Usvajanje povezanih medicinskih uređaja, poznatih kao Internet of Medical Things (IoMT), transformisalo je brigu o pacijentima. Međutim, ovaj tehnološki napredak takođe je doveo do izazova u cyber bezbjednosti u cilju zaštite sigurnosti pacijenata i očuvanja bezbjednosti organizacije.
Osiguravanje IoMT-a: Prioritet rizicima
IoMT uređaji, od infuzionih pumpi do sistema za snimanje, često su međusobno povezani i komuniciraju putem mreža, što ih čini potencijalnim ulaznim tačkama za cyber prijetnje. Jedinstvena priroda medicinskih uređaja, koji često rade na zastarjelim sistemima sa produženim životnim ciklusima, dodatno komplikuje njihovu zaštitu.
“Zdravstvene organizacije se neprestano bore sa upravljanjem uređajima sa visokim CVSS ocjenama od 9.0 i više. Otkrili smo da 20% OT i IoMT uređaja spada u ovu kategoriju visokog rizika. Naravno, ove ocjene su vrijedne, ali se često oslanjamo na njih kada određujemo koje uređaje treba popraviti. Organizacije pokušavaju da ‘boil the ocean’ kada se suočavaju sa ranjivostima”, rekao je Taj Grinhol, industrijski princip za zdravstvo u kompaniji Claroty.
Da bi se rizici zaista upravljali i prioritetizovali, organizacije moraju razmišljati izvan tehničkih ocena i uzeti u obzir kontekstualne faktore rizika koji utiču na operacije povezane sa negom pacijenata. To može uključivati identifikaciju uređaja u oblastima kritične nege, zastarjele uređaje blizu ili nakon isteka životnog veka, nesigurne protokole komunikacije i načine na koje se skladište osetljive lične informacije.
Slabosti u bezbjednosti medicinskih uređaja
1. Zastarjeli sistemi i zastarjeli firmware
Veliki broj medicinskih uređaja radi na zastarjelim operativnim sistemima. Istraživanja su pokazala da 14% povezanih medicinskih uređaja koristi nepodržane ili zastarjele operativne sisteme, pri čemu uređaji za snimanje, poput rendgenskih i MRI sistema, čine 32% ovih nepodržanih uređaja. Oslanjanje na zastarjeli softver čini ih podložnim poznatim eksploatacijama.
2. Podrazumjevana i slaba autentikacija
Alarmantno je da 21% medicinskih uređaja koristi slabe ili podrazumjevane kredencijale, koje se često lako mogu pronaći u onlajn priručnicima. Ova greška omogućava napadačima da prodru u mreže bolnica.
3. Nekomunikacione mreže
Oko 22% bolnica ima uređaje koji povezuju gostujuće i interne mreže. Šokantno je da 4% hirurških uređaja komunicira putem gostujućih mreža, izlažući ključnu opremu potencijalnim napadima sa javnih pristupnih tačaka.
4. Nedostatak vidljivosti i upravljanja popisom
Mnoge zdravstvene organizacije nemaju sveobuhvatan popisom svojih povezanih uređaja, što otežava efikasno praćenje i procjenu rizika, ostavljajući brojne uređaje bez nadzora i podložne napadima.
Cena nerada
1. Napadi
Zdravstveni sektor postao je glavna meta napada ransomware-om. U 2024. godini, 92% zdravstvenih organizacija iskusilo je bar jedan cyber napad, a 69% je prijavilo prekide u brizi o pacijentima kao direktnu posledicu.
2. Upozorenja FDA i opozivi uređaja
U martu 2019. godine, FDA je izdao upozorenje o cyber bezbjednosnim ranjivostima u Medtronicovim implantabilnim kardijalnim uređajima. Identifikovane mane su mogle omogućiti neovlašćenim korisnicima pristup i kontrolu nad ovim uređajima, što je predstavljalo ozbiljan rizik za bezbjednost pacijenata.
3. Prijetnje od strane država
Napredne perzistentne prijetnje (APT) sve više ciljaju zdravstvene infrastrukture, sa ciljem krađe osetljivih podataka o pacijentima ili ometanja ključnih usluga, što naglašava potrebu za robusnim odbrambenim mehanizmima.
Regulatorni i usklađenosni izazovi
1. Regulativa FDA i bezbjednost medicinskih uređaja
FDA je naglasio značaj cyber bezbjednosti u medicinskim uređajima, izdajući smjernice koje podstiču proizvođače da implementiraju bezbjednosne mjere tokom celog životnog ciklusa uređaja.
2. HIPAA i IoMT
Zakon o prenosivosti i odgovornosti zdravstvenog osiguranja (HIPAA) zahtjeva zaštitu informacija o pacijentima. Medicinski uređaji koji obrađuju zaštićene zdravstvene informacije (PHI) moraju se pridržavati strogih bezbjednosnih zahteva.
3. EU MDR i GDPR implikacije
Evropska regulativa o medicinskim uređajima (MDR) i Opšta uredba o zaštiti podataka (GDPR) nameću stroge standarde bezbjednosti medicinskih uređaja i zaštite podataka. Nepoštovanje može dovesti do visokih kazni i pravnih posledica.
Proaktivno angažovanje
Za CISO-e, prioritet bi trebalo da bude proaktivno angažovanje. Prvo, implementirajte praćenje ranjivosti u realnom vremenu i osigurajte brzo uvođenje bezbjednosnih zakrpa. Drugo, regulativno usklađivanje nije jednokratan proces – potrebno je kontinuirano praćenje i ažuriranje.
Strategije ublažavanja rizika
- Inventar i procena rizika: Redovno popisujte sve povezane uređaje i procenjujte rizike.
- Segmentacija mreže: Izolujte medicinske uređaje od drugih kritičnih sistema.
- Zero trust arhitektura: Uvedite strogu kontrolu pristupa i stalnu verifikaciju.
- Upravljanje sigurnošću dobavljača: Zahtevajte ažuriranja i transparentnost softverskih komponenti.
- Korišćenje AI za otkrivanje anomalija: Praćenje ponašanja uređaja radi otkrivanja bezbjednosnih incidenata.
Zaključak
CISO-i moraju usvojiti pristup sa fokusom na vidljivost i efikasno upravljanje sredstvima kako bi smanjili finansijske gubitke i poboljšali bezbjednost. Saradnja između proizvođača, pružalaca zdravstvenih usluga i regulatora je ključna za smanjenje rizika i zaštitu pacijenata.
Izvor:Help Net Security
