5 Möglichkeiten, wie Krankenhäuser ihre IoT-Sicherheit verbessern können

Vernetzte medizinische Geräte haben die Patientenversorgung und -erfahrung revolutioniert. Der Einsatz dieser Geräte zur Bewältigung klinischer und betrieblicher Aufgaben hat sie jedoch zu einem Ziel für Angreifer gemacht, die von wertvollen Patientendaten und gestörten Betriebsabläufen profitieren wollen. Tatsächlich stellte Palo Alto Networks dies fest, als Palo Alto Networks mehr als 200,000 Infusionspumpen in den Netzwerken von Krankenhäusern und anderen Gesundheitsorganisationen scannte 75 % dieser Infusionspumpen hatte mindestens eine Schwachstelle oder Sicherheitswarnung.

Diese vernetzten Geräte sind nicht nur schwer zu schützen, sondern stellen auch eine Herausforderung dar, wenn es um die Einhaltung der Sicherheitsanforderungen von Gesetzen wie dem Health Insurance Portability and Accountability Act (HIPAA) geht. Glücklicherweise gibt es mehrere Strategien, mit denen Krankenhäuser ihre Abwehrkräfte stärken können. Hier sind fünf umsetzbare Möglichkeiten, wie Krankenhäuser dazu beitragen können, medizinische Geräte zu sichern und lebensrettende Patientenversorgung ohne Unterbrechung zu gewährleisten.

1. Aufrechterhaltung einer wachsamen Sichtbarkeit

Die Entwicklung eines Zero Trust (ZT)-Sicherheitsansatz ist von entscheidender Bedeutung, um sich gegen die heutigen raffinierten Angriffe zu verteidigen. Der erste Schritt besteht jedoch darin, eine vollständige Sichtbarkeit aller Assets im gesamten Netzwerk sicherzustellen. Sowohl die InfoSec- als auch die Biomed-Teams benötigen ein umfassendes Bild aller im Netzwerk eines Krankenhauses genutzten Ressourcen und der Anzahl angeschlossener medizinischer Geräte, um ein klares Verständnis ihrer Schwachstellen zu erhalten. Anschließend müssen die Teams über die Geräteebene hinausgehen und die Hauptanwendungen und Schlüsselkomponenten identifizieren, die unter dem Betriebssystem ausgeführt werden, um einen ZT-Ansatz wirklich durchzusetzen. Zum Beispiel Einblicke in verschiedene Anwendungen wie z Elektronische Gesundheitsakten (EHRs), Bildarchivierungs- und Kommunikationssysteme (PACS) die digitale Bildgebung und Kommunikation in der Medizin (DICOM) und Fast Healthcare Interoperability Resources (FHIR)-Daten verarbeiten, sowie andere geschäftskritische Anwendungen können die allgemeine Sichtbarkeit von Assets verbessern.

2. Identifizieren von Geräterisiken

Viele Geräte sind mit unterschiedlichen Schwachstellen verbunden, die in zwei Kategorien fallen: statische und dynamische Gefährdung. Statische Gefährdungen bestehen beispielsweise typischerweise aus gemeinsamen Schwachstellen und Gefährdungen (Common Vulnerabilities and Exposures, CVEs), die unabhängig voneinander behoben werden können. Im Gegensatz dazu finden sich dynamische Belastungen in der Art und Weise, wie Geräte miteinander kommunizieren und wohin sie Informationen senden (innerhalb des Krankenhauses oder an Dritte), wodurch es schwieriger wird, sie zu identifizieren und zu beheben. Glücklicherweise werden KI und Automatisierung eine immer wichtigere Rolle dabei spielen, Krankenhäusern dabei zu helfen, diese Risiken zu erkennen, indem sie datengesteuerte Erkenntnisse und proaktive Empfehlungen zur effizienteren Behebung dieser Risiken liefern.

