Abel Archundia، مدیر عامل، علوم و صنایع زیست جهانی، ISTARI توصیه هایی را در مورد آنچه شرکت های تجهیزات پزشکی برای اطمینان از انعطاف پذیری سایبری باید انجام دهند، ارائه می دهد.
ابزارهای پوشیدنی به طور فزاینده ای در تنظیمات بالینی و برای نظارت بر سلامت و فعالیت روزانه ما اهمیت پیدا می کنند. با توجه به حساسیت داده ها، انعطاف پذیری سایبری دستگاه های پزشکی باید قوی باشد و عوامل و تنظیمات مختلفی را در نظر بگیرد که ممکن است بر کارایی کنترل های امنیتی و حریم خصوصی داده ها تأثیر بگذارد. این امر به ویژه در زمینه پوشیدنیها، از ساعتهای هوشمند گرفته تا مانیتورهای قند مداوم، که به استفاده مناسب توسط کاربر برای بهروز ماندن نرمافزار و امنیت شبکه وابسته هستند، اهمیت دارد.
هنگام بحث در مورد انعطافپذیری سایبری فناوری پزشکی، باید دو جنبه مهم را در نظر بگیریم: سطح امنیت دستگاه و سطح امنیت در مورد انتقال، پردازش و ذخیرهسازی دادههای تولید شده. در هر دو حالت، تامین کنندگان شخص ثالث احتمالاً درگیر هستند. با توجه به اینکه این جنبهها برای حفاظت از دادههای شخصی حیاتی هستند، نحوه ساخت و کارکرد آنها بهعنوان یک اکوسیستم باید از نزدیک برای تهدیدات بالقوه برای تابآوری مورد بررسی قرار گیرد. حفاظت از این زنجیرههای ارزش به همان اندازه دشوار است، احتمالاً بیشتر از آن، که پرداختن به سایر مسائل «مستقل» است. با وجود خطرات، بسیاری از شرکت ها انعطاف پذیری سایبری زنجیره تامین یا اکوسیستم عملیاتی خود را در اولویت قرار نمی دهند.
بر اساس بررسی نقض امنیت سایبری در سال 2022، 13 درصد از کسب و کارها خطرات ناشی از تأمین کنندگان فوری خود را ارزیابی کردند و 7 درصد نیز خطرات ناشی از زنجیره تأمین گسترده تر خود را بررسی کردند. این عدم مشاهده ریسک های شخص ثالث مربوط به زمانی است که کسب و کارهای کمتری زنجیره تامین خود را به گونه ای کنترل می کنند که ممکن است بیش از 30 سال پیش رایج بوده باشد – با داشتن هر مرحله. تکه تکه شدن بازار به تعداد زیادی بازیگر کوچکتر و متخصص قابل توجه بوده است و این امر را برای شرکت ها مهم تر می کند تا انعطاف پذیری زنجیره تامین را جدی بگیرند.
سه مرحله برای کمک به ایجاد یک زنجیره تامین مقاوم در برابر سایبری
سازمان ها باید رویکرد خود را نسبت به خطرات سایبری ارتقا دهند تا از آسیب به عملکرد خود جلوگیری کنند.
1. تعریف مالکیت واضح – یک تیم اختصاصی برای ارزیابی و کاهش ریسک شخص ثالث یا زنجیره تامین موفقتر است – تضمین میکند دید از بین نمیرود و ضعفهای احتمالی کمتری ایجاد میشود.
2. اولویت بندی تامین کنندگان – هنگام اولویت بندی تامین کنندگان، عوامل مبتنی بر ریسک را در نظر بگیرید، از جمله:
- محصولات یا خدماتی که ارائه می دهند
- دسترسی به داده ها
- کدام الزامات نظارتی اعمال می شود
- اگر اتصال مستقیم به سیستم ها داشته باشند
برجسته کردن تامین کنندگان ماموریت حیاتی یک گام بسیار مهم است. یک رویکرد مبتنی بر ریسک در زنجیره تامین خود داشته باشید، تامینکنندگان را از نظر تأثیری که در صورت بروز مشکل بر کسبوکار میگذارد رتبهبندی کنید و ابتدا بازجویی و ایجاد انعطافپذیری در اطراف آنها را در اولویت قرار دهید. شرکتها باید یک فرآیند کشف داخلی را تنظیم کنند تا ارزیابی کنند که کدام محصولات شخص ثالث در محیط آنها وجود دارد، چگونه تولید میشوند و مشخص کنند که از چه جنبههایی از تجارت حمایت میکنند.
