Автор статті: Андрій Ж.

Інтернет медичних речей (IoMT) покращує традиційні системи охорони здоров'я, забезпечуючи підвищену масштабованість, ефективність, надійність і точність у медичних послугах. IoMT сприяє створенню інтелектуальних апаратних і програмних платформ, які працюють через комунікаційні системи та алгоритми обробки даних, підтримуючи обґрунтоване прийняття рішень. Хоча IoMT відіграє ключову роль у наданні широкого спектру медичних послуг, обмежені ресурси цих пристроїв піддають їх значним вразливостям у сфері безпеки та конфіденційності.

Безпека IoMT охоплює стратегію кібербезпеки та захисну структуру, спрямовану на захист від потенційних кібератак, націлених на пристрої Інтернету медичних речей (IoMT), підключені до медичних мереж. Ця галузь кібербезпеки іноді позначається як безпека медичних IoT.

Пристрої IoMT в охороні здоров'я

У сфері охорони здоров'я будь-який медичний апарат, підключений до мережі постачальника медичних послуг, підпадає під категорію "медичний IoT пристрій", який часто називають "підключеним медичним пристроєм", "підключеним клінічним пристроєм" або просто пристроєм IoMT. Ці пристрої виконують різноманітні функції, починаючи від моніторингу серцевого ритму до вимірювання температури, і охоплюють широкий спектр обладнання, такого як:

  • Системи медичної візуалізації
  • Розумні термометри
  • Помпи для інфузій
  • Шлюзи медичних пристроїв
  • Біосенсори, інтегровані у носимі пристрої (для використання в одязі або імплантовані в людське тіло)

Плануєте запуск цифрового продукту?

Розробляємо стабільні та масштабовані веб- і мобільні застосунки для бізнесу.

напишіть нам
Аліна

Клієнт-менеджер

avatar

Швидке зростання впровадження IoMT

Глобальний ринок Інтернету речей у сфері охорони здоров'я, оцінений у 113,75 мільярда доларів США у 2019 році, прогнозується, що зросте до 332,67 мільярда доларів США до 2027 року, що свідчить про стійкий CAGR 13,20% у періоді 2020-2021.

Впровадження IoMT набирає обертів, оскільки підключені пристрої стають дедалі поширенішими в медичних установах. Завдяки постійному розвитку технологій IoMT, їхнє застосування розширюється за межі клінік і лікарень.

Цифрова трансформація сектору охорони здоров'я продовжує розвиватися, зокрема під впливом пандемії COVID-19. Постачальники медичних послуг, виробники медичних пристроїв та лікарняні системи визнають ключову роль, яку відіграють підключені медичні пристрої в цій змінюваній сфері.

Приклади застосування IoMT

Хоча IoT часто слугує бізнес-інструментом у різних галузях, роль медичного IoT (IoMT) в охороні здоров'я є унікальною. IoMT пропонує різноманітні сценарії застосування, включаючи:

  • Моніторинг пацієнтів на відстані
  • Відстеження активів лікарні
  • Відстеження місцезнаходження пацієнтів і персоналу
  • Розумні рішення для лікарень
  • Доставка медичних послуг на відстані

Виклики безпеки IoMT

Однією з основних проблем IoT в охороні здоров'я є його вразливість до загроз безпеці. Багато пристроїв IoMT спочатку не були спроектовані з акцентом на безпеку, що робить їх особливо вразливими до зломів. У секторі охорони здоров'я потреба в надійній безпеці є надзвичайно важливою, оскільки злом у медичній мережі може призвести до загрозливих для життя ситуацій.

Основні виклики безпеки в охороні здоров'я, пов'язані з підключеними медичними пристроями, включають:

  • Вразливості
  • Конфіденційність даних
  • Атаки з використанням шкідливого програмного забезпечення та програм-вимагачів
  • Інтероперабельність
  • Старі системи

У разі витоку даних важливо врахувати сценарій після атаки, зосередившись на ідентифікації та видаленні критично важливої інформації. Хоча дані кредитних карток, банківські рахунки та фінансові послуги можна швидко скасувати або виправити, ідентичність пацієнтів може містити важливу інформацію про здоров'я. Інформаційна комісія Європейського Союзу запровадила нові регуляції, спрямовані на посилення захисту конфіденційності осіб. Загальний регламент захисту даних (GDPR), правова основа, що регулює захист даних та конфіденційність у Європейському Союзі та Європейській економічній зоні, накладає суворі стандарти конфіденційності на компанії. Він вимагає термінового повідомлення про будь-які витоки даних протягом 72 годин з моменту їх виникнення. Крім того, це законодавство накладає обмеження на компанії на основі таких факторів, як їхній дохід, характер атаки та масштаб витоку даних.

