5 sätt sjukhus kan hjälpa till att förbättra sin IoT-säkerhet

Uppkopplade medicinska apparater har revolutionerat patientvård och erfarenhet. Användningen av dessa enheter för att hantera kliniska och operativa uppgifter har dock gjort dem till ett mål för angripare som vill dra nytta av värdefull patientdata och störd verksamhet. Faktum är att när Palo Alto Networks skannade mer än 200,000 XNUMX infusionspumpar på nätverken av sjukhus och andra vårdorganisationer, fann den att 75 % av dessa infusionspumpar hade minst en sårbarhet eller säkerhetsvarning.

Förutom att de är svåra att skydda erbjuder dessa anslutna enheter utmaningar när det gäller att följa säkerhetskraven i lagar som Health Insurance Portability and Accountability Act (HIPAA). Lyckligtvis finns det flera strategier som sjukhus kan använda för att stärka sitt försvar. Här är fem praktiska sätt som sjukhus kan hjälpa till att säkra medicinsk utrustning och tillhandahålla livräddande patientvård utan avbrott.

1. Upprätthålla vaksam synlighet

Utveckla en noll trust (ZT) säkerhetsstrategi är avgörande för att försvara sig mot dagens sofistikerade attacker, men det första steget är att skapa fullständig synlighet för alla tillgångar i nätverket. Både InfoSec- och Biomed-teamen behöver en heltäckande bild av alla tillgångar som används på ett sjukhuss nätverk och hur många som är anslutna medicinska apparater för att få en tydlig förståelse av deras sårbarhet. Sedan måste team gå bortom enhetsnivån genom att identifiera de huvudsakliga applikationerna och nyckelkomponenterna som körs under operativsystemet för att verkligen genomdriva en ZT-strategi. Till exempel att ha insikter i olika applikationer som t.ex elektroniska hälsojournaler (EPJ), bildarkivering och kommunikationssystem (PACS) som bearbetar digital bildbehandling och kommunikation inom medicin (DICOM) och Fast Healthcare Interoperability Resources (FHIR) data och andra affärskritiska applikationer kan förbättra tillgångarnas övergripande synlighet.

2. Identifiera enhetsexponeringar

Många enheter är kopplade till olika sårbarheter som faller under två kategorier: statisk och dynamisk exponering. Till exempel består statiska exponeringar vanligtvis av vanliga sårbarheter och exponeringar (CVE) som kan åtgärdas oberoende. Däremot kan dynamiska exponeringar hittas i hur enheter kommunicerar med varandra och var de skickar information (inom sjukhuset eller till tredje part), vilket gör dem mer utmanande att identifiera och adressera. Lyckligtvis kommer AI och automation att spela en allt viktigare roll för att hjälpa sjukhus att identifiera dessa exponeringar genom att tillhandahålla datadrivna insikter och proaktiva rekommendationer om hur man kan åtgärda dem mer effektivt.

3. Implementera en nolltillitstrategi

När sjukhus väl har ett tydligt grepp om sina tillgångar och exponeringar kan de anamma en ZT-strategi genom att begränsa tillgången till sårbara enheter och applikationer. Genom att separera enheter och arbetsbelastningar i mikrosegment, administratörer kan bättre hantera säkerhetspolicyer baserat på minsta privilegierade åtkomst. Detta kan hjälpa sjukhus att minska sin attackyta, förbättra skyddet av intrång och stärka regelefterlevnaden genom att placera enheter på olika segment med olika krav och säkerhetskontroller. Till exempel, om en dator äventyras inom sjukhuset, kan mikrosegmentering begränsa skadorna på den specifika enheten utan att påverka medicinsk utrustning som är kritisk för patientvården.

4. Utrullning av virtuell patchning för äldre system

Medicinsk utrustning används vanligtvis på sjukhus i över ett decennium och körs som sådan ofta på äldre mjukvara och system. På grund av deras användningskrav kanske sjukhus inte kan uppgradera eller korrigera det specialiserade medicinska systemet, vilket kan leda till en mängd unika säkerhetsproblem. Dessutom kanske sjukhus inte har råd att ta enheter offline för att uppdatera eller lappa på grund av riskerna för förlust av vård för patienten. Eftersom sjukhus antar ett ZT-förhållningssätt kan de investera i andra former av skydd, som t.ex virtuell patchning för att minska exponeringen för medicintekniska produkter. Till exempel kan verktyg som nästa generations brandväggar tillämpa försvar runt enhetens nätverk och applikationslager utan att behöva röra enheten fysiskt.

5. Skapa transparens i hela ekosystemet

Kommunikation och transparens är avgörande för att förhindra hot från början. Sjukhus CSOs och InfoSec-team måste inkluderas i enhetsanskaffningsprocessen eftersom de erbjuder ett kritiskt perspektiv på hur man bäst skyddar enheter under hela deras livscykel. Sjukhus, säkerhetsteam, leverantörer och enhetstillverkare måste samarbeta för att skapa lösningar och strategier som håller säkerheten i framkant av en medicinsk utrustnings försvar. Historiskt sett, när sjukhus är under attack, arbetar säkerhetsteam tillsammans för att försvara sig mot angripare. Men efter attacken stannar informationen mellan säkerhetsteamen och sjukhusen, med mycket lite information (om någon) går tillbaka för att informera enhetstillverkaren om hur de kan förbättra sin enhetssäkerhet. Sjukhus måste vara mer proaktiva när det gäller att dela direkt feedback med enhetstillverkare om förbättringsområden.

I slutändan, när cybersäkerhetspolicyer fortsätter att utvecklas för medicinsk utrustning, finns det sätt på vilka vi kan skapa lösningar för att lösa säkerhetsutmaningar både nu och i framtiden. Oavsett det okända kan vi göra en mer proaktiv ansträngning för att säkerställa att vi möjliggör en vänstervänsterstrategi för säkerhet och främjar en kultur av cyberresiliens för det medicinska samhället.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/dr-tech/5-ways-hospitals-can-help-improve-their-iot-security