نماد سایت مستر لایسنس – لایسنس امن نرم افزارها

خطر آلودگی سایبری در بیمارستان‌ها: جنگ امنیتی برای حفظ سلامت جسمانی!

خطر آلودگی سایبری در بیمارستان‌ها: جنگ امنیتی برای حفظ سلامت جسمانی!

 

امروزه، شرایط پزشکی تنها بیماری هایی نیستند که مراکز بهداشتی درمانی روزانه با آن مواجه هستند. در روزهای اولیه همه‌گیری، صنعت مراقبت‌های بهداشتی فاقد بلوغ سایبری برای مقابله با این دوره از آشوب بود. هجوم بیماران و واکنش سازمانی به ویروس، سازمان‌های مراقبت‌های بهداشتی را مجبور به تغییر سریع دیجیتالی کرد که به طور قابل توجهی سطح حمله آنها را افزایش داد و فقدان زیرساخت امنیتی، برنامه‌های ضعیف واکنش به حوادث و کمبود متخصصان امنیت سایبری در بخش فناوری اطلاعات بیمارستان را برجسته کرد. این تاخیر، علاوه بر ارزش بازار بالای داده های مراقبت های بهداشتی، امکانات مراقبت های بهداشتی را به هدف اصلی هکرها تبدیل کرده است.

 

تنها در ایالات متحده، از سال 2020 تا 2021، تعداد حملات باج افزار به سازمان های مراقبت های بهداشتی از 34 درصد به 61 درصد افزایش یافته است. این مقدار ۹۴ درصد نسبت به سال 2021 افزایش یافته است، روندی که همانطور که می بینیم به طور پیوسته در حال افزایش است.

 

 

نقاط ضعف در سیستم دفاعی بخش بهداشت و درمان

 

 

سوال میلیون دلاری: چگونه هکرها به مراکز درمانی حمله می کنند؟

 

بیشتر حملات علیه بخش مراقبت‌های بهداشتی، ارائه‌دهندگان خدمات شخص ثالث را هدف قرار می‌دهند که از حقوق دسترسی گسترده‌ای برای انجام تعمیرات و ارتقاء تجهیزات بیمارستانی برخوردار هستند.

 

این ارائه دهندگان خدمات به طور منظم به محیط OT مراکز بهداشتی و درمانی متصل می شوند، چه در بخش پزشکی – اسکنر، MRI، ابزارهای نظارتی، ونتیلاتورها، پمپ های سرنگ – یا در سمت ساختمان – مدیریت انرژی، آسانسور، تهویه مطبوع، مایعات پزشکی و…  است. این ناهمگونی همراه با سطح امنیتی پایین وسایل ارتباطی که به شدت خطرات سایبری مرتبط را برجسته می کند.

 

 

نقش فناوری OT در صنعت مراقبت های بهداشتی

 

به تعبیر گارتنر، فناوری عملیاتی (OT) «سخت‌افزار و نرم‌افزاری است که از طریق نظارت مستقیم و/یا کنترل دستگاه‌های فیزیکی، فرآیندها و رویدادها، تغییری را شناسایی یا ایجاد می‌کند».

 

در سال‌های اخیر، اتوماسیون و دیجیتالی‌سازی در دستگاه‌های مراقبت‌های بهداشتی به منظور نظارت، ردیابی و کارایی مراقبت‌ها سرعت گرفته است. به گفته Fortinet، در حالی که شکی وجود ندارد که همه این دستگاه‌ها با استفاده از فناوری OT به صنعت مراقبت‌های بهداشتی در بهبود مراقبت، کاهش هزینه‌ها و افزایش کارایی کمک می‌کنند، اما به گفته فورتی‌نت، سطح حمله را نیز به میزان قابل توجهی افزایش می‌دهند.

 

خطرات تجهیزات پزشکی متصل

 

امروزه بیمارستان ها از ضربان سازهای قلبی، پمپ های انسولین و سایر دستگاه های پزشکی که بر روی نرم افزار کار می کنند استفاده می کنند. این دستگاه‌ها که همیشه توسط سازندگان به‌روز نمی‌شوند، بر اساس سیستم‌عامل‌های منسوخ ساخته شده‌اند که چندین نقض امنیتی ایجاد می‌کنند.

 

برای شروع، بسیاری از این دستگاه ها در حال حاضر آسیب پذیری های بالقوه زیادی دارند زیرا امنیت آنها در طراحی تعبیه نشده است. رمزگذاری داده ها، مدیریت رمز عبور و احراز هویت، همه ویژگی های گمشده در این نوع تجهیزات هستند.

 

امروزه تجهیزات پزشکی عمدتاً توسط سازندگان با مهندسان زیست پزشکی به عنوان مخاطبین محلی مستقر و نگهداری می شوند. بنابراین صلاحیت در درجه اول به تولیدکنندگانی واگذار می شود که برای حفظ خدمات مرتبط نیاز به اتصال بسیار زیاد دارند. این منجر به بسته شدن زیرساخت های سخت افزاری و نرم افزاری می شود که از نظر امنیت سایبری آسیب پذیر هستند.

 

بسیاری از تولیدکنندگان هنوز به ابزارهای اتصال از راه دور اعتماد می کنند که خیلی ایمن نیستند و در سراسر بیمارستان پخش می شوند. بنابراین آنها اجزای امنیتی پیاده سازی شده را دور زده و سیستم IT را در معرض دید قرار می دهند. معرفی بدافزار یا باج افزار هدفمند می تواند به سرعت منجر به فلج کامل تجهیزات مراقبت های بهداشتی شود. این بدان معناست که حفاظت از تجهیزات پزشکی دیگر فقط به دلیل از دست دادن اطلاعات یا سرقت اطلاعات حساس نیست، بلکه می تواند جان بیماران را نیز تهدید کند.

