ניתן לטעון שהאינטרנט של הדברים הרפואיים (IoMT) עומד לבדו בכל הנוגע לסף של אבטחת IoT מקיפה שארגוני אספקת שירותי בריאות חייבים לעמוד בו ללא הרף. בתי חולים, נוהלי רופא ומערכות אספקה משולבות צריכים לא רק לשמור על התקנים וציוד המחוברים לאינטרנט של הארגונים שלהם תמיד תואמים ומאובטחים, אלא שהם גם חייבים להבטיח שבטיחות החולה אינה בסיכון (ולהמנע את הפגיעה המשמעותית במוניטין שמגיעה. מהפרה ציבורית).
נוסף על האתגר הזה הוא שארגוני שירותי בריאות נוטים לפרוס ציים הטרוגניים ייחודיים של התקני IoMT המכילים כמויות גדולות יותר של מכשירים מדור קודם פגיעים במיוחד. לאף תעשייה אחרת הרותמת יכולות IoT יש סיכון גבוה כמו שירותי בריאות, וגם לא מכשולים מאתגרים כאלה. כתוצאה מכך, צוותי אבטחה של שירותי בריאות חייבים לעצב גישות בקפידה לטפל ולהפחית סיכונים מסוימים שפשוט לא קיימים ביישומי IoT מודרניים אחרים.
ישנן שלוש נקודות מפתח שצריך להבין בעת בניית אסטרטגיית אבטחה וניהול פגיעות אפקטיבית של IoMT. ראשית, מכיוון שהם מתמודדים עם אלפי נקודות תורפה חדשות מדי חודש, צוותי האבטחה של IoMT חייבים לבחור את הקרבות שלהם. שנית, ניהול נטישה גבוהה של מכשירים פירושו הצגת אבטחה מרגע האימוץ. ושלישית, מנהיגי אבטחה חייבים להקים צוותים משותפים של מומחים לניהול אינספור מכשירים בסיכון גבוה.
1. בחר את הקרבות שלך
בממוצע, יצרני מכשירי IoMT מפרסמים 2,000 עד 3,000 נקודות תורפה כל חודש. עם זאת, הם מפרסמים תיקונים רק עבור אחד מכל 100 במקרה הטוב. ארגוני אספקת שירותי בריאות לא יכולים פשוט לסרוק מכשירי IoMT לאיתור נקודות תורפה מכיוון שכך יגרום למכשירים עתיקים רבים לקרוס. צוותי אבטחה עשויים לנסות לפלח כל מכשיר לצורך תיקון והפחתת פגיעות, אך ביצוע זה עבור כל מכשיר הוא מורכב - ושמירה על פילוח כזה עבור IoT ו-IoMT היא אפילו יותר. צוותים לא יכולים להסתמך על סריקות, אין כמעט מספיק תיקונים, והתקנים חדשים מתווספים ללא הרף. במהרה, הפילוח נשחק וצוותי האבטחה מקבלים בסופו של דבר רשת שטוחה.
הנה החדשות הטובות: רק 1% עד 2% מה פגיעויות IoMT למעשה מהווה סיכון גבוה בסביבה הנתונה שלהם. הסיכון האמיתי של מכשיר IoMT הוא מאוד פונקציה של פרטים סביבתיים - חיבורים של מכשיר, מכשירים קרובים, מקרה השימוש הספציפי שלו, וכן הלאה. על ידי עריכת א ספציפי לסביבה ניתוח ניצול, צוותי אבטחה יכולים לזהות את הסיכונים האמיתיים של המכשיר ולרכז את המשאבים הסופיים שלהם בהתאם. פילוח וטכניקות אחרות יכולות אז להתמקד בתיקון 1% עד 2% העליון של מכשירים ופגיעויות בסיכון גבוה.
צוותי אבטחה צריכים גם להיות מודעים לכך שתוקפים משחקים באותו משחק - הם מחפשים נקודות תורפה בתוך סביבות שיכולות לשמש כקרש קפיצה לשרשראות ההתקפה שלהם. מכשיר ניטור IoMT פשוט ללא נתונים או השפעה משמעותית על תוצאות המטופל עדיין יכול להפוך הדומינו הראשון באירוע ביטחוני גדול.
2. הציגו אבטחה באימוץ
צוותי אבטחה חייבים להתמודד לא רק עם מכשירי IoMT מדור קודם, אלא עם מלאי מכשירים משתנה ללא הרף, שצומח בקצב של 15% בשנה. כדי להתמודד עם הקושי הזה, מנהיגי אבטחה חייבים לדרוש מושב ליד שולחן קבלת ההחלטות כאשר מכשירים חדשים מאומצים - או לכל הפחות, הנחיות לניתוח כראוי ולטפל בפרצות לפני שהמכשירים נכנסים לשימוש פעיל. רמת התחשבות זו היא סטנדרטית בתעשיות אחרות וחייבת להיות יסוד לאסטרטגיית אבטחה יעילה של IoMT.
למעשה, ברוב התעשיות האחרות מחלקת IT יכולה להטיל וטו על אימוץ פתרונות המהווים אחריות אבטחה לארגון. עם זאת, בתוך ארגוני שירותי בריאות, מכשירי IoMT עם בעיות אבטחה עשויים בכל זאת להיות חיוניים למטרה בעלת העדיפות הגבוהה יותר של מתן טיפול יוצא דופן לחולים וחוויות מטופלים. עם זאת, ארגוני בריאות המשלבים אבטחה במכשיר ה-IoMT שלהם רכישה תהליכים מאפשרים תוצאות טובות יותר של אבטחה שוטפת ותיקון סיכונים.
3. צור צוותים משותפים של מומחים
שלא כמו בתעשיות שבהן ארגונים ארגוניים עשויים לנהל מערכים הומוגניים של חיישני IoT זולים ויש להם בחירה מלאה לבטל מכשירים שמציגים כל סיכון שהם לא אוהבים, שירותי הבריאות דורשים תהליך קבלת החלטות שונה לחלוטין והוליסטי. לרופאים יש משקל עצום בכל הנוגע להחלטות טכנולוגיות מכיוון שמכשיר IoMT עם סיכון גבוה מנקודת מבט של אבטחת IT עשוי להפחית משמעותית את הסיכונים למטופל מנקודת מבט בריאותית. מכשירי IoMT שמשפרים את חווית המטופל, כמו מצלמות NICU פגיעות שבכל זאת מאפשרות להורים לצפות בילודים שלהם, עשויים גם הם להצדיק העמדת צוותי אבטחה במצב קשה.
למרות שמובן להחליט בעד תמיכה בתוצאות בריאותיות, מנהיגי אבטחה חייבים להיות מוכנים להציג הגנות שמקלות על החלטות אלו. מיצוי אפקטיביות האבטחה של IoMT בנסיבות מאתגרות אלה דורשת ממנהיגי אבטחה לבנות צוות מומחים עם ידע מצטבר של איומים נוכחיים ותפיסה שיתופית המאפשרת הכנה של אמצעי נגד מיטביים.
הפוך את אבטחת IoMT לעדיפות ארגונית
מנהיגי אבטחת שירותי הבריאות חייבים לעזור לארגונים שלהם להכיר בחשיבות ובערך העצומים של אבטחת IoMT, גם אם התוצאות וחוויות המטופלים במקום הראשון. יחד עם זאת, מנהיגי אבטחה לא צריכים להרתיע מהקושי בניהול סיכונים של IoMT. כל צעד קטן שמפחית סיכון סולל את הדרך לעמדה ביטחונית חזקה.
