انعطاف پذیر ماندن: تاب آوری سایبری در زنجیره های تامین فناوری پزشکی

Abel Archundia، مدیر عامل، علوم و صنایع زیست جهانی، ISTARI توصیه هایی را در مورد آنچه شرکت های تجهیزات پزشکی برای اطمینان از انعطاف پذیری سایبری باید انجام دهند، ارائه می دهد.

ابزارهای پوشیدنی به طور فزاینده ای در تنظیمات بالینی و برای نظارت بر سلامت و فعالیت روزانه ما اهمیت پیدا می کنند. با توجه به حساسیت داده ها، انعطاف پذیری سایبری دستگاه های پزشکی باید قوی باشد و عوامل و تنظیمات مختلفی را در نظر بگیرد که ممکن است بر کارایی کنترل های امنیتی و حریم خصوصی داده ها تأثیر بگذارد. این امر به ویژه در زمینه پوشیدنی‌ها، از ساعت‌های هوشمند گرفته تا مانیتورهای قند مداوم، که به استفاده مناسب توسط کاربر برای به‌روز ماندن نرم‌افزار و امنیت شبکه وابسته هستند، اهمیت دارد.

هنگام بحث در مورد انعطاف‌پذیری سایبری فناوری پزشکی، باید دو جنبه مهم را در نظر بگیریم: سطح امنیت دستگاه و سطح امنیت در مورد انتقال، پردازش و ذخیره‌سازی داده‌های تولید شده. در هر دو حالت، تامین کنندگان شخص ثالث احتمالاً درگیر هستند. با توجه به اینکه این جنبه‌ها برای حفاظت از داده‌های شخصی حیاتی هستند، نحوه ساخت و کارکرد آنها به‌عنوان یک اکوسیستم باید از نزدیک برای تهدیدات بالقوه برای تاب‌آوری مورد بررسی قرار گیرد. حفاظت از این زنجیره‌های ارزش به همان اندازه دشوار است، احتمالاً بیشتر از آن، که پرداختن به سایر مسائل «مستقل» است. با وجود خطرات، بسیاری از شرکت ها انعطاف پذیری سایبری زنجیره تامین یا اکوسیستم عملیاتی خود را در اولویت قرار نمی دهند.

بر اساس بررسی نقض امنیت سایبری در سال 2022، 13 درصد از کسب و کارها خطرات ناشی از تأمین کنندگان فوری خود را ارزیابی کردند و 7 درصد نیز خطرات ناشی از زنجیره تأمین گسترده تر خود را بررسی کردند. این عدم مشاهده ریسک های شخص ثالث مربوط به زمانی است که کسب و کارهای کمتری زنجیره تامین خود را به گونه ای کنترل می کنند که ممکن است بیش از 30 سال پیش رایج بوده باشد – با داشتن هر مرحله. تکه تکه شدن بازار به تعداد زیادی بازیگر کوچکتر و متخصص قابل توجه بوده است و این امر را برای شرکت ها مهم تر می کند تا انعطاف پذیری زنجیره تامین را جدی بگیرند.

سه مرحله برای کمک به ایجاد یک زنجیره تامین مقاوم در برابر سایبری

سازمان ها باید رویکرد خود را نسبت به خطرات سایبری ارتقا دهند تا از آسیب به عملکرد خود جلوگیری کنند.

1. تعریف مالکیت واضح – یک تیم اختصاصی برای ارزیابی و کاهش ریسک شخص ثالث یا زنجیره تامین موفق‌تر است – تضمین می‌کند دید از بین نمی‌رود و ضعف‌های احتمالی کمتری ایجاد می‌شود.

2. اولویت بندی تامین کنندگان – هنگام اولویت بندی تامین کنندگان، عوامل مبتنی بر ریسک را در نظر بگیرید، از جمله:

• محصولات یا خدماتی که ارائه می دهند
• دسترسی به داده ها
• کدام الزامات نظارتی اعمال می شود
• اگر اتصال مستقیم به سیستم ها داشته باشند

برجسته کردن تامین کنندگان ماموریت حیاتی یک گام بسیار مهم است. یک رویکرد مبتنی بر ریسک در زنجیره تامین خود داشته باشید، تامین‌کنندگان را از نظر تأثیری که در صورت بروز مشکل بر کسب‌وکار می‌گذارد رتبه‌بندی کنید و ابتدا بازجویی و ایجاد انعطاف‌پذیری در اطراف آنها را در اولویت قرار دهید. شرکت‌ها باید یک فرآیند کشف داخلی را تنظیم کنند تا ارزیابی کنند که کدام محصولات شخص ثالث در محیط آنها وجود دارد، چگونه تولید می‌شوند و مشخص کنند که از چه جنبه‌هایی از تجارت حمایت می‌کنند.

3. از قبل فکر کنید – بررسی کنید که آیا بندهای قرارداد فعلی برای محیط ریسک مناسب هستند، نه فقط برای انطباق با مقررات فعلی. همچنین باید برای کمک به پیش‌بینی ریسک‌های آتی، به دنبال شرکا بود. متخصصان Onboarding می توانند این کار را با خدمات مدیریت ریسک شخص ثالث انجام دهند.

مسئوليت

از نقطه نظر انعطاف پذیری، محیطی که دستگاه ها در آن کار می کنند دومین عامل مهم است. به عنوان مثال، ابزارهایی مانند تخت های بیمارستانی “هوشمند” یا تجهیزات رادیولوژی در یک محیط پزشکی بسیار کنترل شده عمل می کنند. با این حال، فناوری‌هایی مانند نمایشگرهای قند خون مداوم یا ساعت‌های هوشمند در تنظیمات روزانه عمدتاً بدون نظارت استفاده می‌شوند. هنگام ارزیابی انعطاف‌پذیری این دستگاه‌ها و تعیین محل تمرکز قانونگذاران بر مقررات، زمینه ضروری است.

با توجه به بسیاری از عوامل خارجی که می‌توانند شکاف‌هایی در امنیت یا حریم خصوصی ایجاد کنند، سازندگان دستگاه‌ها از مسئولیت کامل در برابر انعطاف‌پذیری محصولات خود عقب‌نشینی کرده‌اند. این سؤال را به وجود می آورد که چه کسی مسئول امنیت فناوری پزشکی است. سازندگان دستگاه‌های پزشکی باید اطمینان حاصل کنند که دستگاه‌هایشان به شیوه‌ای خاص در چارچوب برخی پارامترهای استفاده تجویز شده عمل می‌کنند. سپس آنها باید شرایطی را که در آن خریدار می تواند با خیال راحت از دستگاه استفاده کند را توصیه کنند. با پیشروی در این راه، پزشکان، کاربران و در نهایت تنظیم‌کننده‌ها حداقل استانداردها را مطالبه می‌کنند یا آن‌ها را به صورت واقعی اجرا می‌کنند.

این تصویر زمانی پیچیده‌تر می‌شود که توسعه‌دهندگان ML و AI را عمیق‌تر در این دستگاه‌ها ادغام کنند. افزایش لازم در اتصال و انتقال داده بین دستگاه ها و سیستم های لبه یا هسته، نقاط ضعف بالقوه بیشتری ایجاد می کند. در حالی که بسیاری از قبل در مورد جمع آوری داده های پزشکی به خاطر تجزیه و تحلیل، تحقیق و توصیه های بهداشتی شخصی سازی شده در زمان محتاط هستند، دستگاه هایی با ML و AI تعبیه شده در آنها اجتناب ناپذیر هستند. ما باید سیستم‌هایی را پیاده‌سازی کنیم تا به‌جای این‌که به‌خاطر بازی‌های عقب‌نشینی، این موضوع را در نظر بگیرند.

تاب آوری تنها زمانی می تواند تضمین شود که دست اندرکاران خطرات را به طور کامل درک کنند. یک زنجیره تامین آسیب پذیر می تواند باعث ایجاد یک اثر موجی از آسیب ها و اختلالات شود. بنابراین، استراتژی‌های روشنی برای محافظت از “جواهرات تاج” داده‌های بیمار و سیستم‌های حیاتی مورد نیاز است. شکست به معنای تأخیر در پذیرش سلامت دیجیتال است که دستگاه‌های پزشکی پیشرفته را تعبیه می‌کند، و در نتیجه بدتر شدن پیامدهای بهداشت عمومی.