Безпека цифрових даних про пацієнтів зайняла перше місце з ТОП 10 найнебезпечніших для здоров’я медичних технологій

ECRI-Institute-Top-Ten-2019-1200x1000.jpg

Мета звіту Top 10 Health Technology Hazards –  безпечне використання медичних технологій, від простих пристроїв до складних інформаційних систем  вимагає виявлення можливих джерел небезпеки або труднощів з цими технологіями та вжиття заходів для мінімізації ймовірності виникнення несприятливих ситуацій.

У звіту не перераховано найбільш часто згадуванні проблеми або проблеми, пов’язані з найважчими наслідками, хоча така інформація аналізується під час підготовки. Скоріше, цей список відображає ризики які мають зараз бути пріоритетними.

Кібербезпека залишається на першому місці в списку пріоритетів на 2019 рік. Успішна атака може мати далекосяжні наслідки, потенційно порушуючи операції охорони здоров’я і піддаючи пацієнтів ризику.

Список 2019 року

1. Хакери можуть використовувати віддалений доступ до систем і компьютерных мереж , порушуючи діяльність в медичного закладу або в цілому галузі охорони здоров’я

2. Брудні матраци становлять загрозу наступним пацієнтам

3. Ненавмисно залишені хірургічні губки-спонжі незважаючи на їх ручний перерахунок, продовжують бути ризиком серйозних ускладненням, включаючи необхідність для вторинних операцій.

4. Неправильно встановлена сигналізація апарату ШВЛ піддає пацієнтів ризику гіпоксичного травми мозку або смерті

5. Неправильне поводження з гнучкими ендоскопами після дезінфекції може призвести до зараження пацієнта

6. Переплутування швидкості дози з об’ємом дози (Dose Rate with Flow Rate) в  інфузійному насосі може призвести  до небезпечних помилок введення ліків.

7. Неправильне налаштування параметрів сигналів тривоги фізіологічного монітора може призвести до їх пропущення персоналом

8. Ризик травми від підвісних  систем підйому пацієнтів

9. Потрапляння чистячих рідин в електричні компоненти може призвести до пошкодження обладнання та пожеж

10. Несправні системи та методи зарядки акумулятора можуть вплинути на роботу медичного обладнання

ФОКУС КІБЕРБЕЗПЕКА

Кібератаки на охорону здоров’я постійно збільшуються, ECRI зазначила, що лише за останні 18 місяців опублікувала 50 попереджень та повідомлень про проблеми, пов’язані з кібербезпекою.

Оскільки багато лікарень працює із застарілим програмним забезпеченням, яке поєднане з уразливими медичними пристроями, безпека вже не стосується штрафів за невідповідність HIPAA (Health Insurance Portability and Accountability Act — є актом про мобільність та підзвітність медичного страхування ухвалений Конгресом і підписаний президентом США 21 серпня 1996) або публічного оприлюднення даних – це важлива проблема безпеки пацієнтів.

В ЧОМУ ТРЕНД

За даними ECRI, ризики хакерів, що використовують віддалений доступ до підключених пристроїв та систем, “залишаються значною загрозою діяльності у галузі охорони здоров’я”.

“Атаки можуть зробити пристрої чи системи не дієздатними, погіршити їх продуктивність чи піддати ризику, або піддають поставити під загрозу дані, які вони вміщують, і все це може серйозно перешкоджати наданню медичної допомоги пацієнтами та наразити їх ризику”, – написали дослідники.  

ВІДДАЛЕНИЙ ДОСТУП: КЛЮЧОВА ВРАЗЛИВІСТЬ

У багатьох мережевих пристроях та системах є функція віддаленого доступу. Ця можливість дозволяє, наприклад поза штатним лікарям, отримати доступ до клінічних даних, а також дозволяє постачальникам усувати несправності у встановленому устаткування. Хоча системи віддаленого доступу призначені для законних бізнес-задач, натомість можуть використовуватися для незаконних цілей.

Хакери націлюються на невмілі та вразливі системи віддаленого доступу, щоб проникнути в мережу організації. Як тільки вони отримують доступ, зловмисники можуть переходити на інші підключені пристрої чи системи, встановлюючи зловмисне програмне забезпечення, викрадати дані або роблячи їх непридатними для використання, або захоплюючи обчислювальні ресурси для зловмисних цілей.

Наприклад, хакерська група SamSam використовувала з’єднання протоколу віддаленого робочого столу (RDP), щоб отримати доступ до мереж медичних організацій для розповсюдження програмного забезпечення з цілю вимагання – шкідливих програм, які шифрують дані системи, що робить його недоступним, і, таким чином, не паралізує систему до виплати викупу. Лікарні  та компанії з лабораторних досліджень є одними з багатьох організацій, які постраждали від таких атак. Опубліковані звіти покладають сукупні витрати на постраждалі організації в мільйонах доларів.

