Імовірно, Інтернет медичних речей (IoMT) стоїть окремо, коли справа доходить до порогу комплексної безпеки IoT, якому організації, що надають медичні послуги, повинні постійно відповідати. Лікарні, лікарні та інтегровані системи доставки повинні не тільки підтримувати підключені до Інтернету пристрої та обладнання своїх власних організацій завжди сумісними та безпечними, але вони також повинні гарантувати, що безпека пацієнтів не піддається ризику (і уникати значної шкоди репутації від публічного порушення).
До цієї проблеми додає те, що організації охорони здоров’я, як правило, розгортають унікальні різнорідні парки пристроїв IoMT, які містять більшу кількість особливо вразливих застарілих пристроїв. Жодна інша галузь, що використовує можливості Інтернету речей, не має таких високих ставок, як охорона здоров’я, і не має таких складних перешкод. У зв’язку з цим команди з безпеки охорони здоров’я повинні ретельно розробляти підходи до вирішення та пом’якшення певних ризиків, яких просто немає в інших сучасних реалізаціях IoT.
Є три ключові моменти, які слід розуміти, будуючи ефективне управління вразливістю IoMT і стратегію безпеки. По-перше, оскільки вони стикаються з тисячами нових уразливостей щомісяця, команди безпеки IoMT повинні вирішувати свої битви. По-друге, керування великим відтоком пристроїв означає запровадження безпеки з моменту впровадження. І по-третє, керівники безпеки повинні сформувати спільні групи експертів для керування безліччю пристроїв високого ризику.
1. Виберіть свої битви
У середньому виробники пристроїв IoMT публікують від 2,000 до 3,000 вразливостей щомісяця. Однак вони публікують латки в кращому випадку лише для одного зі 100. Організації охорони здоров’я не можуть просто просканувати пристрої IoMT на наявність уразливостей, оскільки це призведе до збою багатьох застарілих пристроїв. Команди безпеки можуть намагатися просто сегментувати кожен пристрій для усунення вразливості та пом’якшення, але зробити це для кожного пристрою складно, а підтримувати таку сегментацію для IoT та IoMT ще більше. Команди не можуть покладатися на сканування, майже не вистачає патчів, і нові пристрої постійно додаються. Досить швидко сегментація зникає, і команди безпеки в кінцевому підсумку мають плоску мережу.
Ось хороша новина: лише від 1% до 2% від Уразливості IoMT фактично становлять високий ризик у їх даному середовищі. Фактичний ризик пристрою IoMT значною мірою залежить від особливостей навколишнього середовища — з’єднання пристрою, пристрої поблизу, конкретний варіант використання тощо. Проводячи ан специфічні для середовища аналізу експлойтів, групи безпеки можуть визначити справжні ризики пристрою та відповідно зосередити свої обмежені ресурси. Потім сегментація та інші методи можуть зосередитися на виправленні 1–2% найвищих пристроїв і вразливостей із високим ризиком.
Команди безпеки також повинні знати, що зловмисники грають у ту саму гру — вони шукають вразливі місця в середовищах, які можуть слугувати трампліном для їхніх ланцюжків атак. Простий пристрій моніторингу IoMT без даних або істотного впливу на результати пацієнтів все ще може стати перше доміно у великій події безпеки.
2. Запровадити безпеку при усиновленні
Команди безпеки мають боротися не лише з укоріненими застарілими пристроями IoMT, але й із постійно змінюваними запасами пристроїв, які скорочуються зі швидкістю 15% на рік. Щоб протистояти цій труднощі, лідери безпеки повинні вимагати місце за столом прийняття рішень, коли нові пристрої впроваджуються — або, принаймні, попередження для належного аналізу та усунення вразливостей, перш ніж пристрої почнуть активно використовуватися. Такий рівень уваги є стандартним для інших галузей і має бути основою для ефективної стратегії безпеки IoMT.
Фактично, у більшості інших галузей ІТ-відділ може накласти вето на прийняття рішень, які створюють відповідальність за безпеку для організації. Проте в організаціях, що надають медичну допомогу, пристрої IoMT із проблемами безпеки все ж можуть мати важливе значення для досягнення найпріоритетнішої мети — надання виняткового догляду за пацієнтами та їхнього досвіду. Тим не менш, організації охорони здоров’я, які впроваджують засоби безпеки в свої пристрої IoMT придбання процеси забезпечують кращу безпеку та результати усунення ризиків.
3. Сформуйте спільні групи експертів
На відміну від галузей, де ОГС можуть керувати однорідними масивами недорогих датчиків Інтернету речей і мають карт-бланш відмовитися від пристроїв, які представляють будь-який ризик, який їм не подобається, охорона здоров’я вимагає зовсім іншого та цілісного процесу прийняття рішень. Клініцисти мають величезну вагу, коли йдеться про технологічні рішення, оскільки пристрій IoMT із високим ризиком з точки зору ІТ-безпеки може значно зменшити ризики для пацієнта з точки зору здоров’я. Пристрої IoMT, які покращують досвід роботи пацієнтів, такі як вразливі камери реанімаційних відділень, які, тим не менш, дозволяють батькам спостерігати за своїми новонародженими, також можуть виправдовувати скрутне становище команд безпеки.
Хоча зрозуміло прийняти рішення на користь підтримки показників здоров’я, керівники безпеки повинні бути готові запровадити засоби захисту, які полегшать ці рішення. Максимізація ефективності безпеки IoMT у цих складних обставинах вимагає від лідерів безпеки створення команди експертів із значним накопиченим знанням про поточні загрози та настроєм на співпрацю, що дозволяє підготувати оптимальні заходи протидії.
Зробіть безпеку IoMT пріоритетом організації
Керівники системи охорони здоров’я повинні допомогти своїм організаціям усвідомити надзвичайну важливість і цінність безпеки IoMT, навіть якщо результати та досвід пацієнтів стоять на першому місці. У той же час керівники безпеки не повинні лякатися труднощами управління ризиками IoMT. Кожен маленький крок, який зменшує ризик, прокладає шлях до надійної безпеки.
