5 วิธีที่โรงพยาบาลสามารถช่วยปรับปรุงความปลอดภัยของ IoT

อุปกรณ์ทางการแพทย์ที่เชื่อมต่อได้ปฏิวัติการดูแลและประสบการณ์ผู้ป่วย อย่างไรก็ตาม การใช้อุปกรณ์เหล่านี้เพื่อจัดการงานทางคลินิกและการปฏิบัติงานทำให้พวกเขาตกเป็นเป้าหมายของผู้โจมตีที่ต้องการแสวงหาผลกำไรจากข้อมูลอันมีค่าของผู้ป่วยและการดำเนินงานที่หยุดชะงัก ในความเป็นจริง เมื่อ Palo Alto Networks สแกนปั๊มแช่มากกว่า 200,000 เครื่องบนเครือข่ายของโรงพยาบาลและองค์กรด้านการดูแลสุขภาพอื่นๆ ก็พบว่า 75% ของปั๊มแช่เหล่านั้น มีช่องโหว่หรือการแจ้งเตือนความปลอดภัยอย่างน้อยหนึ่งรายการ

นอกจากจะป้องกันได้ยากแล้ว อุปกรณ์ที่เชื่อมต่อเหล่านี้ยังนำเสนอความท้าทายในการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของกฎหมาย เช่น Health Insurance Portability and Accountability Act (HIPAA) โชคดีที่มีกลยุทธ์หลายประการที่โรงพยาบาลสามารถใช้ประโยชน์เพื่อเสริมการป้องกันได้ ต่อไปนี้เป็นห้าวิธีที่โรงพยาบาลสามารถช่วยรักษาความปลอดภัยให้กับอุปกรณ์ทางการแพทย์และให้การดูแลผู้ป่วยที่ช่วยชีวิตได้โดยไม่หยุดชะงัก

1. การรักษาทัศนวิสัยในการเฝ้าระวัง

การพัฒนา แนวทางการรักษาความปลอดภัยแบบ Zero Trust (ZT) เป็นสิ่งสำคัญในการป้องกันการโจมตีที่ซับซ้อนในปัจจุบัน แต่ขั้นตอนแรกคือการสร้างการมองเห็นสินทรัพย์ทั้งหมดทั่วทั้งเครือข่ายโดยสมบูรณ์ ทั้งทีม InfoSec และ Biomed ต้องการภาพรวมของทรัพย์สินทั้งหมดที่ใช้ในเครือข่ายของโรงพยาบาล และจำนวนอุปกรณ์ทางการแพทย์ที่เชื่อมต่อกัน เพื่อทำความเข้าใจจุดอ่อนที่ชัดเจน จากนั้น ทีมจะต้องก้าวไปไกลกว่าระดับอุปกรณ์ด้วยการระบุแอปพลิเคชันหลักและส่วนประกอบหลักที่ทำงานภายใต้ระบบปฏิบัติการเพื่อบังคับใช้แนวทาง ZT อย่างแท้จริง เช่นมีข้อมูลเชิงลึกในการใช้งานต่างๆ เช่น บันทึกสุขภาพอิเล็กทรอนิกส์ (EHRs), ระบบจัดเก็บภาพและสื่อสาร (PACS) ที่ประมวลผลภาพดิจิทัลและการสื่อสารในทางการแพทย์ (DICOM) และข้อมูล Fast Healthcare Interoperability Resources (FHIR) และแอปพลิเคชันที่สำคัญทางธุรกิจอื่นๆ สามารถปรับปรุงสถานะการมองเห็นโดยรวมของสินทรัพย์ได้

2. การระบุความเสี่ยงต่ออุปกรณ์

อุปกรณ์จำนวนมากเชื่อมโยงกับช่องโหว่ที่แตกต่างกันซึ่งอยู่ภายใต้สองหมวดหมู่: ความเสี่ยงแบบคงที่และไดนามิก ตัวอย่างเช่น ความเสี่ยงแบบคงที่โดยทั่วไปจะประกอบด้วยช่องโหว่และความเสี่ยงทั่วไป (CVE) ที่สามารถจัดการได้โดยอิสระ ในทางตรงกันข้าม การเปิดเผยข้อมูลแบบไดนามิกสามารถพบได้ในวิธีที่อุปกรณ์สื่อสารระหว่างกัน และตำแหน่งที่อุปกรณ์ส่งข้อมูล (ภายในโรงพยาบาลหรือไปยังบุคคลที่สาม) ทำให้การระบุและที่อยู่มีความท้าทายมากขึ้น โชคดีที่ AI และระบบอัตโนมัติจะมีบทบาทสำคัญในการช่วยให้โรงพยาบาลระบุความเสี่ยงเหล่านี้ได้ โดยการให้ข้อมูลเชิงลึกที่ขับเคลื่อนด้วยข้อมูลและคำแนะนำเชิงรุกเกี่ยวกับวิธีการแก้ไขอย่างมีประสิทธิภาพมากขึ้น