“Взломи віддаленого доступу все частіше стають вектором нападу, – зазначає Чад Уотерс, старший інженер з кібербезпеки групи охорони здоров’я Інституту ECRI,” але шкода може вийти далеко за її межі “. Сумно відомий хакерський взлом 2013 року – є наглядним прикладом: викрадені облікові дані у постачальник систем опалення та вентиляції, надали точку входу для атаки рітейлера, що в кінцевому підсумку розкрило платіжну та особисту інформацію для мільйонів клієнтів.

Якщо не налаштувати мережу з належним контролем безпеки – наприклад, використання VLAN та сегрегації мережі, це може зробити системи віддаленого доступу вразливими до хакерських атак. Інші ризиковані випадки включають надання доступу більш високого рівня, ніж потрібно для виконання завдання, або нехтування припиненням доступу після завершення завдання.

КІБЕРБЕЗПЕКА ЯК ПРОБЛЕМА БЕЗПЕКИ ПАЦІЄНТІВ

“У середовищі охорони здоров’я загрози кібербезпеки – це не лише бізнес-питання, а важлива проблема безпеки пацієнтів”, – підкреслює Юусо Лейнонен, старший інженер проекту в групі приладів охорони здоров’я Інституту ECRI. “Успішна атака може сильно вплинути на здатність організації надавати ефективну медичну допомогу пацієнтам.”

Дійсно, наслідки нападу можуть широко розповсюджуватись: системи, які здійснюють догляд за пацієнтами, можуть стати непрацездатними, можуть бути змінені або стати недоступними. Медичні інформаційні системи, що підтримують операції в галузі охорони здоров’я – такі як фінансові, графікові або комунікаційні системи – можуть бути просто на просто відключені. Все це може вплинути на здатність медичних установ своєчасно надавати допомогу пацієнтам, створюючи потенціал для завдання шкоди.

Крім того, захищена інформація про охорону здоров’я (PHI) або інші конфіденційні дані, які зберігаються в ураженій системі, можуть стати загально-доступними та потенційно поширеними  сторонніми неуповноваженим користувачам.

РЕКОМЕНДАЦІЯ ІНСТИТУТУ ECRI: БУДЬТЕ ПРО-АКТИВНІ

Інститут ECRI рекомендує організаціям вжити наступних заходів для посилення захисту від атак віддаленого доступу:

Проведіть інвентаризацію всіх систем віддаленого доступу, розгорнутих у вашій організації. Дізнайтесь, які з систем дозволяють віддалений доступ, або які ініціюють віддалений доступ зсередини, і підтвердіть бізнес-цілі для кожного віддаленого з’єднання.

Впроваджуйте політику щодо затвердження та регулювання віддаленого доступу. Виберіть обмежену кількість стандартних методів віддаленого доступу, які відповідають більшості випадків використання. Коли потреби конкретного проекту неможливо вирішити, використовуючи один із стандартних варіантів віддаленого доступу до медичного закладу, проведіть усесторонній аудит  безпеки запропонованого методу та чітко задокументуйте внутрішні та зовнішні сторони проекту, а також план технічного обслуговування.

Дотримуйтесь рекомендованих практик кібербезпеки. Приклади включають:

  • підтримання та виправлення всіх систем віддаленого доступу та всієї інфраструктури безпеки;
  • ведення журналу всіх подій доступу;
  • розгортання дво-факторної або багатофакторної авторизації користувачів для захисту від взлому паролів;
  • ізоляція віддалено доступних систем від решти мережі;
  • блокування вихідного трафіку на брандмауерах та зміна паролів за замовчуванням на пристроях постачальників.

Повний звіт Інституту ECRI деталізує ці та інші захисні заходи. “Важливо визначити, захистити та контролювати всі засоби віддаленого доступу”, – радить Вотерс. “Погані хлопці шукають уразливі місця доступу вашої організації. Ви також повинні їх шукати … і знайти їх першими “.

Завантажити повний звіт ТОП 10 найнебезпечніших для здоров’я медичних технологій PDF

logo_MC_dark

___________________________________

Аналіз, експертиза, консалтинг, проектування, будівництво, оснащення та реконцепція медичних закладів у приватному та державному сегменті, відповідно до українських та міжнародних стандартів.

Підписка на новини

Subscribe to news

Copyright by MEDICAL CONSTRUCTOR© 2016. All rights reserved.