5 cách bệnh viện có thể giúp cải thiện bảo mật IoT của họ

5 cách bệnh viện có thể giúp cải thiện bảo mật IoT của họ

Dấu thời gian: 16:2023 chiều ngày 8 tháng 32 năm XNUMX
5 cách bệnh viện có thể giúp cải thiện khả năng bảo mật IoT của họ Thông minh dữ liệu PlatoBlockchain. Tìm kiếm dọc. Ái.

Các thiết bị y tế được kết nối đã cách mạng hóa trải nghiệm và chăm sóc bệnh nhân. Tuy nhiên, việc sử dụng các thiết bị này để xử lý các nhiệm vụ lâm sàng và vận hành đã khiến chúng trở thành mục tiêu cho những kẻ tấn công muốn kiếm lợi từ dữ liệu bệnh nhân có giá trị và các hoạt động bị gián đoạn. Trên thực tế, khi Palo Alto Networks quét hơn 200,000 máy bơm truyền dịch trên mạng lưới bệnh viện và các tổ chức chăm sóc sức khỏe khác, họ phát hiện ra rằng 75% số máy bơm truyền dịch đó có ít nhất một lỗ hổng hoặc cảnh báo bảo mật.

Bên cạnh việc khó bảo vệ, những thiết bị được kết nối này còn đặt ra những thách thức khi phải tuân thủ các yêu cầu bảo mật của luật pháp như Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (HIPAA). May mắn thay, có một số chiến lược mà bệnh viện có thể tận dụng để tăng cường khả năng phòng vệ của mình. Dưới đây là năm cách hữu hiệu mà bệnh viện có thể giúp bảo đảm an toàn cho các thiết bị y tế và cung cấp dịch vụ chăm sóc cứu sống bệnh nhân mà không bị gián đoạn.

1. Duy trì tầm nhìn cảnh giác

Phát triển một phương pháp bảo mật không tin cậy (ZT) là rất quan trọng để bảo vệ khỏi các cuộc tấn công tinh vi ngày nay, nhưng bước đầu tiên là thiết lập khả năng hiển thị đầy đủ tất cả nội dung trên mạng. Cả nhóm InfoSec và Biomed đều cần có bức tranh toàn cảnh về tất cả tài sản đang được sử dụng trên mạng của bệnh viện và số lượng thiết bị y tế được kết nối để hiểu rõ các điểm dễ bị tổn thương của chúng. Sau đó, các nhóm phải vượt ra ngoài cấp độ thiết bị bằng cách xác định các ứng dụng chính và các thành phần chính đang chạy bên dưới hệ điều hành để thực sự thực thi phương pháp ZT. Ví dụ: có cái nhìn sâu sắc về các ứng dụng khác nhau như hồ sơ sức khỏe điện tử (EHRs), Hệ thống lưu trữ và truyền thông hình ảnh (PACS) xử lý dữ liệu hình ảnh và truyền thông kỹ thuật số trong y học (DICOM) và Tài nguyên tương tác chăm sóc sức khỏe nhanh (FHIR) cũng như các ứng dụng quan trọng trong kinh doanh khác có thể cải thiện khả năng hiển thị tổng thể của tài sản.

2. Xác định mức độ phơi nhiễm của thiết bị

Nhiều thiết bị có liên quan đến các lỗ hổng khác nhau thuộc hai loại: phơi nhiễm tĩnh và phơi nhiễm động. Ví dụ: phơi nhiễm tĩnh thường bao gồm các lỗ hổng thông thường và phơi nhiễm (CVE) có thể được giải quyết độc lập. Ngược lại, phơi nhiễm động có thể được tìm thấy trong cách các thiết bị giao tiếp với nhau và nơi chúng gửi thông tin (trong bệnh viện hoặc cho bên thứ ba), khiến việc xác định và giải quyết chúng trở nên khó khăn hơn. May mắn thay, AI và tự động hóa sẽ đóng vai trò ngày càng quan trọng trong việc giúp các bệnh viện xác định những nguy cơ phơi nhiễm này bằng cách cung cấp thông tin chi tiết dựa trên dữ liệu và đề xuất chủ động về cách khắc phục chúng hiệu quả hơn.

