ניהול סיכונים בארגוני בריאות – איך עושים את זה?

ארגוני הבריאות מתמודדים עם רמת סיכון חסרת תקדים בתחום אבטחת הסייבר. בתשעת החודשים הראשונים של שנת 2022 דווחו מעל 18,000 חולשות אבטחה – ממוצע של מעל 600 חולשות חדשות ביום. ממחקרים עולה כי לארגון ממוצע דרושים 205 ימים לתקן חולשות אבטחה – יותר משישה חודשים. עם זאת, פושעי סייבר הופכים את חולשות האבטחה למתקפות "יום אפס" בתוך שלושה ימים בלבד. פלא שארגוני הבריאות חווים מספר שיא של פריצות לתשתיותיהם?

מגמות טרנספורמציה דיגיטלית, כגון "האינטרנט של הדברים" (IoT), "האינטרנט של הדברים הרפואיים" (IoMT) והתכנסות טכנולוגיית המידע וטכנולוגיית התפעול (IT/OT) מאפשרות לספקי שירותי בריאות לייעל את שירותיהם, אך מנגד הן אחראיות להגדלה דרמטית ברמת החשיפה של ארגונים למתקפות. המתאם בין מספר השיא של חולשות האבטחה והפריצות מעיד על צורך גובר והולך של ארגוני בריאות בניהול הסיכונים, אולם בכך זה לא מסתיים.

"צעדים קטנים יכולים להיות בעלי השפעה רבה. פירוש הדבר הוא אימוץ העקרונות היסודיים באבטחה. פיתוח רשימת מלאי של נכסים, זיהוי ותיקון של הגדרות שגויות ותיקון חולשות אבטחה יובילו להקטנת הסיכון"

תקנות מינהל התרופות האמריקני – ה-FDA, המחייבות את יצרני המכשירים הרפואיים לחשוף ולתקן חולשות אבטחה, עשויות להרתיע יצרנים בשל התהליך המפרך. גם כאשר מופץ תיקון תוכנה עבור מכשיר רפואי, הטמעתו דורשת תהליך ארוך ויקר; לעתים, נדרשים ארגוני הבריאות לשלם לספקים, כדי שאלו ישלחו מהנדסים לביצוע משימות התיקון. במקרים אחרים, מחלקות IT משהות את תהליך ההטמעה, מחשש לתקלות או להשבתה של מכשירים קריטיים. ובלא מעט מקרים מבצעים ארגוני בריאות תחזוקה שוטפת והטמעת תיקונים באמצעות ספקים עצמאיים.

במרץ 2022 פרסמה Vedere Labs, חטיבת המחקר של פורסקאוט, את Access:7 – דו"ח מחקר אבטחת סייבר שזיהה יותר מ-6 חולשות אבטחה שהשפיעו על יותר מ-100 יצרני מכשירים רפואיים. חולשות אבטחה אלה היו קשורות ל-Axeda, פתרון גישה וניהול מרחוק למכשירים מחוברים, ששולבו ביותר מ-150 מכשירים רפואיים ומכשירי IoT שונים – בעיקר של ספקי שירותי בריאות.

"רשימת חומרים"

Access:7 משמש תזכורת לסיכוני שרשרת האספקה, שעלולים להופיע כתוצאה מהטמעה של תוכנות צד שלישי פגיעות על די יצרני המכשירים הרפואיים. סיכונים אלו עלולים להיות קשים לזיהוי על ידי הספקים, ומשום כך, מדיניות ממשל ביידן בארה"ב היא להורות ליצרני המכשירים לספק "רשימת חומרים" (software bill of materials) – כלומר רשימת רכיבי תוכנה, המשמשים במכשירים הרפואיים שהם מספקים. אולם גם רשימות אלו אינן מספקות פתרון מלא לבעיות האבטחה. ארגונים עדיין נדרשים להקפיד על ויזיביליות על המכשירים שברשותם כדי להבין את הסיכון הניצב בפניהם.

מחקרי אבטחת סייבר מדגימים עד כמה הספקים נוטים להעלים עין מחולשות אבטחה אלה. בשנים האחרונות הודגם לא פעם הקושי לחשוף את חולשות האבטחה בפני ספקים. לעתים קרובות, הפניות לספקים נותרו ללא מענה, וחלף זמן רב בטרם הכירו הספקים בחולשות האבטחה

בסופו של דבר, ארגוני בריאות הם שנושאים באחריות על הסיכונים שלהם. מכיוון שהטרנספורמציה הדיגיטלית יצרה סביבות IT/OT מורכבות, הכוללות מערכות IT, מכשירים רפואיים ומכשירי IoT, כגון מצלמות אבטחה, מיזוג אוויר ומערכות אוטומציה של מבנים, ואחריות זו עשויה להתחלק בין בעלי עניין מרובים בתוך הארגון ומחוצה לו.

החדשות הטובות הן, שצעדים קטנים יכולים להיות בעלי השפעה רבה. פירוש הדבר הוא אימוץ העקרונות היסודיים באבטחה. פיתוח רשימת מלאי של נכסים, זיהוי ותיקון של הגדרות שגויות ותיקון חולשות אבטחה יובילו להקטנת הסיכון. תמיד יוותרו סיכונים שלא ניתנים לטיפול, כגון מכשירים ישנים שלא ניתן להטמיע בהם תיקוני אבטחה, ובמקרה זה ארגונים צריכים לתעדף טכניקות מזעור סיכונים כדי לצמצם את וקטור ההתקפה. פילוח נכון של נכסים רפואיים הוא אחת הדרכים הטובות ביותר לצמצם את הסיכון. ניהול חולשות לבדו לא יעשה את העבודה.

ממש כשם שרופא לא ינתח ללא בחינה של הדמיות, ויזיביליות היא מרכיב קריטי בניהול סיכונים. יכולת זו מאפשרת לארגונים נראות מלאה של נכסיהם בהקשר הדרוש לתעדוף תיקון חולשות ומזעור סיכונים. טיפול מונע מסוג זה יכול לאפשר ריפוי של ממש.

הכותב הוא סמנכ"ל בריאות גלובלית בפורסקאוט.