У Сполучених Штатах Закон про портативність та підзвітність медичного страхування (HIPAA) 1996 року встановив правила захисту медичних даних. Цей закон забезпечує цілісність, безпеку та конфіденційність даних, зобов'язуючи компанії повідомляти про витоки даних протягом 60 днів з моменту таких інцидентів.

Ризики безпеки IoMT

Дослідники з Unit 42 at Palo Alto Networks провели аналіз даних, отриманих від оцінок безпеки, що охоплюють понад 200,000 інфузійних насосів, підключених до мереж лікарень та медичних організацій. Це питання має критичне значення як для постачальників медичних послуг, так і для пацієнтів, оскільки вразливості безпеки в цих пристроях можуть загрожувати життю або компрометувати чутливу інформацію про пацієнтів.

Опубліковані результати дійсно викликають занепокоєння, оскільки вражаючі 75% відсканованих інфузійних насосів виявили добре задокументовані недоліки безпеки, що підвищує їх сприйнятливість до потенційних компрометацій з боку зловмисників. Ці вразливості включали експозицію щонайменше до однієї з 40 відомих вразливостей у сфері кібербезпеки. Крім того, сповіщення вказували на наявність однієї або більше з 70 інших визнаних недоліків безпеки, поширених у пристроях IoT.

Очевидно, що сектор охорони здоров'я є основною мішенню для кібератак, що ще більше підкреслює важливість вирішення питань безпеки, пов'язаних із підключеними медичними пристроями. Експлуатація вразливостей у таких пристроях може призвести до серйозних ризиків для медичних організацій та їх пацієнтів, включаючи:

  • Безпека пацієнтів
  • Витоки даних
  • Атаки програм-вимагачів
  • Проникнення шкідливого програмного забезпечення
  • Перехоплення пристроїв
  • Проблеми з відповідністю

Вразливості безпеки медичних IoT

Існує багато інформації про відомі вразливості та стратегії захисту цих пристроїв, завдяки зусиллям виробників медичного обладнання, дослідників у сфері кібербезпеки, постачальників безпеки та регуляторних органів, які протягом останнього десятиліття присвятили себе розумінню кіберризиків, пов'язаних з інфузійними насосами та іншими підключеними медичними пристроями. Наприклад, у 2021 році Управління з контролю за продуктами і ліками США (FDA) видало сім відкликань інфузійних насосів або їх компонентів, а також дев'ять додаткових відкликань у 2020 році.

Також тривають ініціативи, очолювані промисловістю та урядом, для стандартизації інформації про пристрої та встановлення основних критеріїв безпеки для їх виробництва. Однак варто зазначити, що типовий інфузійний насос має термін служби від восьми до десяти років. Широке використання обладнання з функціональним терміном, що значно перевищує термін служби його операційної системи, створює труднощі в покращенні безпеки.

Найкращі практики безпеки IoMT

Безпека Інтернету медичних речей вимагає максимальної уваги, що потребує від керівників безпеки в охороні здоров'я впровадження надійних стратегій захисту підключених медичних пристроїв. Ефективна стратегія безпеки медичних пристроїв може зменшити занепокоєння медичних організацій щодо кібератак, дозволяючи їм зосередитися на наданні оптимальної медичної допомоги та результатів.

Ключові рекомендації для безпеки IoMT включають:

  • Забезпечити видимість та провести оцінку ризиків для всіх підключених медичних та операційних пристроїв, використовуючи політики Device-ID.
  • Впровадити контекстну сегментацію мережі та використовувати контролі доступу з найменшими привілеями.
  • Постійно моніторити поведінку пристроїв і проактивно запобігати як відомим, так і невідомим загрозам.
  • Спростити операційні процедури.

Медичні організації з вразливими клінічними та неклінічними пристроями в своїх мережах також можуть розглянути можливість впровадження підходу до життєвого циклу безпеки IoT або IoMT. Це термінові кроки, які можна вжити для зменшення впливу загроз, що націлені на медичні пристрої.

