Az Orvosi Dolgok Internete (IoMT) vitathatatlanul egyedül áll az átfogó IoT-biztonság azon küszöbén, amelyet az egészségügyi szolgáltató szervezeteknek folyamatosan teljesíteniük kell. A kórházaknak, az orvosi rendelőknek és az integrált szállítórendszereknek nemcsak saját szervezeteik webre csatlakoztatott eszközeit és berendezéseit kell mindig megfelelőnek és biztonságosnak tartaniuk, hanem azt is biztosítaniuk kell, hogy a betegek biztonsága ne kerüljön veszélybe (és elkerüljék a jelentős hírnévkárosodást). nyilvános jogsértésből).
Ezt a kihívást tovább növeli, hogy az egészségügyi szervezetek hajlamosak egyedülállóan heterogén IoMT-eszközök flottáját telepíteni, amelyek nagyobb mennyiségben tartalmaznak különösen sérülékeny régi eszközöket. Egyetlen más, az IoT-képességeket kihasználó iparágnak sincs akkora tétje, mint az egészségügynek, és nincs ilyen kihívást jelentő akadály sem. Ennek eredményeként az egészségügyi biztonsági csapatoknak gondosan ki kell dolgozniuk a megközelítéseket bizonyos kockázatok kezelésére és mérséklésére, amelyek egyszerűen nem léteznek más modern IoT-megvalósításokban.
A hatékony IoMT sebezhetőség-kezelési és biztonsági stratégia kidolgozásakor három kulcsfontosságú pontot kell megérteni. Először is, mivel havonta több ezer új sérülékenységgel szembesülnek, az IoMT biztonsági csapatainak meg kell választaniuk a harcukat. Másodszor, az eszközök magas lemorzsolódásának kezelése a biztonság bevezetését jelenti az elfogadás pillanatától kezdve. Harmadszor pedig a biztonsági vezetőknek együttműködő szakértői csapatokat kell alkotniuk, hogy számtalan nagy kockázatú eszközt kezeljenek.
1. Válassza ki a csatáit
Az IoMT eszközgyártók átlagosan 2,000-3,000 sebezhetőséget tesznek közzé minden hónap. A javításokat azonban legfeljebb 100-ból egyhez adják ki. Az egészségügyi szolgáltató szervezetek nem tudják egyszerűen átvizsgálni az IoMT-eszközöket a sebezhetőségekért, mert ez sok régi eszköz összeomlását okozza. A biztonsági csapatok megpróbálhatnak minden eszközt csak szegmentálni a sebezhetőségek kijavítása és enyhítése érdekében, de ezt minden eszköz esetében bonyolult elvégezni – és az IoT és az IoMT ilyen szegmentálása még inkább bonyolult. A csapatok nem hagyatkozhatnak a szkennelésekre, közel sincs elég foltja, és folyamatosan új eszközök kerülnek hozzáadásra. Hamarosan a szegmentáció erodálódik, és a biztonsági csapatok lapos hálózathoz kötnek.
Íme a jó hír: mindössze 1-2%-a IoMT sebezhetőségek valójában nagy kockázatot jelentenek az adott környezetükben. Az IoMT-eszköz tényleges kockázata nagymértékben a környezeti jellemzők függvénye – az eszköz kapcsolatai, a közeli eszközök, az adott használati eset stb. Lebonyolításával egy környezet-specifikus Az exploit elemzéssel a biztonsági csapatok azonosíthatják az eszköz valódi kockázatait, és ennek megfelelően koncentrálhatják véges erőforrásaikat. A szegmentálás és más technikák ezután a magas kockázatú eszközök és sebezhetőségek felső 1–2%-ának kijavítására összpontosíthatnak.
