病院が IoT セキュリティの向上に貢献できる 5 つの方法

接続された医療機器は、患者のケアとエクスペリエンスに革命をもたらしました。 しかし、これらのデバイスを臨床および運用タスクの処理に使用することで、貴重な患者データや業務の中断から利益を得ようとする攻撃者の標的となっています。 実際、パロアルトネットワークスが病院やその他の医療機関のネットワーク上の 200,000 台以上の輸液ポンプをスキャンしたところ、次のことが判明しました。 輸液ポンプの 75% 少なくとも XNUMX つの脆弱性またはセキュリティ警告がありました。

これらの接続されたデバイスは保護が難しいだけでなく、医療保険の相互運用性と責任に関する法律 (HIPAA) などの法律のセキュリティ要件に準拠するという点でも課題があります。 幸いなことに、病院が防御を強化するために活用できる戦略がいくつかあります。 ここでは、病院が医療機器を保護し、中断することなく救命患者ケアを提供できる XNUMX つの実行可能な方法を紹介します。

1. 警戒心の維持

開発 ゼロトラスト (ZT) セキュリティ アプローチ 今日の高度な攻撃を防御するには重要ですが、最初のステップは、ネットワーク全体のすべての資産の完全な可視性を確立することです。 InfoSec チームと Biomed チームはどちらも、脆弱性のポイントを明確に理解するために、病院のネットワークで使用されているすべての資産と、接続されている医療機器の数を包括的に把握する必要があります。 次に、チームはデバイス レベルを超えて、オペレーティング システムの下で実行されている主要なアプリケーションと主要コンポーネントを特定して、ZT アプローチを真に適用する必要があります。 たとえば、次のようなさまざまなアプリケーションに関する洞察を得ることができます。 電子医療記録 (EHR), 画像アーカイブおよび通信システム (PACS) Digital Imaging and Communications in Medicine (DICOM) データや Fast Healthcare Interoperability Resources (FHIR) データ、その他のビジネスクリティカルなアプリケーションを処理するアプリケーションは、資産の全体的な可視性を向上させることができます。

2. デバイスの暴露の特定

多くのデバイスは、静的エクスポージャと動的エクスポージャという XNUMX つのカテゴリに分類されるさまざまな脆弱性に関連付けられています。 たとえば、静的エクスポージャは通常、個別に対処できる共通脆弱性およびエクスポージャ (CVE) で構成されます。 対照的に、動的な暴露は、デバイス間の通信方法や、情報の送信先 (病院内または第三者) に見られるため、特定と対処がより困難になります。 幸いなことに、AI と自動化は、データに基づいた洞察と、より効率的に修復する方法に関する事前の推奨事項を提供することで、病院がこれらのエクスポージャーを特定できるよう支援する上で、ますます重要な役割を果たすようになるでしょう。

3. ゼロトラストアプローチの実装

病院が自社の資産とリスクを明確に把握したら、脆弱なデバイスやアプリケーションへのアクセスを制限することで ZT アプローチを採用できます。 デバイスとワークロードを分離することで、 マイクロセグメント、管理者は、以下に基づいてセキュリティ ポリシーをより適切に管理できます。 最小特権アクセス。 これにより、病院は、さまざまな要件とセキュリティ制御を持つさまざまなセグメントにデバイスを配置することで、攻撃対象領域を減らし、侵害の封じ込めを改善し、法規制順守を強化することができます。 たとえば、病院内でコンピューターが侵害された場合、マイクロセグメンテーションにより、患者ケアに不可欠な医療機器に影響を与えることなく、その特定の機器への被害を制限できます。

4. レガシー システム向けの仮想パッチ適用の展開

医療機器は通常、病院で XNUMX 年以上使用されているため、多くの場合従来のソフトウェアやシステムで実行されます。 使用要件により、病院は特殊な医療システムをアップグレードしたりパッチを適用したりできない場合があり、これによりさまざまな固有のセキュリティ問題が発生する可能性があります。 さらに、病院では、患者へのケアが失われるリスクがあるため、更新やパッチ適用のためにデバイスをオフラインにする余裕がない場合があります。 病院が ZT アプローチを採用すると、次のような他の形式の保護に投資できるようになります。 仮想パッチ適用 医療機器への曝露を減らすため。 たとえば、次世代ファイアウォールのようなツールは、デバイスに物理的に触れることなく、デバイスのネットワーク層とアプリケーション層の周囲に防御を適用できます。

5. エコシステム全体にわたる透明性の確立

脅威を最初から防ぐには、コミュニケーションと透明性が重要です。 病院の CSO と InfoSec チームは、ライフサイクル全体を通じてデバイスを最適に保護する方法について重要な視点を提供するため、デバイスの調達プロセスに参加する必要があります。 病院、セキュリティ チーム、ベンダー、機器メーカーは協力して、医療機器防御の最前線でセキュリティを維持するソリューションと戦略を作成する必要があります。 歴史的に、病院が攻撃にさらされると、セキュリティ チームは連携して攻撃者から防御します。 ただし、攻撃後、情報はセキュリティ チームと病院の間に留まり、デバイスのセキュリティを向上させる方法についてデバイス メーカーに通知する情報は (あったとしても) ほとんどありません。 病院は、改善すべき領域について機器メーカーと直接フィードバックを共有する際に、より積極的に取り組む必要があります。

最終的には、医療機器のサイバーセキュリティ ポリシーが進化し続けるにつれて、現在および将来のセキュリティ課題を解決するソリューションを作成できる方法が存在します。 未知の要素に関係なく、セキュリティに対するシフトレフトのアプローチを実現し、医療コミュニティのサイバー回復力の文化を確実に育成するために、私たちはより積極的な取り組みを行うことができます。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/dr-tech/5-ways-hospitals-can-help-improve-their-iot-security