedi. “Neden? Ek iş ve maliyet yaratır.”