3. การใช้แนวทาง Zero Trust

เมื่อโรงพยาบาลมีความเข้าใจในทรัพย์สินและความเสี่ยงที่ชัดเจนแล้ว พวกเขาก็สามารถนำแนวทาง ZT มาใช้โดยการจำกัดการเข้าถึงอุปกรณ์และแอปพลิเคชันที่มีช่องโหว่ โดยแยกอุปกรณ์และปริมาณงานออกเป็น ไมโครเซ็กเมนต์ผู้ดูแลระบบสามารถจัดการนโยบายความปลอดภัยได้ดีขึ้นตาม สิทธิ์การเข้าถึงน้อยที่สุด. สิ่งนี้สามารถช่วยให้โรงพยาบาลลดพื้นผิวการโจมตี ปรับปรุงการกักกันการละเมิด และเสริมสร้างการปฏิบัติตามกฎระเบียบโดยการวางอุปกรณ์ไว้บนส่วนต่างๆ ที่มีข้อกำหนดและการควบคุมความปลอดภัยที่แตกต่างกัน ตัวอย่างเช่น หากคอมพิวเตอร์ถูกบุกรุกภายในโรงพยาบาล การแบ่งส่วนย่อยสามารถจำกัดความเสียหายที่เกิดกับอุปกรณ์เฉพาะนั้นได้ โดยไม่ส่งผลกระทบต่ออุปกรณ์ทางการแพทย์ที่สำคัญต่อการดูแลผู้ป่วย

4. การเปิดตัว Virtual Patching สำหรับระบบเดิม

โดยทั่วไปแล้วอุปกรณ์การแพทย์จะมีการใช้งานในโรงพยาบาลมานานกว่าทศวรรษ และด้วยเหตุนี้จึงมักจะทำงานบนซอฟต์แวร์และระบบรุ่นเก่า เนื่องจากข้อกำหนดในการใช้งาน โรงพยาบาลจึงอาจไม่สามารถอัปเกรดหรือแพตช์ระบบการแพทย์เฉพาะทางได้ ซึ่งอาจนำไปสู่ปัญหาด้านความปลอดภัยที่หลากหลาย นอกจากนี้ โรงพยาบาลอาจไม่สามารถซื้ออุปกรณ์ออฟไลน์เพื่ออัปเดตหรือแพตช์ได้ เนื่องจากมีความเสี่ยงที่จะสูญเสียการดูแลผู้ป่วย เนื่องจากโรงพยาบาลนำแนวทาง ZT มาใช้ จึงสามารถลงทุนในการป้องกันรูปแบบอื่นๆ ได้ เช่น การแพตช์เสมือนจริง เพื่อลดการสัมผัสอุปกรณ์ทางการแพทย์ ตัวอย่างเช่น เครื่องมืออย่างไฟร์วอลล์ยุคถัดไปสามารถใช้การป้องกันรอบเครือข่ายของอุปกรณ์และเลเยอร์แอปพลิเคชันโดยไม่จำเป็นต้องสัมผัสอุปกรณ์ทางกายภาพ

5. การสร้างความโปร่งใสทั่วทั้งระบบนิเวศ

การสื่อสารและความโปร่งใสมีความสำคัญอย่างยิ่งในการป้องกันภัยคุกคามตั้งแต่เริ่มต้น CSO ของโรงพยาบาลและทีม InfoSec จะต้องรวมอยู่ในกระบวนการจัดซื้ออุปกรณ์ เนื่องจากพวกเขานำเสนอมุมมองที่สำคัญเกี่ยวกับวิธีการปกป้องอุปกรณ์ให้ดีที่สุดตลอดวงจรชีวิตของพวกเขา โรงพยาบาล ทีมรักษาความปลอดภัย ผู้จำหน่าย และผู้ผลิตอุปกรณ์ต้องทำงานร่วมกันเพื่อสร้างโซลูชันและกลยุทธ์ที่รักษาความปลอดภัยเป็นแนวหน้าในการป้องกันอุปกรณ์ทางการแพทย์ ในอดีต เมื่อโรงพยาบาลถูกโจมตี ทีมรักษาความปลอดภัยจะทำงานร่วมกันเพื่อป้องกันผู้โจมตี อย่างไรก็ตาม หลังการโจมตี ข้อมูลจะยังคงอยู่ระหว่างทีมรักษาความปลอดภัยและโรงพยาบาล โดยมีข้อมูลน้อยมาก (ถ้ามี) ที่จะกลับไปแจ้งให้ผู้ผลิตอุปกรณ์ทราบถึงวิธีที่พวกเขาสามารถปรับปรุงความปลอดภัยของอุปกรณ์ของตนได้ โรงพยาบาลจะต้องดำเนินการเชิงรุกมากขึ้นเมื่อต้องแชร์ความคิดเห็นโดยตรงกับผู้ผลิตอุปกรณ์ในด้านที่ต้องปรับปรุง

ท้ายที่สุดแล้ว เนื่องจากนโยบายความปลอดภัยทางไซเบอร์สำหรับอุปกรณ์ทางการแพทย์มีการพัฒนาอย่างต่อเนื่อง จึงมีวิธีต่างๆ ที่เราสามารถสร้างโซลูชันเพื่อแก้ไขปัญหาท้าทายด้านความปลอดภัยทั้งในปัจจุบันและในอนาคต โดยไม่คำนึงถึงสิ่งที่ไม่ทราบ เราสามารถใช้ความพยายามเชิงรุกมากขึ้นเพื่อให้แน่ใจว่าเราได้เปิดใช้แนวทางการรักษาความปลอดภัยแบบ shift-left และส่งเสริมวัฒนธรรมของความยืดหยุ่นทางไซเบอร์สำหรับชุมชนทางการแพทย์

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/dr-tech/5-ways-hospitals-can-help-improve-their-iot-security