Zero Trust: основа ефективної безпеки підключених медичних пристроїв

Медичні установи стикаються з нагальною проблемою: вирішенням викликів безпеки, які виникають через поширення підключених медичних пристроїв. Основним кроком до забезпечення безпеки цих пристроїв є впровадження підходу Zero Trust. Завдяки цьому підходу команди IT у сфері охорони здоров'я можуть перейти від реактивної, орієнтованої на сповіщення стратегії до проактивної, зосередженої на запобіганні, щоб захистити підключені медичні пристрої.

Фреймворк безпеки Zero Trust вимагає безперервної аутентифікації, авторизації та перевірки конфігурацій та стану безпеки як внутрішніх, так і зовнішніх користувачів перед наданням або підтримкою доступу до застосунків і даних. Доступ надається строго на основі необхідності знати і зберігається лише на той час, поки існує законна потреба.

Ключові заходи для встановлення позиції безпеки Zero Trust включають:

  • Отримання всебічної та точної видимості всіх підключених медичних пристроїв.
  • Оцінка ризиків, пов'язаних з кожним підключеним клінічним пристроєм.
  • Використання можливостей машинного навчання для точного профілювання та сегментації всіх підключених медичних і IoT пристроїв.
  • Впровадження детальних, з найменшими привілеями політик для пристроїв на основі їх класифікацій.

Zero Trust надає можливість медичним організаціям скористатися численними перевагами, які пропонують підключені клінічні пристрої, одночасно зміцнюючи їх стійкість до кіберзагроз, які можуть поставити під загрозу безпеку та конфіденційність пацієнтів. Крім того, це служить надійним захистом від різних атак, включаючи постійну загрозу програм-вимагачів.

Наш досвід

Пристрій для дистанційного керування вуличними сиренами

На фоні війни, що триває, Stfalcon залишається вірним своїй місії служити людям України, зокрема, зосереджуючи увагу на збереженні життів. Наша місія еволюціонувала до "Розробки програмного забезпечення, яке покращує та РЯТУЄ життя людей."

Протягом другого місяця повномасштабної війни з Росією, Хмельницька обласна військова адміністрація звернулася до нас з критично важливим завданням: автоматизувати активацію та деактивацію вуличних сигналів тривоги, які є життєво важливими для інформування населення про неминучі загрози.

Оцінюючи доступні технологічні рішення на ринку, ми вирішили побудувати на основі GSM сигналізатора, розробленого українською компанією OKO. Використовуючи цю технологію, ми успішно створили пристрій, який ефективно вирішив це термінове завдання.

Читати кейс

Підсумок

Пристрої IoMT (Інтернет медичних речей) — це бездротові IoT пристрої, розроблені для безперешкодного підключення до медичних мереж та сприяння передачі даних. Ці пристрої охоплюють широкий спектр застосувань, включаючи системи медичної візуалізації, інтелектуальні термометри, інфузійні насоси, шлюзи медичних пристроїв та біосенсори, інтегровані в носимі пристрої (як частина одягу або імплантовані в тіло людини). Обсяг випадків використання IoMT продовжує стабільно розширюватися.

Керівні принципи безпеки для підключених медичних пристроїв охоплюють:

  • Захист кінцевих точок: Реалізуйте надійні заходи безпеки для всіх IoMT пристроїв, щоб захистити їх від потенційних загроз.
  • Управління ідентифікацією та доступом: Підтримуйте суворий контроль над доступом користувачів та перевіркою особистості, щоб запобігти несанкціонованому входу.
  • Управління активами: Забезпечте всебічний моніторинг і управління всіма IoMT пристроями у вашій мережі.
  • Управління вразливостями: Регулярно оцінюйте та усувайте вразливості, щоб зміцнити безпеку підключених медичних пристроїв.
  • Сегментація мережі: Розділіть вашу мережу на сегменти, щоб обмежити доступ і локалізувати потенційні порушення.
  • Навчання співробітників: Забезпечте навчання співробітників для зменшення ризиків, пов'язаних з їх взаємодією з IoMT пристроями.

Якщо ви зацікавлені у створенні безпечних IoMT пристроїв, напишіть нам, наша присвячена команда допоможе вам реалізувати вашу ідею проекту в реальність.