PQE פיתחה גישה הוליסטית על מנת לוודא שלקוחותיה מצוידים ברמה הגבוהה ביותר של אבטחת סייבר.
באמצעות ניתוח ופתרון מול כל הפגיעות האפשריות, צפי להפרות ובלימתן
דנילו מרוצ'יה, יועץ בכיר, וסטיבן טירפק, סגן נשיא שותף לתפעול מכשור רפואי; ארה"ב וקנדה, PQE Group
אבטחת סייבר
תאימות רגולטורית למכשור רפואי באירופה
צרו קשרבמחצית הראשונה של 2022, נספרו כ-2.8 מיליארד התקפות של תוכנות זדוניות ברחבי העולם [1] וכ-236.1 מיליון התקפות הקשורות בתוכנות כופר [2]. הצפי היה כי עד סוף השנה, יתרחשו כ-6 מיליארד התקפות פישינג [3] [4]. בהתאם, לקראת 2023, אבטחת הסייבר המשיכה לעמוד בראש סדר העדיפות של מנהלי מערכות המידע [5].
האקרים תקפו ארגוני בריאות ופארמה במשך שנים, ותוכנות הכופר המשיכו להיות רלוונטיות למרות מאמצי הבלימה. פרצות בנתונים נותרו בעיה נפוצה, וחברות נותרו פגיעות. כמו כן, האיומים הופכים מתוחכמים ויעילים יותר, למשל על ידי שימוש בוקטורי תקיפה שהופך מאוד נפוץ. ספקי שירותים, שרשראות אספקה ותוכנות קוד פתוח הם בין הראשונים להיפגע. ובעוד שממשלות נלחמות חזרה בצורה אגרסיבית, לארגוני הבריאות יש תפקיד גדול בהגנה אידיווידואלית על עצמם [6].
ככל שהאיומים הופכים מהותיים יותר, ארגוני בריאות, בתי החולים וייצרני הפארמה חייבים להסתגל ללא הפוגה ל-"יצירתיות" הבלתי נדלית של ההאקרים [7]. התקפות כופר הפכו מאפיין קבוע בנוף איומי הסייבר, והן גדלות במספרן ובתחכומן. למרות שספקי תוכנות כופר כשירות (RaaS) משתדרגים ומתייעלים ללא הרף, יש בידיהם גם שיטות פשוטות יותר, שאינן דורשות ידע טכני נרחב בכדי לתקוף מטרות. הפרדיגמה החדשה מורכבת מקבוצת ליבה של מפתחים שמקימים ומתחזקים אתרי כופר ותשלומים, וכן שותפים שמגויסים על מנת לפרוץ את הרשתות של הקורבנות ומצפיני המכשירים. בגלל שכיחות תוכנות הכופר, סוכנות הסייבר והתשתית של ארצות הברית פרסמה את הנחיותיה בנושא [8].
התקפות על חברות בתחום מדעי החיים וספקי שירותי הבריאות, לרבות חברות טכנולוגיות בריאות, תרופות, ביוטכנולוגיה ומכשור רפואי, גדלו משמעותית בשנים האחרונות. זה כלל התקפות על ארגון הבריאות העולמי (WHO), שדיווח על עלייה של פי חמישה בהתקפות ב-2020 [9]. הגידול באובדן נתונים והתקפות ממוקדות חושף חברות וארגונים ועלול להשבית ציוד ומכשור רפואי. הסיכונים עלולים להוביל לתוצאות קטסטרופליות, הכוללות:
על כן, יש לנקוט בצעדים, על בסיס מתמשך, כדי להפחית את סיכוני אבטחת הסייבר והפרטיות [10]. אלו הם הצעדים:
אנו מאמינים שהעתיד של שירותי הבריאות הוא רפואה מקושרת. הפוטנציאל למוצרים פרמצבטיים/ביוטק משולבים ומכשור רפואי הוא אינסופי. זה כולל חידושים לרבות שתלי ברכיים שמתחברים לניידים על מנת לעקוב אחר ה-pH או הערכים, ושביכולתה לאותת למטופל או לרופא על זיהום או סיבוך אפשרי. דוגמאות נוספות הן מסתמי לב שיכולים לספק משוב אבחנתי לרופא שיכול לעזור לייעל את הטיפול התרופתי או שבב שהושתל מתחת לעור שיכול לדווח אם חולה סרטן בהפוגה מראה סממנים לחזרת המחלה.
מה שמשותף לכל אלה, הוא התלות בתוכנה ותקשורת IT מתאימה, ועל כן בסופו של דבר הם דורשים או ידרשו רמה גבוהה של אבטחת סייבר. עד כה, רוב דאגות אבטחת הסייבר התמקדו בהגנה על חולים ומידע מוסדי (שהוא קריטי ובעל השפעות יקרות). עם זאת, ככל שהטכנולוגיה ממשיכה להתקדם, איומי סייבר עלולים לעלות לארגונים ולחברות ברווחים, בסיכון המוניטין מוניטין ולפני הכל בחיי אדם.
על כל אותם הארגונים והחברות לתכנן את המוצרים שלהן עם אמצעי אבטחת סייבר מובנים וחזקים, ובמקביל לבצע הערכת סיכונים מתאימה לאבטחת סייבר בתמיכת מומחים. ככל שהטכנולוגיות ממשיכות להתפתח, יש צורך קריטי באנשי מקצוע לזיהוי הסיכונים המדויקים בהתאם לכל מוצר ומוצר. כמו בכל מטריצת סיכון, לא ניתן להפחית את הסיכון אם אינך יודע את הנזק הפוטנציאלי שלו.
עסקים בתחום הבריאות הופכים ליותר ויותר מודאגים מהאפשרות של מתקפות סייבר כתוצאה מהעלייה החדה במתקפות כופר בשנים האחרונות. בטיחות החולה, גניבת קניין רוחני, השלכות משפטיות, קנסות מסוכנויות רגולטוריות ופגיעה במוניטין החברה הם רק חלק מההשפעות הפוטנציאליות של התקפות אלו. לכן, יש לנקוט בפעולות מנע לרבות הערכות סיכוני פרטיות ואבטחה, סקירות של מדיניות פרטיות ואבטחה, הדרכת הצוותים והכללת סעיפי פיצוי בהסכמי הספקים.
חברות שירותי בריאות חייבות לשלב אמצעי הגנה חזקים של אבטחת סייבר בתכנון המוצרים על מנת להגן מבעוד מועד מפני מתקפות אפשריות. הצורך במומחה בתחום אבטחת סייבר כדי לזהות ולהפחית סיכונים, הוא חיוני ככל שנוף האיומים משתנה.
מומחי קבוצת PQE מבטיחים לחברות רבות מערכות IT מוגנות ובטוחות מפני תוכנות כופר, האקרים ואיומי סייבר אחרים. שיתוף פעולה עם קבוצת PQE תבטיח פיתוח מוצר בטוח ושמירה על תאימות לרגולציה של ה-FDA (וסוכנויות רגולטוריות אחרות)
References
PQE פיתחה גישה הוליסטית על מנת לוודא שלקוחותיה מצוידים ברמה הגבוהה ביותר של אבטחת סייבר.
באמצעות ניתוח ופתרון מול כל הפגיעות האפשריות, צפי להפרות ובלימתן