אסטרטגיית אבטחת סייבר להצלחת מהפך דיגיטלי אצל יצרני מכשור רפואי

דף הבית >> חדשות אבטחה ועולם הסייבר >> אסטרטגיית אבטחת סייבר להצלחת מהפך דיגיטלי אצל יצרני מכשור רפואי

אסטרטגיית אבטחת סייבר: דרישת מפתח להצלחת מהפך דיגיטלי אצל יצרני מכשור רפואי
מאת: אלכס ווילסון ואנדראס רולמן, 7.1.18, 17:30מכשור רפואי

אבטחה חייבת להיבנות לתוך מחזור חיי המכשיר לא רק בשלבי תכנון, פיתוח וייצור, אלא גם בהיבטים תפעוליים, כגון עדכוני אבטחה, ואיך יפעל המכשיר בסביבה העומדת בתקן IEC 80001 לסביבת בריאות.

­בשיחות עם יצרני מכשור רפואי לגבי חדשנות ובעיות מרכזיות בעסקים איתם התמודדו ב-12 החודשים האחרונים, בלט נושא אחד, שעלה בכל שיחה: אבטחה - בין אם אבטחת מכשירים או אבטחת סייבר. רבים אימצו גישה של "טוב מספיק",שמותירה אותם ללא הגנה בנקודות מסוימות במחזור חיי המכשיר. רוב מובילי צוותי תוכנה מודעים היטב לכך, שהגנה פשוטה כזו היא מוגבלת או מיושנת ושגישת האבטחה הכוללת לא עונה על הדרישות של היום או של מחר.

מנהלים בכירים מסכימים, שאבטחת מכשירים היא חשובה ביותר, והם מודאגים מכך, שהחברה שלהם תהפוך להיות הבאה בתור, שתתפרסם בכך, שמוצריה ייפרצו. מסקר האבטחה השנתי של סיסקו לשנת 2016 עולה, ש-65% מהחברות חושבות, שארגונים מתמודדים עם רמה גבוהה של סיכוני אבטחה, בעיקר משימוש במובייל, אבטחת IT ופתרונות מבוססי ענן בארגון.

למרות מודעות זו, רבים מהמנהלים לא הגדירו אסטרטגיה כוללת עם פעולות ברורות, ולא בנו את ההצדקה העסקית להקצאת תקציב עבור הטמעת אסטרטגיה כזו. ישנן סיבות שונות להתקדמות איטית זו, בהן חוסר הבנה של ההנהלה הבכירה, תקציבים בלתי מספיקים, פערי מומחיות פנימיים, משאבים של מפתחי תוכנה הנמתחים עד הקצה, העדר אדם מסוים האחראי על אבטחת מכשירים והמורכבות של דרישות רגולציה. 
 
מכשור רפואי ורגולציה
יצרני מכשירים התרגלו ללוקסוס של ההנחה, שהמכשירים שלהם יוטמעו רק ברשת מאובטחת מאחורי פיירוול. אולם, לא כל רשת של בית חולים, שאמורה להיות מאובטחת, היא באמת כזו בפועל. צוותי IT בבתי חולים, בדיוק כמו בתעשיות אחרות, נאבקים כדי לשמור על הרשתות שלהם מעודכנות. הם מתבקשים לחבר לרשתות שלהם מספר הולך וגדל של מכשירים מגוונים יותר, ובנוסף גם שירותים מבוססי ענן הפועלים מחוץ לבית החולים, דבר המביא לחריגות רבות בחוקי ההפעלה המקוריים.

למעשה, עדויות עדכניות מראות, שאפילו עבודה מאחורי הפיירוול אינה מבטיחה סביבה מוגנת, כאשר מכשירים סוררים ונוהלי אבטחה גרועים קיימים במוסדות רבים. מכשירים רפואיים מופעלים גם מחוץ לקירות בתי החולים, במתקני טיפול ארוכי טווח או בבתי מטופלים, שם אין מחלקות 'IT שיבנו תהליכי אבטחה ורשת מאובטחת.

ה-FDA מסתכל על אבטחת הסייבר בחומרה, והקווים המנחים מאוקטובר 2014 היו צעד ראשון בכיוון. יש לציין, שהקווים המנחים מתייחסים למספר סטנדרטים מוכרים לאבטחת מידע בהם ניתן להשתמש כדי לעמוד ביעד, כולל תקני IEC 80001 ו-IEC 62443. ההכרה בסטנדרטים הייתה התחלה טובה, אבל הפעלתם לגבי מכשור ותשתיות רפואיים דורשת ידע ומומחיות נוספים.

