אסטרטגיית אבטחת סייבר: דרישת מפתח להצלחת מהפך דיגיטלי אצל יצרני מכשור רפואי
מאת: אלכס ווילסון ואנדראס רולמן, 7.1.18, 17:30

אבטחה חייבת להיבנות לתוך מחזור חיי המכשיר לא רק בשלבי תכנון, פיתוח וייצור, אלא גם בהיבטים תפעוליים, כגון עדכוני אבטחה, ואיך יפעל המכשיר בסביבה העומדת בתקן IEC 80001 לסביבת בריאות.

­בשיחות עם יצרני מכשור רפואי לגבי חדשנות ובעיות מרכזיות בעסקים איתם התמודדו ב-12 החודשים האחרונים, בלט נושא אחד, שעלה בכל שיחה: אבטחה - בין אם אבטחת מכשירים או אבטחת סייבר. רבים אימצו גישה של "טוב מספיק",שמותירה אותם ללא הגנה בנקודות מסוימות במחזור חיי המכשיר. רוב מובילי צוותי תוכנה מודעים היטב לכך, שהגנה פשוטה כזו היא מוגבלת או מיושנת ושגישת האבטחה הכוללת לא עונה על הדרישות של היום או של מחר.

מנהלים בכירים מסכימים, שאבטחת מכשירים היא חשובה ביותר, והם מודאגים מכך, שהחברה שלהם תהפוך להיות הבאה בתור, שתתפרסם בכך, שמוצריה ייפרצו. מסקר האבטחה השנתי של סיסקו לשנת 2016 עולה, ש-65% מהחברות חושבות, שארגונים מתמודדים עם רמה גבוהה של סיכוני אבטחה, בעיקר משימוש במובייל, אבטחת IT ופתרונות מבוססי ענן בארגון.

למרות מודעות זו, רבים מהמנהלים לא הגדירו אסטרטגיה כוללת עם פעולות ברורות, ולא בנו את ההצדקה העסקית להקצאת תקציב עבור הטמעת אסטרטגיה כזו. ישנן סיבות שונות להתקדמות איטית זו, בהן חוסר הבנה של ההנהלה הבכירה, תקציבים בלתי מספיקים, פערי מומחיות פנימיים, משאבים של מפתחי תוכנה הנמתחים עד הקצה, העדר אדם מסוים האחראי על אבטחת מכשירים והמורכבות של דרישות רגולציה. 
 
מכשור רפואי ורגולציה
יצרני מכשירים התרגלו ללוקסוס של ההנחה, שהמכשירים שלהם יוטמעו רק ברשת מאובטחת מאחורי פיירוול. אולם, לא כל רשת של בית חולים, שאמורה להיות מאובטחת, היא באמת כזו בפועל. צוותי IT בבתי חולים, בדיוק כמו בתעשיות אחרות, נאבקים כדי לשמור על הרשתות שלהם מעודכנות. הם מתבקשים לחבר לרשתות שלהם מספר הולך וגדל של מכשירים מגוונים יותר, ובנוסף גם שירותים מבוססי ענן הפועלים מחוץ לבית החולים, דבר המביא לחריגות רבות בחוקי ההפעלה המקוריים.

למעשה, עדויות עדכניות מראות, שאפילו עבודה מאחורי הפיירוול אינה מבטיחה סביבה מוגנת, כאשר מכשירים סוררים ונוהלי אבטחה גרועים קיימים במוסדות רבים. מכשירים רפואיים מופעלים גם מחוץ לקירות בתי החולים, במתקני טיפול ארוכי טווח או בבתי מטופלים, שם אין מחלקות 'IT שיבנו תהליכי אבטחה ורשת מאובטחת.

ה-FDA מסתכל על אבטחת הסייבר בחומרה, והקווים המנחים מאוקטובר 2014 היו צעד ראשון בכיוון. יש לציין, שהקווים המנחים מתייחסים למספר סטנדרטים מוכרים לאבטחת מידע בהם ניתן להשתמש כדי לעמוד ביעד, כולל תקני IEC 80001 ו-IEC 62443. ההכרה בסטנדרטים הייתה התחלה טובה, אבל הפעלתם לגבי מכשור ותשתיות רפואיים דורשת ידע ומומחיות נוספים.

עבור יצרן המכשור הרפואי, הדברים אינם מתייחסים למכשיר לגופו, אלא יותר לדרך בה המכשיר תומך ומשתלב במערכות בריאות מרושתות התומכות בתקן IEC 80001.

לעומת זאת, תקן IEC 62443 מכסה צדדים רבים של מערכות בקרה תעשייתיות, אבל לא מתייחס באופן ממוקד למכשור רפואי. לכן, יש להבין כיצד ליישם אותו, וכיצד הוא יכול לסייע ביישום אסטרטגיה העונה לדרישות משתמשי הקצה כדי לכלול את המכשיר במערכות שירותי בריאות מבוססות ISO 80001.

הקווים המנחים של ה-FDA התרחבו בדצמבר 2016 עם  הנחיות העוסקות בניהול סיכוני סייבר במכשירים שנפרסו, וגם קובעות, שתכנית ניהול סיכוני סייבר יעילה צריכה לטפל באבטחת סייבר החל משלב המכשיר הרפואי ועד לגריטה שלו. מומלץ, שיצרנים יישמו את המסגרת של המכון הלאומי לתקנים וטכנולוגיה בארה"ב (NIST) כדי לשפר אבטחת סייבר של תשתיות קריטיות.

