Mempertahankan Lanskap Keamanan Layanan Kesehatan di Era Perangkat yang Terhubung

Artikel yang berfokus pada ancaman keamanan siber yang dihadapi pasar perangkat medis yang terhubung sering kali mengutip statistik yang sudah usang: rata-rata ranjang rumah sakit di Amerika Serikat memiliki 10 hingga 15 perangkat berkemampuan internet yang mengumpulkan dan mengirimkan data.

Meskipun angka ini penting, angka ini hanya menceritakan sebagian dari cerita yang lebih besar.

Misalnya, jenis data yang dikumpulkan oleh perangkat tersebut semakin penting dan sensitif. Ya, alat menangkap pembacaan detak jantung dan tekanan darah, tetapi perangkat medis yang terhubung saat ini juga menangkap semuanya termasuk informasi identitas pribadi pasien.

Menurut Laporan Keamanan Perangkat IoT Layanan Kesehatan 2022 (PDF) dari Cynerio, lebih dari setengah perangkat medis yang terhubung ke internet yang dianalisis ditemukan memiliki kerentanan yang diketahui. Jika perangkat medis ini disusupi oleh peretas, itu akan berdampak signifikan pada ketersediaan layanan, kerahasiaan pasien, dan bahkan keselamatan pasien.

Seiring dengan meningkatnya adopsi IoT dalam industri perawatan kesehatan, organisasi perawatan kesehatan dan produsen perangkat perlu memprioritaskan keamanan perangkat medis yang terhubung untuk menjaga kerahasiaan data pasien mereka dan memastikan keselamatan pasien.

Permukaan Serangan yang Meningkat

Masing-masing perangkat ini memberikan titik masuk potensial bagi peretas untuk membahayakan keselamatan pasien atau membahayakan jaringan back-end organisasi perawatan kesehatan. Peretas dapat menggunakan koneksi jaringan ini untuk mendapatkan akses tidak sah ke perangkat itu sendiri, sistem pemantauan perangkat, dan data pasien. Jenis serangan lainnya termasuk:

• Penolakan serangan layanan

• Malware yang menginfeksi, memprogram ulang, atau mengubah pengaturan masing-masing perangkat

• Interferensi elektromagnetik

• Kehilangan atau bahkan pencurian perangkat medis portabel atau jaringan eksternal

Dalam beberapa kasus ransomware terkait perangkat medis yang terhubung, privasi pribadi pasien dapat dikompromikan. Misalnya, pada tahun 2017 Badan Pengawas Obat dan Makanan AS (FDA) mengumumkan bahwa lebih dari 465.000 perangkat pacu jantung implan oleh pabrikan St. Jude Medical rentan diretas. Meskipun tidak ada peretasan yang diketahui, peretas dapat memperoleh akses ke perangkat ini untuk melakukan serangan yang berpotensi membahayakan pasien atau dapat mencuri informasi pribadi.

Beberapa peretas dapat menggunakan koneksi perangkat untuk tidak hanya mencegah perangkat beroperasi dengan benar, tetapi juga sebagai titik masuk untuk menyusup ke sistem teknologi rumah sakit yang lebih luas. Dengan mengkompromikan satu perangkat, peretas kemudian dapat bergerak secara lateral melalui jaringan — meningkatkan hak istimewa, mendapatkan akses ke sistem dan informasi yang dijaga ketat, dan bahkan menahan jaringan dengan tebusan. Di AS, penyedia layanan kesehatan telah melihat peningkatan terus-menerus dalam kasus ransomware setiap tahun, dengan 82 dilaporkan pada tahun 2021 oleh program keamanan H3C dari Departemen Kesehatan dan Layanan Kemanusiaan AS. Konsekuensi dari serangan ransomware dalam perawatan kesehatan dapat berkisar dari data yang tidak dapat diakses, kembali ke catatan kertas, penutupan layanan, dan mengalihkan pasien ke fasilitas lain, atau dalam skenario terburuk, kegagalan untuk memberikan layanan yang mengarah pada hasil pasien yang buruk.

Meningkatkan Keamanan Perangkat Membutuhkan Semua Pemangku Kepentingan

Skala dan cakupan perangkat medis yang terhubung membuatnya sulit untuk dipertahankan. Menciptakan keamanan siber yang lebih baik secara keseluruhan di sekitar perangkat ini memerlukan persetujuan dari produsen perangkat medis, regulator, dan fasilitas kesehatan itu sendiri. Meskipun tidak ada solusi peluru perak, ketiga kelompok yang bekerja secara harmonis ini dapat meningkatkan keamanan secara keseluruhan.

Regulator: Pembuat kebijakan mulai berperan aktif dalam proses tersebut dengan menetapkan peraturan untuk memandu produsen. Di AS, FDA telah berupaya memberikan panduan kepada pemangku kepentingan terkait keamanan perangkat medis. Misalnya, FDA merekomendasikan desain, pelabelan, dan dokumentasi perangkat tertentu untuk disertakan dalam pengiriman prapasar untuk perangkat dengan potensi risiko keamanan siber. FDA terus menyempurnakan pedoman dan praktik terbaik mereka untuk membantu produsen perangkat medis dan komunitas perawatan kesehatan menavigasi melalui masalah keamanan dan keamanan siber.

Produsen Perangkat: Produsen dapat membatasi risiko melalui kontrol yang ditingkatkan dan pengujian keamanan siber yang efektif terhadap perangkat dan komponennya. Namun, secara keseluruhan, perangkat itu sendiri membutuhkan infrastruktur siber yang lebih kuat yang berkembang melalui siklus hidup produk. Keamanan perangkat medis harus dimasukkan ke dalam desain perangkat pada tingkat subkomponen. Misalnya, set sistem-on-a-chip Bluetooth dapat dikirim dari pihak ketiga dengan kerentanan yang sudah ada. Ini sulit dideteksi, dan membuat perangkat rentan. Itulah mengapa produsen perangkat perlu meningkatkan kemampuan fuzzing protokol mereka sebagai bagian dari proses kontrol kualitas standar mereka dan meningkatkan kolaborasi dengan pemasok untuk memastikan potensi masalah diidentifikasi dan dimitigasi dengan cepat. Selain itu, mereka perlu bekerja untuk menyediakan cara untuk memastikan keamanan untuk masa pakai perangkat dengan menyediakan proses yang efektif untuk menambal kerentanan melalui pembaruan firmware.

Penyedia Medis: Sebagai bagian dari kebersihan siber mereka, organisasi layanan kesehatan harus mengikuti perkembangan keamanan siber dari semua perangkat, perangkat keras, perangkat lunak, dan jaringan yang terhubung. Dengan pertumbuhan perangkat yang terhubung, mereka perlu menyimpan inventaris terbaru dari perangkat ini sehingga mereka dapat memantau kerentanan dan mengurangi dengan pembaruan firmware atau perangkat lunak dari pabrikan atau perubahan kata sandi. Mereka harus mengembangkan praktik terbaik untuk memilih perangkat medis yang mencakup keamanan siber sebagai kriteria. Organisasi Heathcare juga perlu berinvestasi dalam pengujian keamanan siber proaktif seperti deteksi kerentanan dan respons sambil berinvestasi dalam melatih staf dalam praktik terbaik untuk kebersihan siber. Terakhir, organisasi layanan kesehatan harus memiliki langkah-langkah ketahanan jika terjadi serangan siber.

Jalan ke Depan

Menurut sebuah studi Mordor Intelligence, pasar perangkat medis diperkirakan akan tumbuh lebih dari 19 persen setiap tahun selama lima tahun ke depan. Seiring bertambahnya jumlah perangkat medis yang terhubung, organisasi perawatan kesehatan dan produsen perangkat harus bekerja sama untuk memastikan keselamatan pasien dan lanskap perawatan kesehatan secara keseluruhan. Perangkat medis yang terhubung memiliki potensi besar untuk memberikan manfaat luar biasa bagi pasien, tetapi hanya jika aman.

Marie Hattar adalah chief marketing officer (CMO) di Keysight Technologies. Dia memiliki lebih dari 20 tahun pengalaman kepemimpinan pemasaran yang mencakup pasar keamanan, perutean, peralihan, telekomunikasi, dan mobilitas. Sebelum menjadi CMO Keysight, Marie adalah CMO di Ixia dan di Check Point Software Technologies. Sebelumnya, dia adalah Wakil Presiden di Cisco di mana dia memimpin jaringan perusahaan dan portofolio keamanan perusahaan dan membantu mendorong kepemimpinan perusahaan dalam jaringan. Marie juga bekerja di Nortel Networks, Alteon WebSystems, dan Shasta Networks di posisi pemasaran senior dan CTO. Marie menerima gelar master di bidang Business Administration di bidang Pemasaran dari York University dan gelar Bachelor di bidang Electrical Engineering dari University of Toronto.

Kolom Sebelumnya oleh Marie Hattar:
Tag:

.

Leave a Comment