עבור יצרן המכשור הרפואי, הדברים אינם מתייחסים למכשיר לגופו, אלא יותר לדרך בה המכשיר תומך ומשתלב במערכות בריאות מרושתות התומכות בתקן IEC 80001.

לעומת זאת, תקן IEC 62443 מכסה צדדים רבים של מערכות בקרה תעשייתיות, אבל לא מתייחס באופן ממוקד למכשור רפואי. לכן, יש להבין כיצד ליישם אותו, וכיצד הוא יכול לסייע ביישום אסטרטגיה העונה לדרישות משתמשי הקצה כדי לכלול את המכשיר במערכות שירותי בריאות מבוססות ISO 80001.

הקווים המנחים של ה-FDA התרחבו בדצמבר 2016 עם  הנחיות העוסקות בניהול סיכוני סייבר במכשירים שנפרסו, וגם קובעות, שתכנית ניהול סיכוני סייבר יעילה צריכה לטפל באבטחת סייבר החל משלב המכשיר הרפואי ועד לגריטה שלו. מומלץ, שיצרנים יישמו את המסגרת של המכון הלאומי לתקנים וטכנולוגיה בארה"ב (NIST) כדי לשפר אבטחת סייבר של תשתיות קריטיות.

אסטרטגיית אבטחת סייבר
נתחיל עם הגורמים המרכזיים המעורבים בפיתוח והטמעה של אסטרטגיית אבטחה מוצלחת, נדון בנקודות הכאב העיקריות שלהם, ונבחן את היעדים שלהם.

יצרני מכשור רפואי
הם חייבים להבטיח, שהם בונים מכשירים תחרותיים העומדים בדרישות הרגולציה המשתנות תדיר, במיוחד סביב לאבטחה. הם חייבים למצוא פתרונות מהירים לשאלות הבאות:

כיצד אנו יכולים להטמיע אסטרטגיית אבטחה, שהיא ברורה ויעילה ליצרני המכשור הרפואי, יחידות המכירות והלקוחות שלהם, עומדת גם בדרישות למשתמשי הקצה (כגון IEC 80001) וגם בחוקים מקומיים לגבי אבטחה ותגובה לאסון ומספקת את התיעוד הנדרש ע"י רשויות הרגולציה?

האם יש לנו צוות בעל ההכשרה המתאימה, שמבין את דרישות הבטיחות וגם את דרישות והאבטחה עבור מכשור רפואי?

כיצד אנו תומכים במנהל ה-IT של לקוחותינו בהטמעת אסטרטגיית IEC 80001?

כיצד אנו עונים על מכרזים לציוד רפואי אשר מגדירים עמידה ב-IEC 80001?

כיצד מספקים את המידע הנדרש למשתמש הקצה כדי לעמוד בדרישה זאת?

כיצד אנו מגיבים לדרישות של בתי חולים לבחינת שיטות טיפול חדשניות, טכנולוגיות רפואיות עדכניות, שירותים חסכוניים, או אפילו מודלים עסקיים חדשים לגמרי?

האם אנו שוקלים מכשירים רפואיים מרושתים כדי לתמוך במעבר לבתי חולים חכמים?

כיצד אנו עונים לחששות של מפעילי בתי חולים?

כיצד אנו מאפשרים העברת נתונים למערכות אלו?

כיצד אנו משמרים בעלות על נתונים ופרטיות?  

כיצד אנו משמרים אבטחה כאשר מעבירים מידע בין מערכות אלו?

מוסדות של שירותי בריאות
גופים אלה מתמודדים עם גל של אתגרים גדולים:
לחץ לחדשנות: חדשנות היא קריטית כדי לשרוד בתחרות בקרב בתי חולים וספקים של שירות רפואי.
 
ניהול עלויות: חיוני כדי לשמור על בריאות פיננסית על אף הגידול במספר הטיפולים והתקציבים המצטמצמים של מערכות בריאות.
 
אחריות, ביטוח ודרישות משפטיות: כל אלה גדלים כל הזמן, יחד עם הדרישות לאבטחת IT, מה שמביא למדיניות ניהול סיכונים מורכבת יותר וחשיפה גדולה יותר לסיכון.
 
גופים מתפתחים לרגולציה ותקנים: אלה שמים דגש חזק יותר על הקישוריות של מכשור רפואי.
 
אבטחת IT מוטמעת: אבטחה משופרת הפכה לדרישת חובה במכשור רפואי, כדי להגיב לאיומי אבטחה הגדלים בהתמדה, אפילו אם זה מגביר את המורכבות של פעילות בין מערכתית בין יצרני מכשור רפואי.