אסטרטגיית אבטחת סייבר
נתחיל עם הגורמים המרכזיים המעורבים בפיתוח והטמעה של אסטרטגיית אבטחה מוצלחת, נדון בנקודות הכאב העיקריות שלהם, ונבחן את היעדים שלהם.

יצרני מכשור רפואי
הם חייבים להבטיח, שהם בונים מכשירים תחרותיים העומדים בדרישות הרגולציה המשתנות תדיר, במיוחד סביב לאבטחה. הם חייבים למצוא פתרונות מהירים לשאלות הבאות:

כיצד אנו יכולים להטמיע אסטרטגיית אבטחה, שהיא ברורה ויעילה ליצרני המכשור הרפואי, יחידות המכירות והלקוחות שלהם, עומדת גם בדרישות למשתמשי הקצה (כגון IEC 80001) וגם בחוקים מקומיים לגבי אבטחה ותגובה לאסון ומספקת את התיעוד הנדרש ע"י רשויות הרגולציה?

האם יש לנו צוות בעל ההכשרה המתאימה, שמבין את דרישות הבטיחות וגם את דרישות והאבטחה עבור מכשור רפואי?

כיצד אנו תומכים במנהל ה-IT של לקוחותינו בהטמעת אסטרטגיית IEC 80001?

כיצד אנו עונים על מכרזים לציוד רפואי אשר מגדירים עמידה ב-IEC 80001?

כיצד מספקים את המידע הנדרש למשתמש הקצה כדי לעמוד בדרישה זאת?

כיצד אנו מגיבים לדרישות של בתי חולים לבחינת שיטות טיפול חדשניות, טכנולוגיות רפואיות עדכניות, שירותים חסכוניים, או אפילו מודלים עסקיים חדשים לגמרי?

האם אנו שוקלים מכשירים רפואיים מרושתים כדי לתמוך במעבר לבתי חולים חכמים?

כיצד אנו עונים לחששות של מפעילי בתי חולים?

כיצד אנו מאפשרים העברת נתונים למערכות אלו?

כיצד אנו משמרים בעלות על נתונים ופרטיות?  

כיצד אנו משמרים אבטחה כאשר מעבירים מידע בין מערכות אלו?

מוסדות של שירותי בריאות
גופים אלה מתמודדים עם גל של אתגרים גדולים:
לחץ לחדשנות: חדשנות היא קריטית כדי לשרוד בתחרות בקרב בתי חולים וספקים של שירות רפואי.
 
ניהול עלויות: חיוני כדי לשמור על בריאות פיננסית על אף הגידול במספר הטיפולים והתקציבים המצטמצמים של מערכות בריאות.
 
אחריות, ביטוח ודרישות משפטיות: כל אלה גדלים כל הזמן, יחד עם הדרישות לאבטחת IT, מה שמביא למדיניות ניהול סיכונים מורכבת יותר וחשיפה גדולה יותר לסיכון.
 
גופים מתפתחים לרגולציה ותקנים: אלה שמים דגש חזק יותר על הקישוריות של מכשור רפואי.
 
אבטחת IT מוטמעת: אבטחה משופרת הפכה לדרישת חובה במכשור רפואי, כדי להגיב לאיומי אבטחה הגדלים בהתמדה, אפילו אם זה מגביר את המורכבות של פעילות בין מערכתית בין יצרני מכשור רפואי.

ייצור נתונים: השימוש בנתונים יכול לגדול דרך IoT, כדי לסייע ליצרנים להפוך לאטרקטיביים יותר, להוציא פחות, ולהרוויח יותר עם עסקים חדשים.
 
גופי הסמכה
כתוצאה מהמורכבות של הרגולציה לאבטחת מכשור רפואי, חיוני לעמוד בקשר בשלב מוקדם עם גופי הסמכה כחלק מבניית אסטרטגיית אבטחה. בדרך זו יכולים יצרן המכשור או גוף שירותי הבריאות לאמת, שהמסלול הנבחר לאבטחת מערכות עומד בקו אחד עם דרישות רגולציה עדכניות, ושנבחר הנתיב הנכון, שיוביל, בסופו של דבר, לאישור ע"י גופי ההסמכה. הדבר גם נכון להסמכה של מערכות בטיחות.

סיכום
התנועה קדימה אל טרנספורמציה דיגיטלית עסקית, דורשת גם מיצרני מכשור רפואי וגם ממשתמשי הקצה לשקול את האתגרים החדשים של אבטחת סייבר, כדי לעמוד בדרישות רגולטוריות ולמזער סיכונים עבור מותג החברה והמוניטין שלה.
אבטחה חייבת להיבנות אל תוך מחזור חיי המכשיר, לא רק בשלבי התכנון, הפיתוח והייצור, אלא גם בהיבטים תפעוליים, כגון עדכוני אבטחה, ואיך יפעל המכשיר בסביבה העומדת בתקן IEC 80001 לסביבת בריאות. הדבר הופך לחלק חשוב בהצלחת יצרני מכשירים מול מתחריהם.

מאת: אלכס ווילסון ואנדראס רולמן, ינואר 2018.
 ווינד ריבר