3. از قبل فکر کنید – بررسی کنید که آیا بندهای قرارداد فعلی برای محیط ریسک مناسب هستند، نه فقط برای انطباق با مقررات فعلی. همچنین باید برای کمک به پیشبینی ریسکهای آتی، به دنبال شرکا بود. متخصصان Onboarding می توانند این کار را با خدمات مدیریت ریسک شخص ثالث انجام دهند.
مسئوليت
از نقطه نظر انعطاف پذیری، محیطی که دستگاه ها در آن کار می کنند دومین عامل مهم است. به عنوان مثال، ابزارهایی مانند تخت های بیمارستانی “هوشمند” یا تجهیزات رادیولوژی در یک محیط پزشکی بسیار کنترل شده عمل می کنند. با این حال، فناوریهایی مانند نمایشگرهای قند خون مداوم یا ساعتهای هوشمند در تنظیمات روزانه عمدتاً بدون نظارت استفاده میشوند. هنگام ارزیابی انعطافپذیری این دستگاهها و تعیین محل تمرکز قانونگذاران بر مقررات، زمینه ضروری است.
با توجه به بسیاری از عوامل خارجی که میتوانند شکافهایی در امنیت یا حریم خصوصی ایجاد کنند، سازندگان دستگاهها از مسئولیت کامل در برابر انعطافپذیری محصولات خود عقبنشینی کردهاند. این سؤال را به وجود می آورد که چه کسی مسئول امنیت فناوری پزشکی است. سازندگان دستگاههای پزشکی باید اطمینان حاصل کنند که دستگاههایشان به شیوهای خاص در چارچوب برخی پارامترهای استفاده تجویز شده عمل میکنند. سپس آنها باید شرایطی را که در آن خریدار می تواند با خیال راحت از دستگاه استفاده کند را توصیه کنند. با پیشروی در این راه، پزشکان، کاربران و در نهایت تنظیمکنندهها حداقل استانداردها را مطالبه میکنند یا آنها را به صورت واقعی اجرا میکنند.
این تصویر زمانی پیچیدهتر میشود که توسعهدهندگان ML و AI را عمیقتر در این دستگاهها ادغام کنند. افزایش لازم در اتصال و انتقال داده بین دستگاه ها و سیستم های لبه یا هسته، نقاط ضعف بالقوه بیشتری ایجاد می کند. در حالی که بسیاری از قبل در مورد جمع آوری داده های پزشکی به خاطر تجزیه و تحلیل، تحقیق و توصیه های بهداشتی شخصی سازی شده در زمان محتاط هستند، دستگاه هایی با ML و AI تعبیه شده در آنها اجتناب ناپذیر هستند. ما باید سیستمهایی را پیادهسازی کنیم تا بهجای اینکه بهخاطر بازیهای عقبنشینی، این موضوع را در نظر بگیرند.
تاب آوری تنها زمانی می تواند تضمین شود که دست اندرکاران خطرات را به طور کامل درک کنند. یک زنجیره تامین آسیب پذیر می تواند باعث ایجاد یک اثر موجی از آسیب ها و اختلالات شود. بنابراین، استراتژیهای روشنی برای محافظت از “جواهرات تاج” دادههای بیمار و سیستمهای حیاتی مورد نیاز است. شکست به معنای تأخیر در پذیرش سلامت دیجیتال است که دستگاههای پزشکی پیشرفته را تعبیه میکند، و در نتیجه بدتر شدن پیامدهای بهداشت عمومی.
آخرین دیدگاهها