ייצור נתונים: השימוש בנתונים יכול לגדול דרך IoT, כדי לסייע ליצרנים להפוך לאטרקטיביים יותר, להוציא פחות, ולהרוויח יותר עם עסקים חדשים.
 
גופי הסמכה
כתוצאה מהמורכבות של הרגולציה לאבטחת מכשור רפואי, חיוני לעמוד בקשר בשלב מוקדם עם גופי הסמכה כחלק מבניית אסטרטגיית אבטחה. בדרך זו יכולים יצרן המכשור או גוף שירותי הבריאות לאמת, שהמסלול הנבחר לאבטחת מערכות עומד בקו אחד עם דרישות רגולציה עדכניות, ושנבחר הנתיב הנכון, שיוביל, בסופו של דבר, לאישור ע"י גופי ההסמכה. הדבר גם נכון להסמכה של מערכות בטיחות.

סיכום
התנועה קדימה אל טרנספורמציה דיגיטלית עסקית, דורשת גם מיצרני מכשור רפואי וגם ממשתמשי הקצה לשקול את האתגרים החדשים של אבטחת סייבר, כדי לעמוד בדרישות רגולטוריות ולמזער סיכונים עבור מותג החברה והמוניטין שלה.
אבטחה חייבת להיבנות אל תוך מחזור חיי המכשיר, לא רק בשלבי התכנון, הפיתוח והייצור, אלא גם בהיבטים תפעוליים, כגון עדכוני אבטחה, ואיך יפעל המכשיר בסביבה העומדת בתקן IEC 80001 לסביבת בריאות. הדבר הופך לחלק חשוב בהצלחת יצרני מכשירים מול מתחריהם.

מאת: אלכס ווילסון ואנדראס רולמן, ינואר 2018.
 ווינד ריבר
 
NORDVPN



 
 
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נמשכת ההרשמה למחזור הבא של TLV Generator. ההרשמה - כאן

מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקיםתוכנות לפרטיים ותוכנות לעסקיםתוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.


 




לוח האירועים המלא לגולשים מצוי כאן.

23/7/18 - Cloud Focus 2018 

24/7/18 - Build Your Virtual Reality Startup Dream Team 

18/10/08 - SIPI 2018 

29-30/10/18 - Smart Mobility Summit 2018 

9-12/12/18- Healthcare Technological INNOVATION Program 

7/3/19 - 2019 OurCrowd Global Investor Summit 

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם ליוני 2018 עפ"י Business Insider - כאן

תאגיד השידור - "עלינו". איך עשו עלינו סיבוב והשאירו את אגרת הטלוויזיה - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

למה 95% מהסטארטאפים בישראל נכשלו, נכשלים וימשיכו להיכשל גם בעתיד - כאן

מה חלקו ואחריותו של ה-CTO למצב בו 95% מהסטארטאפים בישראל נכשלים? - כאן

האם ניתן לרפא את המחלה של כישלון מעל ל-95% מהמיזמים בישראל? - כאן

העסקה הבעייתית של בזק-Yes לא הייתה מתבצעת בלי משרד התקשורת - כאן

המשך חשיפת הבלוף ששמו "מהפיכת הסלולר" ואיך מסרסים את הנתונים לציבור - כאן

כל מה שלא מספרים לכם בנוגע לחקירת "פרשת בזק-YES" ולמה ביבי לא בעניין - כאן

סיכום ביקור בסיליקון ואלי - למה 3 הגדולות משקיעות ומפתחות באותם תחומים - כאן

מורה נבוכים בפרשת "תיק 4000" מי עוד צפוי להיחקר ומה עדיין לא נחקר - כאן

שלמה פילבר (עד לאחרונה מנכ"ל משרד התקשורת) - עד מדינה? הצחקתם אותי! - כאן

20 המובילים ומקבלי הצל"ש בשנת 2017 בעולם התקשורת והייטק הישראלי - כאן

"יש אפליה בחקירה"? חשיפה: למה השר משה כחלון לא נחקר עד היום? - כאן

חשיפת חשד לשחיתות הדומה לזו של "תיק 4000" אך בתחום הסלולר - כאן

חשיפת ההונאה הגדולה שהובילה לכך שמוצרי התקשורת יקרים יותר בישראל - כאן

בלעדי לקוראי האתר: 1 ש"ח ליום שיחות וגלישה ללא הגבלה בחו"ל... - כאן

חשיפת מה שלא רוצים  שתדעו בעניין פריסת אנלימיטד (בניחוח בלתי נסבל) - כאן


 
זרקור חברות
 
TLV-GENERATOR
 
TLV-Generator
 
קפל
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
Schneider Electric
 
TLV-GENERATOR
 
טלי וייס
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים