אבטחת סייבר של מכשור רפואי מחובר לרשת

מכשירים רפואיים רבים מציעים אפשרויות לפעול בשיתוף עם מכשירים אחרים המחוברים לרשת מידע של הארגון הרפואי באמצעות טכנולוגיות שכבר הוכחו כיעילות בתחומים של מערכות מידע. התייחסות נכונה למכשור רפואי היא כאל מערכת תפעולית (Operation Technology – OT) שכוללת גם מידע רפואי חסוי. כדי להבטיח פעולה בטוחה, אמינה ומאובטחת, היצרנים של מכשירים אלה נדרשים לכלול אמצעים לאבטחת סייבר, במיוחד עבור אלה שפעילותם קשורה לבטיחות המטופל. הסעיפים שלהלן עוסקים בשאלות הקשורות לאבטחת סייבר בכל תחום שיש לו השפעה על מכשירים כאלה, ובנוסף, מנקודת מבט של אבטחת המידע הרפואי – חשוב במיוחד להתייחס לאבטחת סייבר עבור מכשירים רפואיים המחוברים לרשת:

• מצב פעולה בהתאם למטרה הרפואית המיועדת
• התייחסות לתצורה של המכשיר ואופן השימוש בו
• הנחיות לתחזוקה טכנית שוטפת על פי הוראות היצרן
• ההשפעה של אבטחת סייבר על התפעול המדויק והבטיחותי של המכשור.
• מכשור רפואי דורש תחזוקה וייתכן שיהיה צורך לכייל מכשירים או לבצע עדכונים מעת לעת.
• האם כל ממשקי ההתחברות לצורכי תחזוקה מוגנים כראוי מפני גישה לא מורשית?
• אם מתבצעת תחזוקה מרחוק, האם יש אמצעים כדי להבטיח שהתהליך מבוצע לפי נהלים ברורים?
• האם תחזוקה מרחוק מתאפשרת לזמן מוגבל ובאישור מפורש (באמצעות הפעלה או אישור)?

לסיכום, הגנה על מערכות של מכשור רפואי ומכשירים שפועלים כיחידה עצמאית מושגת באמצעות הגנה פיזית והיקפית והקפדה על נהלים בארגון, הפרדת רשתות וקישור מאובטח בין אזורי מחשוב, ביצוע סקרי חולשות, שדרוג טכנולוגיות והדרכות לעובדים ברמות הנדרשות. מומלץ כי מערכות מחשוב רפואי ייבחרו עם העדפה למוצרים שיוצרו על ידי חברות מובילות בתחום, שמיקומן באירופה או בצפון אמריקה. המכשור חייב להיות תואם לתקנים מחייבים בישראל ומסופק על ידי חברה עם מוניטין של איכות ומתן שירות, וגם מוניטין של הקפדה על הקטנת סיכוני סייבר. מומלץ לתת העדפה למכשור שיוצר על ידי חברות שעומדות בתקן 62443ISA – IEC. חשוב שבעלי תפקידים שמתחזקים את המכשור יעברו הדרכות לביצוע איתור חולשות וסיכונים. תפקידה של ההנהלה להקפיד על נושאים אלה ולהקצות את המשאבים הנדרשים.

הכותב הוא יועץ ומרצה לאבטחת סייבר של מערכות תפעוליות וגם חבר במספר ועדות תקינה 62443ISA – IEC.