3. Thực hiện phương pháp tiếp cận Zero Trust

Sau khi các bệnh viện nắm rõ tài sản và mức độ phơi nhiễm của mình, họ có thể áp dụng phương pháp ZT bằng cách hạn chế quyền truy cập vào các thiết bị và ứng dụng dễ bị tấn công. Bằng cách tách các thiết bị và khối lượng công việc thành vi đoạn, quản trị viên có thể quản lý tốt hơn các chính sách bảo mật dựa trên quyền truy cập đặc quyền ít nhất. Điều này có thể giúp các bệnh viện giảm bề mặt tấn công, cải thiện khả năng ngăn chặn vi phạm và tăng cường tuân thủ quy định bằng cách đặt thiết bị vào các phân khúc khác nhau với các yêu cầu và biện pháp kiểm soát bảo mật khác nhau. Ví dụ: nếu một máy tính bị xâm phạm trong bệnh viện, phân đoạn vi mô có thể hạn chế thiệt hại cho thiết bị cụ thể đó mà không ảnh hưởng đến các thiết bị y tế quan trọng đối với việc chăm sóc bệnh nhân.

4. Triển khai bản vá ảo cho các hệ thống cũ

Các thiết bị y tế thường được sử dụng tại các bệnh viện trong hơn một thập kỷ và do đó, thường chạy trên các hệ thống và phần mềm cũ. Do yêu cầu sử dụng, các bệnh viện có thể không nâng cấp hoặc vá lỗi hệ thống y tế chuyên dụng, điều này có thể dẫn đến nhiều vấn đề bảo mật khác nhau. Ngoài ra, các bệnh viện có thể không đủ khả năng đưa các thiết bị ngoại tuyến để cập nhật hoặc vá lỗi do nguy cơ mất sự chăm sóc cho bệnh nhân. Khi các bệnh viện áp dụng phương pháp ZT, họ có thể đầu tư vào các hình thức bảo vệ khác, chẳng hạn như vá ảo để giảm phơi nhiễm với thiết bị y tế. Ví dụ: các công cụ như tường lửa thế hệ tiếp theo có thể áp dụng biện pháp bảo vệ xung quanh mạng và các lớp ứng dụng của thiết bị mà không cần chạm vào thiết bị.

5. Thiết lập tính minh bạch trên toàn hệ sinh thái

Giao tiếp và tính minh bạch là rất quan trọng để ngăn chặn các mối đe dọa ngay từ đầu. Các nhóm CSO của bệnh viện và InfoSec phải được tham gia vào quy trình mua sắm thiết bị vì họ đưa ra quan điểm quan trọng về cách bảo vệ thiết bị tốt nhất trong suốt vòng đời của chúng. Các bệnh viện, đội bảo mật, nhà cung cấp và nhà sản xuất thiết bị phải làm việc cùng nhau để tạo ra các giải pháp và chiến lược giúp bảo mật luôn được đặt lên hàng đầu trong việc bảo vệ thiết bị y tế. Trong lịch sử, khi bệnh viện bị tấn công, các đội an ninh làm việc cùng nhau để chống lại những kẻ tấn công. Tuy nhiên, sau cuộc tấn công, thông tin sẽ được lưu giữ giữa đội an ninh và bệnh viện, với rất ít thông tin (nếu có) được quay lại để thông báo cho nhà sản xuất thiết bị về cách họ có thể cải thiện bảo mật thiết bị của mình. Các bệnh viện phải chủ động hơn khi chia sẻ phản hồi trực tiếp với các nhà sản xuất thiết bị về các lĩnh vực cần cải thiện.

Cuối cùng, khi các chính sách an ninh mạng tiếp tục phát triển cho các thiết bị y tế, sẽ có nhiều cách để chúng ta có thể tạo ra các giải pháp nhằm giải quyết các thách thức bảo mật cả hiện tại và trong tương lai. Bất kể những điều chưa biết, chúng tôi có thể nỗ lực chủ động hơn để đảm bảo rằng chúng tôi đang áp dụng cách tiếp cận theo hướng rẽ trái đối với vấn đề bảo mật và thúc đẩy văn hóa phục hồi mạng cho cộng đồng y tế.

Dấu thời gian:

Thêm từ Đọc tối