4min

In de gezondheidszorg wordt bij de zorg voor patiënten gebruikgemaakt van de meest uiteenlopende medische IoT-devices. Voorbeelden hiervan zijn patiëntmonitors, bloedkoelkasten en lineaire versnellers voor radiotherapie. De gemiddelde patiënt komt tijdens een verblijf in het ziekenhuis in aanraking met tien tot vijftien van dit soort IoT-devices. Lastig voor security is dat de gezondheidszorg er heel goed in is geworden om deze medische devices lange tijd mee te laten gaan. Een voorbeeld is dat twintig procent van de MRI-apparaten (magnetic resonance imaging) meer dan tien jaar oud is, en sommige zelfs meer dan twintig. Voor veel ziekenhuizen functioneren ze nog altijd naar behoren en daar komt bij dat ze erg duur zijn om te vervangen. Maar als je deze apparaten helemaal uit elkaar haalt, is de kans groot dat je een oude Windows-pc vindt die de apparatuur aanstuurt.

Veelvoorkomende problemen bij IoT-devices in de gezondheidszorg

Als het gaat om cybersecurity is er een aantal problemen dat je vaak ziet bij IoT-devices in de gezondheidszorg. Hiaten in de ondersteuning van leveranciers, slechte of geen authenticatie, kwetsbaarheden in de configuratie of de applicatie, ongepatchte software en geen versleuteling, bijvoorbeeld. Devices kunnen hier om verschillende redenen mee te maken hebben. Een ervan is dat de periode van ontwerp tot goedkeuring door relevante toezichthouders en verkoop van het device meerdere jaren in beslag kan nemen. En dat betekent dat de originele software al verouderd is. Een tweede veelvoorkomende reden is dat de fabrikanten van deze devices (en in veel gevallen ook de zorgverleners) er altijd van uitgingen dat zij geen doelwit zijn van cybersecurityaanvallen, omdat zij een helpend beroep hebben. Maar helaas zijn ze dat wel, aangezien medische IoT-devices persoonlijke gegevens verzamelen.

Een cybersecurityprogramma voor medische IoT-devices ontwikkelen

Om inzicht te krijgen in de cybersecurityrisico’s van medische IoT-devices én ze succesvol te beperken, is het zaak dat zorgverleners een cybersecurityprogramma ontwikkelen. Hierin moet de volledige cyclus van een device worden opgenomen: van aankoop tot einde van de levensduur. De onderdelen van zo’n programma kunnen er als volgt uitzien.

Leiderschap en beleid

Stel een team samen dat verantwoordelijk wordt voor de cybersecurity van medische IoT-devices die gebruikt worden op klinisch en onderzoeksgebied. In dit team neem je senior managers op, maar ook zorgverleners. Het team moet het mandaat krijgen om risico’s voor de organisatie te accepteren of af te wijzen en helpen bij de goedkeuring van beleid, handhaving daarvan en uitzonderingen daarop.

Duidelijk vastgestelde standaarden

In je organisatie moet worden vastgesteld wat ‘goed’ is en waar je de grens legt voor wat betreft het toestaan van devices op je netwerk. Aangezien het securityprofiel van veel van deze apparatuur twijfelachtig is, kun je deze standaarden het best baseren op de belangrijkste en meest voorkomende securityproblemen.

Vastleggen in processen

Integreer je IoT-securityprogramma in je goedkeuringsprocessen voor in- en aankoop. Stel tolpoorten in, waar controles kunnen plaatsvinden en een afweging tussen risico en baten gemaakt kan worden voordat de aankoop daadwerkelijk gedaan wordt. Daarnaast moet je cybersecuritytaal die specifiek is voor medische apparatuur opnemen in alle contracten.

Strategie voor prioriteiten stellen

Schaalbaarheid is altijd een issue bij security. Wil je echt effectief zijn in het onderzoeken en beperken van risico’s, focus dan op de IoT-devices die het meeste gevaar lopen. Houd bij het prioriteiten stellen rekening met zowel securitykwetsbaarheden als gevolgen voor de patiëntzorg van een device. Maak bijvoorbeeld gebruik van de Manufacturer Disclosure Statement for Medical Device Security (MDS2) voor input en laat de biomedische teams data over de impact op patiënten verzamelen.

Assessments en testen

Richt je bij je assessments en het testen van je medische IoT-devices op die apparaten die het meeste risico lopen. Dit kan variëren van een review van materiaal van fabrikanten tot een complete penetratietest, afhankelijk van je zorgen en de beschikbaarheid van lokale resources en vaardigheden.

Herstel en beperking

Het is goed om voor verschillende soorten kwetsbaarheden hersteloplossingen klaar te hebben liggen. Maar er zullen altijd kritische devices zijn die op maat gemaakte oplossingen nodig hebben.

Statistieken en audits

Het is belangrijk dat je ervoor zorgt dat je de resultaten boekt die je voor ogen hebt en in de loop van de tijd de risico’s blijft volgen. Statistieken zijn essentieel om te garanderen dat het programma efficiënt verloopt en effectief is. Zorg voor cijfers over cumulatieve risico’s en specifieke apparaten die niet aan standaards voldoen.

Integratie in een bedrijfsbreed cybersecurityprogramma

Al je inspanningen en de devices die je monitort en beheert, moeten onderdeel zijn van het algemene securityprogramma van je organisatie. Denk hierbij ook aan het gebruik van monitoringtools, een oplossing voor security information and event management (SIEM) en een cybersecurityresponseplan.

Als het gaat om medische IoT-devices zul je altijd tegen uitdagingen aan blijven lopen en te maken krijgen met een enorm aantal kwetsbaarheden. Een SIEM-oplossing kan je hierbij helpen. Cruciaal is dat je risico’s zichtbaar en transparant maakt en dat je prioriteiten stelt voor wat betreft je assessments en hersteloplossingen op basis van de risico’s voor de organisatie en de patiënten.

Dit is een ingezonden bijdrage van LogRhythm. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.