Internet of Medical Things (IoMT) står uden tvivl alene, når det kommer til tærsklen for omfattende IoT-sikkerhed, som sundhedsudbydere konstant skal opfylde. Hospitaler, lægepraksis og integrerede leveringssystemer skal ikke kun holde deres egne organisationers web-tilsluttede enheder og udstyr altid kompatible og sikkert, men de skal også sikre, at patientsikkerheden ikke er i fare (og undgå den betydelige omdømmeskade, der kommer fra en offentlig overtrædelse).
En tilføjelse til denne udfordring er, at sundhedsorganisationer har en tendens til at implementere unikke heterogene flåder af IoMT-enheder, der indeholder større mængder af særligt sårbare ældre enheder. Ingen anden industri, der udnytter IoT-kapaciteter, har så store indsatser som sundhedspleje, og heller ikke så udfordrende forhindringer. Som et resultat heraf skal sundhedssikkerhedsteams omhyggeligt udforme tilgange til at håndtere og afbøde visse risici, som simpelthen ikke eksisterer i andre moderne IoT-implementeringer.
Der er tre nøglepunkter at forstå, når man bygger en effektiv IoMT-sårbarhedsstyring og -sikkerhedsstrategi. For det første, fordi de står over for tusindvis af nye sårbarheder hver måned, skal IoMT-sikkerhedsteams vælge deres kampe. For det andet betyder håndtering af høj enhedsafgang at indføre sikkerhed fra tidspunktet for adoption. Og for det tredje skal sikkerhedsledere danne samarbejdende teams af eksperter for at administrere utallige højrisiko-enheder.
1. Vælg dine slag
I gennemsnit offentliggør IoMT-enhedsproducenter 2,000 til 3,000 sårbarheder hver måned. De udgiver dog patches for kun omkring én ud af 100 i bedste fald. Healthcare leveringsorganisationer kan ikke bare scanne IoMT-enheder for sårbarheder, fordi det vil få mange ældre enheder til at gå ned. Sikkerhedsteams forsøger måske bare at segmentere hver enhed til afhjælpning og afhjælpning af sårbarheder, men at gøre dette for hver enhed er komplekst – og det er endnu mere at opretholde en sådan segmentering for IoT og IoMT. Hold kan ikke stole på scanninger, har næsten ikke nok patches, og nye enheder tilføjes løbende. Snart nok eroderer segmenteringen, og sikkerhedsteams ender med et fladt netværk.
Her er den gode nyhed: Kun 1% til 2% af IoMT sårbarheder faktisk udgør en høj risiko i deres givne miljø. En IoMT-enheds faktiske risiko er i høj grad en funktion af miljømæssige specifikationer - en enheds forbindelser, enheder i nærheden, dens særlige brugssituation og så videre. Ved at gennemføre en miljøspecifik udnytte analyse, kan sikkerhedsteam identificere en enheds sande risici og koncentrere deres begrænsede ressourcer i overensstemmelse hermed. Segmentering og andre teknikker kan derefter fokusere på at rette de øverste 1 % til 2 % af højrisikoenheder og sårbarheder.
Sikkerhedshold bør også være opmærksomme på, at angribere spiller det samme spil – de afsøger sårbarheder i miljøer, der kan tjene som springbræt for deres angrebskæder. En simpel IoMT overvågningsenhed uden data eller signifikant effekt på patientresultater kan stadig blive den første domino i en større sikkerhedshændelse.
2. Indfør Sikkerhed ved Adoption
Sikkerhedsteams skal ikke kun kæmpe med forankrede ældre IoMT-enheder, men stadigt skiftende enhedsbeholdninger, der cirkulerer med en hastighed på 15 % om året. For at imødegå denne vanskelighed skal sikkerhedsledere kræve en plads ved beslutningsbordet, når nye enheder bliver vedtaget - eller i det mindste en heads-up for korrekt at analysere og adressere sårbarheder, før enheder sættes i aktiv brug. Dette hensynsniveau er standard på tværs af andre industrier og skal være grundlaget for en effektiv IoMT-sikkerhedsstrategi.
Faktisk kunne en it-afdeling i de fleste andre brancher nedlægge veto mod vedtagelsen af løsninger, der udgør et sikkerhedsansvar for organisationen. Inden for sundhedsydelsesorganisationer kan IoMT-enheder med sikkerhedsproblemer ikke desto mindre være afgørende for det højere prioriterede mål om at levere exceptionel patientpleje og patientoplevelser. Når det er sagt, sundhedsorganisationer, der inkorporerer sikkerhed i deres IoMT-enhed erhvervelse processer muliggør bedre løbende sikkerheds- og risikoafhjælpningsresultater.
3. Dann samarbejdsteams af eksperter
I modsætning til i industrier, hvor CSO'er kan administrere homogene rækker af billige IoT-sensorer og have carte blanche til at afvise enheder, der udgør enhver risiko, de ikke kan lide, kræver sundhedspleje en helt anden og holistisk beslutningsproces. Klinikere har en enorm vægt, når det kommer til teknologiske beslutninger, fordi en IoMT-enhed med høj risiko set fra et it-sikkerhedsperspektiv kan reducere risici for en patient væsentligt set ud fra et sundhedsperspektiv. IoMT-enheder, der forbedrer patientoplevelsen, såsom sårbare NICU-kameraer, der ikke desto mindre giver forældre mulighed for at se deres nyfødte, kan også retfærdiggøre at sætte sikkerhedshold i en hård position.
Selvom det er forståeligt at beslutte sig for at understøtte sundhedsresultater, skal sikkerhedsledere være parate til at indføre beskyttelse, der letter disse beslutninger. Maksimering af IoMT-sikkerhedseffektiviteten under disse udfordrende omstændigheder kræver, at sikkerhedsledere opbygger et ekspertteam med betydelig indsamlet viden om aktuelle trusler og en samarbejdstankegang, der gør det muligt at forberede optimale modforanstaltninger.
Gør IoMT-sikkerhed til en organisatorisk prioritet
Sikkerhedsledere i sundhedssektoren skal hjælpe deres organisationer med at anerkende den enorme betydning og værdi af IoMT-sikkerhed, selvom patientresultater og erfaringer kommer først. Samtidig bør sikkerhedsledere ikke lade sig skræmme af vanskeligheden ved IoMT-risikostyring. Hvert lille skridt, der reducerer risikoen, baner vejen til en stærk sikkerhedsstilling.