3. Implementierung eines Zero-Trust-Ansatzes

Sobald Krankenhäuser einen klaren Überblick über ihre Vermögenswerte und Risiken haben, können sie einen ZT-Ansatz verfolgen, indem sie den Zugriff auf anfällige Geräte und Anwendungen beschränken. Durch die Trennung von Geräten und Arbeitslasten Mikrosegmente, Administratoren können basierend darauf Sicherheitsrichtlinien besser verwalten Zugang mit den geringsten Privilegien. Dies kann Krankenhäusern helfen, ihre Angriffsfläche zu reduzieren, die Eindämmung von Sicherheitsverletzungen zu verbessern und die Einhaltung gesetzlicher Vorschriften zu stärken, indem Geräte in verschiedene Segmente mit unterschiedlichen Anforderungen und Sicherheitskontrollen eingeteilt werden. Wenn beispielsweise ein Computer im Krankenhaus kompromittiert wird, kann die Mikrosegmentierung den Schaden an diesem bestimmten Gerät begrenzen, ohne dass dies Auswirkungen auf medizinische Geräte hat, die für die Patientenversorgung von entscheidender Bedeutung sind.

4. Einführung von virtuellem Patching für Legacy-Systeme

Medizinische Geräte sind in Krankenhäusern in der Regel seit über einem Jahrzehnt im Einsatz und laufen daher häufig auf älteren Software- und Systemsystemen. Aufgrund ihrer Nutzungsanforderungen sind Krankenhäuser möglicherweise nicht in der Lage, das spezialisierte medizinische System zu aktualisieren oder zu patchen, was zu einer Vielzahl einzigartiger Sicherheitsprobleme führen kann. Darüber hinaus können es sich Krankenhäuser aufgrund des Risikos eines Verlusts der Patientenversorgung möglicherweise nicht leisten, Geräte zum Aktualisieren oder Patchen offline zu schalten. Wenn Krankenhäuser einen ZT-Ansatz übernehmen, können sie in andere Formen des Schutzes investieren, wie z virtuelles Patchen um die Exposition gegenüber medizinischen Geräten zu reduzieren. Beispielsweise können Tools wie Firewalls der nächsten Generation Schutzmaßnahmen rund um die Netzwerk- und Anwendungsebene des Geräts anwenden, ohne dass das Gerät physisch berührt werden muss.

5. Transparenz im gesamten Ökosystem schaffen

Kommunikation und Transparenz sind entscheidend, um Bedrohungen von Anfang an zu verhindern. CSOs und InfoSec-Teams von Krankenhäusern müssen in den Gerätebeschaffungsprozess einbezogen werden, da sie eine entscheidende Perspektive dazu bieten, wie Geräte während ihres gesamten Lebenszyklus am besten geschützt werden können. Krankenhäuser, Sicherheitsteams, Anbieter und Gerätehersteller müssen zusammenarbeiten, um Lösungen und Strategien zu entwickeln, die die Sicherheit im Vordergrund der Verteidigung eines medizinischen Geräts halten. Wenn Krankenhäuser angegriffen werden, arbeiten Sicherheitsteams in der Vergangenheit zusammen, um sich gegen Angreifer zu verteidigen. Nach dem Angriff verbleiben die Informationen jedoch zwischen den Sicherheitsteams und den Krankenhäusern, und nur sehr wenige Informationen (wenn überhaupt) gehen zurück, um den Gerätehersteller darüber zu informieren, wie er seine Gerätesicherheit verbessern kann. Krankenhäuser müssen proaktiver vorgehen, wenn es darum geht, den Geräteherstellern direktes Feedback zu Bereichen mit Verbesserungspotenzial zu geben.

Da sich die Cybersicherheitsrichtlinien für medizinische Geräte ständig weiterentwickeln, gibt es letztendlich Möglichkeiten, Lösungen zu schaffen, um Sicherheitsherausforderungen sowohl jetzt als auch in der Zukunft zu lösen. Ungeachtet der Ungewissheiten können wir proaktivere Anstrengungen unternehmen, um sicherzustellen, dass wir einen nach links gerichteten Sicherheitsansatz ermöglichen und eine Kultur der Cyber-Resilienz für die medizinische Gemeinschaft fördern.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/dr-tech/5-ways-hospitals-can-help-improve-their-iot-security