עולם הרפואה והבריאות מתמודד עם אתגר איומי הסייבר כיום יותר מאי פעם. אחד ממקורות האיום הרגישים ביותר הוא מכשור רפואי, שפרצת אבטחה בו עלולה, במקרים קיצוניים, להוביל לפגיעה ישירה בבטיחותם של המטופלים ואף לסכן את חייהם. גם אם לא כל הפגיעות הן קיצוניות, כל שיבוש על ידי גורם חיצוני יכול להשפיע על המטופלים או על שירותי הבריאות עצמם כתוצאה מהשבתת המערכת לזמן קצר או ממושך. אם כן, מהם הצעדים ההכרחיים להגנה מפני התקפת סייבר על מכשירים רפואיים?
הגנת סייבר במכשור רפואי היא תהליך אותו דורש הרגולטור בארץ ובשווקים הבינלאומיים ומטרתו למנוע מגורם בלתי מורשה לבצע שינוי במידע שנאגר במכשור רפואי, שימוש בלתי מורשה או שימוש לרעה במידע הרפואי שנאגר במכשיר הרפואי, שמעובד בו או מועבר מהמכשיר הרפואי ליעד חיצוני, או פגיעה בפעילות המכשיר הרפואי והשבתת מערכות רפואיות.
אלו הן 5 המשימות החשובות ביותר להכניס לצ’קליסט על מנת לוודא עמידה בחובות אבטחת הסייבר במכשירים רפואיים:
1.
ניהול אבטחת מידע הכולל ניתוח סיכוני הגנת סייבר במכשור הרפואי ובממשקים בינו לבין מרכיבים חיצוניים תוך התייחסות לנזק או חבלה אפשרית:
• הערכת ההשפעה של האיומים והפגיעויות על תפקוד המכשיר ועל בריאות המטופלים
• הערכה של ההסתברות לניצול לרעה של איום או פגיעות
• הגדרת רמות סיכון ואסטרטגיות מתאימות לצמצומן
• הערכת הסיכון השיורי והגדרת קריטריונים לרמות סיכון סבירות
• קיום תהליכי בקרה לאבטחת פעילות המכשיר הרפואי בהתאם לאופן החיבור והשימוש
2.
גיבוש ארכיטקטורת אבטחה המתייחסת לכל המערכות הפנימיות והחיצוניות שמתממשקות עם המוצר – אימות זהות, ניהול הרשאות גישה, שימוש בהצפנה, אבטחת שלמות הקוד, המידע וסביבת ההרצה, שמירת סודיות, זיהוי ותיעוד אירועים ביומן אירועים (לוגים), שרידות והתאוששות מפגיעויות, ויכולת עדכון של תיקוני אבטחה בקוד.
3.
ניהול סיכוני אבטחה, לרבות אמצעי בקרה לסיכוני סייבר, תיקוף תהליכי יצור, ואמצעים לתיקון ולמניעה של סיכוני סייבר.
4.
ביצוע בדיקות אבטחת מידע מקיפות, לרבות בדיקת חולשות ובדיקות חדירות, ותיעוד שלהן במסמכים המוגשים לאישור הרגולטור.
5.
הדרכות והכשרות ארגוניות במטרה ליצור מודעות לאבטחת סייבר בקרב העובדים, הכרות עם דרכי מניעת איומים פנימיים וצמצום חשיפה להתקפות חיצוניו, לצד ביסוס נהלים להתמודדות עם פרצות באבטחה.
לסיכום, על רקע איומי הסייבר בתחום הבריאות והרפואה, מחויבות כל חברות המכשור הרפואי לעמוד בכל דרישות אבטחת המידע במכשירים עצמם ובכלל תהליכי הניהול והמערכות התומכות בחברה. צורך זה מתחזק במעמד הכניסה אל שלב השיווק באמצעות ארגוני שירותי בריאות. אלו נדרשים לשמור על תוכנית אבטחה יסודית ומעמיקה, לאמץ טכנולוגיות הגנה מתקדמות, ליישם ולתחזק תוכנית וטכנולוגיות מקיפות לניהול נכסים, ניהול סיכונים וניהול פגיעות, לבצע גיבויים תכופים של נתונים קריטיים, לבצע תרגילי מתקפה וחדירות, ומעל לכל, להדריך באופן קבוע ושוטף את העובדים על הסיכונים ועל דרכי ההימנעות מהם.
לסיכום, על רקע איומי הסייבר בתחום הבריאות והרפואה, מחויבות כל חברות המכשור הרפואי לעמוד בכל דרישות אבטחת המידע במכשירים עצמם ובכלל תהליכי הניהול והמערכות התומכות בחברה. צורך זה מתחזק במעמד הכניסה אל שלב השיווק באמצעות ארגוני שירותי בריאות. אלו נדרשים לשמור על תוכנית אבטחה יסודית ומעמיקה, לאמץ טכנולוגיות הגנה מתקדמות, ליישם ולתחזק תוכנית וטכנולוגיות מקיפות לניהול נכסים, ניהול סיכונים וניהול פגיעות, לבצע גיבויים תכופים של נתונים קריטיים, לבצע תרגילי מתקפה וחדירות, ומעל לכל, להדריך באופן קבוע ושוטף את העובדים על הסיכונים ועל דרכי ההימנעות מהם.
להתייעצות וליווי מקצועי בנושא אבטחת מידע והגנת סייבר בתחום המכשור הרפואי מוזמנים ליצור קשר עם המומחים של MedDev Soft.