A biztonsági csapatoknak tisztában kell lenniük azzal is, hogy a támadók ugyanezt a játékot játsszák – olyan környezeteken belüli sebezhetőségeket keresnek, amelyek ugródeszkaként szolgálhatnak támadási láncaik számára. Még mindig válhat egy egyszerű IoMT-monitorozó eszköz, amely adatok nélkül vagy jelentős hatással van a betegek kimenetelére az első dominó jelentős biztonsági eseményen.
2. A biztonság bevezetése az örökbefogadáskor
A biztonsági csapatoknak nemcsak a beépült, örökölt IoMT-eszközökkel kell megküzdeniük, hanem a folyamatosan változó eszközkészletekkel is, amelyek évi 15%-os lemorzsolódást okoznak. E nehézség leküzdése érdekében a biztonsági vezetőknek helyet kell követelniük a döntéshozó asztalnál, amikor új eszközöket fogadnak el – vagy legalábbis fel kell hívniuk a figyelmet a sebezhetőségek megfelelő elemzésére és kezelésére, mielőtt az eszközök aktív használatba lépnének. Ez a mérlegelési szint szabványos más iparágakban, és a hatékony IoMT biztonsági stratégia alapját kell képeznie.
Valójában a legtöbb más iparágban az informatikai részleg megvétózhatja az olyan megoldások elfogadását, amelyek biztonsági felelősséget jelentenek a szervezet számára. Az egészségügyi ellátást nyújtó szervezeteken belül azonban a biztonsági problémákkal küzdő IoMT-eszközök elengedhetetlenek lehetnek a magasabb prioritású cél, a kivételes betegellátás és betegélmény biztosítása szempontjából. Ez azt jelenti, hogy azok az egészségügyi szervezetek, amelyek beépítik a biztonságot IoMT-eszközeikbe beszerzés folyamatok jobb folyamatos biztonsági és kockázatkezelési eredményeket tesznek lehetővé.
3. Együttműködő szakértői csoportok létrehozása
Ellentétben azokkal az iparágakkal, ahol a civil szervezetek olcsó IoT-érzékelők homogén tömbjeit kezelhetik, és szabad kezet kapnak az olyan eszközök elhagyására, amelyek olyan kockázatot jelentenek, amelyek nem tetszenek, az egészségügy teljesen más, holisztikus döntéshozatali folyamatot igényel. A klinikusok óriási súllyal bírnak a technológiai döntések meghozatalakor, mivel egy IT-biztonsági szempontból nagy kockázatot jelentő IoMT-eszköz jelentősen csökkentheti a betegeket érintő kockázatokat egészségügyi szempontból. A betegek élményét fokozó IoMT-eszközök, például a sérülékeny NICU-kamerák, amelyek ennek ellenére lehetővé teszik a szülők számára, hogy megnézzék újszülötteiket, szintén indokolhatják a biztonsági csapatok nehéz helyzetbe hozását.
Bár érthető az egészségügyi eredmények támogatása mellett dönteni, a biztonsági vezetőknek fel kell készülniük arra, hogy olyan védelmet vezessenek be, amely megkönnyíti ezeket a döntéseket. Az IoMT biztonsági hatékonyságának maximalizálása ezekben a kihívásokkal teli körülmények között megköveteli a biztonsági vezetőktől, hogy olyan szakértői csapatot hozzanak létre, amely az aktuális fenyegetésekről alapos tudással rendelkezik, és olyan együttműködésen alapuló gondolkodásmóddal rendelkezik, amely lehetővé teszi az optimális ellenintézkedések előkészítését.
Tegye az IoMT biztonságát szervezeti prioritássá
Az egészségügyi biztonsági vezetőknek segíteniük kell szervezeteiket abban, hogy felismerjék az IoMT biztonságának óriási jelentőségét és értékét, még akkor is, ha a betegek eredményei és tapasztalatai az elsők. Ugyanakkor a biztonsági vezetőket nem szabad megriasztania az IoMT kockázatkezelésének nehézségeitől. Minden kis lépés, amely csökkenti a kockázatot, egy erős biztonsági testtartás felé vezeti az utat.
