Het Internet of Medical Things (IoMT) staat aantoonbaar op zichzelf als het gaat om de drempel van uitgebreide IoT-beveiliging waaraan organisaties in de gezondheidszorg voortdurend moeten voldoen. Ziekenhuizen, artsenpraktijken en geïntegreerde toedieningssystemen moeten niet alleen de met het internet verbonden apparaten en apparatuur van hun eigen organisatie altijd conform en veilig houden, maar ze moeten er ook voor zorgen dat de patiëntveiligheid niet in gevaar komt (en de aanzienlijke reputatieschade vermijden die ontstaat van een openbare inbreuk).
Bijkomend aan deze uitdaging is dat zorgorganisaties de neiging hebben om unieke heterogene vloten van IoMT-apparaten in te zetten die grotere volumes van bijzonder kwetsbare legacy-apparaten bevatten. Geen enkele andere industrie die gebruikmaakt van IoT-mogelijkheden heeft zo grote belangen als de gezondheidszorg, noch zulke uitdagende obstakels. Als gevolg hiervan moeten beveiligingsteams in de gezondheidszorg zorgvuldig benaderingen ontwikkelen om bepaalde risico's aan te pakken en te beperken die gewoon niet bestaan in andere moderne IoT-implementaties.
Er zijn drie belangrijke punten om te begrijpen bij het bouwen van een effectieve IoMT-kwetsbaarheidsbeheer- en beveiligingsstrategie. Ten eerste, omdat ze elke maand met duizenden nieuwe kwetsbaarheden worden geconfronteerd, moeten IoMT-beveiligingsteams hun strijd kiezen. Ten tweede betekent het beheren van een hoog apparaatverloop het introduceren van beveiliging vanaf het moment van adoptie. En ten derde moeten beveiligingsleiders samenwerkende teams van experts vormen om talloze apparaten met een hoog risico te beheren.
1. Kies je gevechten
Fabrikanten van IoMT-apparaten publiceren gemiddeld 2,000 tot 3,000 kwetsbaarheden elke maand. Ze publiceren echter op zijn best slechts voor ongeveer één op de 100 patches. Zorgverleners kunnen IoMT-apparaten niet zomaar scannen op kwetsbaarheden, omdat hierdoor veel oudere apparaten zullen crashen. Beveiligingsteams kunnen proberen om elk apparaat gewoon te segmenteren voor het verhelpen en verminderen van kwetsbaarheden, maar dit voor elk apparaat doen is complex - en het onderhouden van een dergelijke segmentering voor IoT en IoMT is nog meer. Teams kunnen niet vertrouwen op scans, heb bijna niet genoeg patchesen er worden voortdurend nieuwe apparaten toegevoegd. Al snel neemt de segmentatie af en krijgen beveiligingsteams een plat netwerk.
Dit is het goede nieuws: slechts 1% tot 2% van IoMT-kwetsbaarheden eigenlijk een hoog risico vormen in hun gegeven omgeving. Het werkelijke risico van een IoMT-apparaat hangt grotendeels af van de omgevingsfactoren: de verbindingen van een apparaat, apparaten in de buurt, het specifieke gebruik, enzovoort. Door het uitvoeren van een omgevingsspecifiek exploit-analyse kunnen beveiligingsteams de echte risico's van een apparaat identificeren en hun beperkte middelen dienovereenkomstig concentreren. Segmentatie en andere technieken kunnen zich vervolgens richten op het oplossen van de top 1% tot 2% van de apparaten en kwetsbaarheden met een hoog risico.
Beveiligingsteams moeten zich er ook van bewust zijn dat aanvallers hetzelfde spel spelen: ze zoeken naar kwetsbaarheden in omgevingen die als springplank kunnen dienen voor hun aanvalsketens. Een eenvoudig IoMT-bewakingsapparaat zonder gegevens of significant effect op patiëntresultaten kan nog steeds worden de eerste dominosteen bij een groot veiligheidsevenement.
2. Introduceer beveiliging bij adoptie
Beveiligingsteams moeten niet alleen worstelen met diepgewortelde legacy IoMT-apparaten, maar ook met steeds veranderende apparaatinventarissen die met een snelheid van 15% per jaar veranderen. Om dit probleem op te lossen, moeten beveiligingsleiders een plaats aan de besluitvormingstafel eisen wanneer nieuwe apparaten worden geadopteerd - of op zijn minst een waarschuwing om kwetsbaarheden goed te analyseren en aan te pakken voordat apparaten actief worden gebruikt. Dat niveau van overweging is standaard in andere industrieën en moet de basis vormen voor een effectieve IoMT-beveiligingsstrategie.
In de meeste andere sectoren zou een IT-afdeling zelfs een veto kunnen uitspreken tegen de goedkeuring van oplossingen die een beveiligingsaansprakelijkheid voor de organisatie vormen. Binnen zorgverleningsorganisaties kunnen IoMT-apparaten met beveiligingsproblemen echter essentieel zijn voor het hogere prioriteitsdoel om uitzonderlijke patiëntenzorg en patiëntervaringen te bieden. Dat gezegd hebbende, zorgorganisaties die beveiliging integreren in hun IoMT-apparaat acquisitie processen zorgen voor een betere doorlopende beveiliging en resultaten voor risicosanering.
3. Vorm samenwerkende teams van experts
Anders dan in sectoren waar CSO's homogene arrays van goedkope IoT-sensoren kunnen beheren en carte blanche hebben om apparaten die elk risico met zich meebrengen dat ze niet leuk vinden, af te wijzen, vereist de gezondheidszorg een heel ander en holistisch besluitvormingsproces. Artsen dragen enorm veel gewicht als het gaat om technologische beslissingen, omdat een IoMT-apparaat met een hoog risico vanuit een IT-beveiligingsperspectief de risico's voor een patiënt vanuit gezondheidsperspectief aanzienlijk kan verminderen. IoMT-apparaten die de patiëntervaring verbeteren, zoals kwetsbare NICU-camera's die ouders toch in staat stellen hun pasgeborenen te bekijken, kunnen ook rechtvaardigen dat beveiligingsteams in een moeilijke positie worden geplaatst.
Hoewel het begrijpelijk is om te kiezen voor het ondersteunen van gezondheidsresultaten, moeten beveiligingsleiders bereid zijn om beveiligingen in te voeren die deze beslissingen vergemakkelijken. Om de effectiviteit van IoMT-beveiliging in deze uitdagende omstandigheden te maximaliseren, moeten beveiligingsleiders een deskundig team bouwen met substantiële verzamelde kennis van huidige bedreigingen en een collaboratieve mentaliteit die de voorbereiding van optimale tegenmaatregelen mogelijk maakt.
Maak van IoMT-beveiliging een organisatorische prioriteit
Leidinggevenden op het gebied van gezondheidszorgbeveiliging moeten hun organisaties helpen het enorme belang en de waarde van IoMT-beveiliging te erkennen, zelfs als de resultaten en ervaringen van de patiënt op de eerste plaats komen. Tegelijkertijd moeten beveiligingsleiders zich niet laten afschrikken door de moeilijkheid van IoMT-risicobeheer. Elke kleine stap die het risico vermindert, effent de weg naar een sterke beveiligingshouding.