 

 

 

حفاظت از OT محافظت از سلامت ما است

 

هکری که به یک شبکه مراقبت های بهداشتی نفوذ می کند، لزوماً به دنبال حرکت در داخل شبکه برای جمع آوری اطلاعات و به خطر انداختن سایر مؤلفه ها مانند پایگاه های داده یا سرورها است. بنابراین، ایمن کردن دسترسی برای کاربران ممتاز و کنترل حقوق و قابلیت‌های بازگشت به عقب در ماشین‌های هدف حیاتی است.

 

به همین دلیل، هر مرکز درمانی که به دنبال اجرای یک راه حل OT است، باید نه تنها نحوه ایمن سازی همه دستگاه ها را در نظر بگیرد، بلکه باید به طور کامل دفاعی را که برای همه منابع ممتاز فراتر از دستگاه های شبکه فراهم می کند، بررسی کند.

 

برای کمک به سازمان های مراقبت های بهداشتی در رویکرد امنیتی خود، استانداردهای بین المللی مانند MITER Att&ck for ICS Framework یا ISA/IEC 62443 وجود دارد که به آنها اجازه می دهد با مقررات موجود مطابقت داشته باشند. قوانین مختلف موافق هستند که نیاز فزاینده ای برای ایمن سازی فناوری های عملیاتی (OT)، مانند دستورالعمل NIS اروپا در سال 2016 وجود دارد.

 

با توجه به الزامات مورد انتظار، پیاده‌سازی یک راه‌حل مدیریت دسترسی به امتیاز (PAM) برای اطمینان از امنیت دستگاه‌های پزشکی متصل و اجزای OT که ساختمان را قادر به عملکرد می‌کنند، حیاتی خواهد بود.

 

اما چالش‌های تداوم خدمات، گارانتی سازنده و منسوخ شدن تجهیزات OT نیازمند رویکردی خاص‌تر از سیستم‌های PAM سنتی است. هم سازگاری با پروتکل‌های اختصاصی و هم ناتوانی در نصب عوامل بر روی ماشین‌هایی که دستگاه‌های پزشکی را مدیریت می‌کنند، می‌توانند مانعی برای اجرای مؤثر راه‌حل مدیریت دسترسی به امتیاز باشند.

 

یک راه حل PAM باید ابزارهای قوی ارائه کند و سیاست های سختگیرانه ای را برای ایمن کردن اعتبار برای حساب های ممتاز اجرا کند. ثبت بی‌درنگ فعالیت حساب و نظارت خودکار (و همچنین خاتمه) جلسات به جلوگیری از نقض‌ها و تعیین زمان شناسایی خطر کمک می‌کند. این نه تنها برای حفظ امنیت دستگاه‌ها (و شبکه‌هایی که به آن‌ها متصل می‌شوند) حیاتی است، بلکه برای برآورده کردن الزامات انطباق نیز ضروری است.

 

امنیت باید در استقرار دستگاه‌های پزشکی ادغام شود و با مدیریت تغییر و آگاهی کاربر همراه باشد، زیرا حملات بیشتر شده و عواقب آن شدیدتر می‌شود.

 

 

WALLIX PAM4ALL: راه حلی با تمرکز بر حفاظت از تجهیزات پزشکی صنعتی

 

PAM4ALL، راه حل مدیریت امتیاز یکپارچه WALLIX، از اصل حداقل امتیاز استفاده می کند تا اطمینان حاصل کند که همه کاربران، چه انسان و چه ماشین، می توانند تنها به حداقل تعداد منابع حساس مورد نیاز برای انجام یک کار معین، در زمان مناسب و با امتیاز مناسب دسترسی داشته باشند. مرحله. این رویکرد اعتماد صفر نامیده می شود.

 

این مفهوم که «کاربران» یک سیستم لزوماً همیشه «افراد» نیستند، برای تضمین امنیت کامل دستگاه‌های OT در بخش مراقبت‌های بهداشتی حیاتی است. این به این دلیل است که این دستگاه ها ممکن است خودشان به منابع ممتاز دسترسی داشته باشند و مانند انسان ها نیاز به نظارت و کنترل داشته باشند. مدیران فناوری اطلاعات که مسئولیت امنیت OT را بر عهده دارند، با اطمینان از اینکه اجزای سیستم تابع همان اصول PAM انسان‌ها هستند (فقط دسترسی به منابع ضروری، تحت شرایط مناسب) می‌توانند تهدیدات احتمالی ناشی از همه دستگاه‌های متصل در مراکز بهداشتی را از بین ببرند.

 

علاوه بر این، راه حل WALLIX PAM4ALL امنیت را با طراحی یکپارچه می کند و اتصالات کاربران ممتاز به سیستم ها و تجهیزات را کنترل می کند.

 

در صورتی که این مقاله خطر آلودگی سایبری در بیمارستان ها: جنگ امنیتی برای حفظ سلامت جسمانی! برای شما مفید و آموزنده بود، پیشنهاد می‌شود برای اطلاع از سایر مقالات مستر لایسنس به صفحه وبلاگ مستر لایسنس مراجعه نمایید.

خروج از نسخه موبایل