ני-טק מגזין | מרץ 2021 | המהדורה הדיגיטלית
)Voler Systems מקור התמונה: כיצד לממש אבטחה-עוד-מהתכנון ( :1 איור «
מסגרת-העבודה של אבטחת הסייבר ■ מבוססות על FDA המלצות ה- - NIST של מסגרת-העבודה של אבטחת הסייבר של ממליץ על הדברים הבאים: NIST . Tier 1 - מניעת שימוש לא-מורשה על ידי הגבלת גישה למשתמשים והתקנים מהימנים בלבד, כמו גם אימות ובדיקת הרשאות של פקודות קריטיות-לבטיחות. - הבטחת תוכן מהימן על ידי שמירה על קוד, נתונים ותקינות הביצוע. - שמירה על סודיות הנתונים. - תכנון ההתקן לגילוי איומי אבטחה ברשת בזמן הנכון. - תכנון ההתקן להגיב ולהכיל את ההשפעה של אירוע פוטנציאלי של אבטחת סייבר. - תכנון ההתקן לשחזור היכולות או השירותים שנפגעו עקב אירוע אבטחת סייבר. ממליץ גם ליישם אמצעי Tier 1 תכנון התאוששות כגון אימות ותיקוף BOM קריפטוגרפי, תצורה מאובטחת ו- .) CBOM של אבטחת סייבר ( יש את אותן המלצות, אך ניתן Tier 2 ל- להתעלם מפריטים אם נימוק מבוסס- סיכון מראה שהם אינם מתאימים. (פרטיות נתוני מטופלים) - HIPAA ■ Health Insurance Portability and חוק ) הוא נפרד HIPAA ( Accountability Act מהאבטחה. אבל האבטחה חייבת להיות . להלן HIPAA במקום כדי לעמוד ב- דרישותיו: - יש לוודא שתכנון האבטחה הוא ממוקד- משתמש - יש לאפשר אבטחה מקצה-לקצה, מההתקן למסד הנתונים ולבקרת גישה פיזית בבסיס הנתונים - אם מועברים נתונים ללא מזהה, אין
העמידה בדרישות אינה משימה קלה. הדרך היחידה לעמוד בדרישות האבטחה היא באמצעות גישת אבטחה-עוד-מהתכנון, המציעה יתרונות שונים הכוללים: הסרת יעילה ומוקדמת של פגמי אבטחה ■ אבטחה מובנית מראש ולא כזו שיש ■ להוסיף אותה מאוחר יותר הפחתת הסיכון לחבות עקב האחריות ■ מערכות עם כושר התאוששות טוב יותר ■ עלויות נמוכות יותר ■ כיצד ליישם אבטחה-עוד- מהתכנון ראשית, יש לשים לב לדרישות הרגולטוריות. יש לזהות את דרישות מוצר לפני שמתחילים בתכנון מוצר. תכננו את האבטחה כחלק מתכנון ובדיקת המוצר כדי להבטיח עמידה בכל הדרישות. מודעות וזיהוי הדרישות הרגולטוריות הם רק חצי מהמערכה יש לשקול גם את הגורמים הבאים בעת תכנון התקן רפואי: האם ההתקן בחירת הטכנולוגיה. ■ מבוסס על טכנולוגיה מוכחת? חולשות הטכנולוגיה. האם לפלטפורמה ■ הטכנולוגית יש נקודות תורפה ידועות? היכן נמצאים הסיכונים תכנון המערכת. ■ במערכת? לנתונים במנוחה יש נקודות תורפה שונות מאשר לנתונים בהעברה. יש לפרק את הסיכון הערכת הסיכונים. ■ הכולל לפריטים בודדים, כל אחד עם הסיכון והמאמץ הנדרשים. איזו רמה של קריפטוגרפיה. ■ קריפטוגרפיה נדרשת? רמה יותר מדי גבוהה דורשת יותר הספק ויותר זמן.
חשש לפרטיות. יש להתאים את הקוד עם שם המטופל במסד הנתונים. דרישות - CE דרישות אבטחה של ה- ■ אינן כה ספציפיות כמו הנחיות ה- CE , אך הן דומות: ההתקנים חייבים FDA להיות בטוחים, יעילים ומאובטחים. יש בהן התמקדות בהגנה על נתונים (ראו ), שהיא מחמירה יותר מדרישות GDPR נתוני מטופלים בארה"ב. המסמכים הישימים כוללים את נספח ,) MDR לתקנות התקנים רפואיים ( I בנושא EN 14971 בנושא תוכנה ו- EN 62304 ניתוח סיכונים. הפרקטיקות הנדרשות הן הבאות: : ניהול האבטחה 1 - פרקטיקה : איפיון דרישות האבטחה 2 - פרקטיקה : אבטחה-עוד-מהתכנון 3 - פרקטיקה : מימוש האבטחה 4 - פרקטיקה : אימות האבטחה ובדיקת 5 - פרקטיקה התיקוף : ניהול ונושאים הקשורים 6 - פרקטיקה באבטחה : ניהול עדכון האבטחה 7 - פרקטיקה : הנחיות האבטחה - תיעוד 8 - פרקטיקה זוהי אחריות היצרנים לקבוע את הדרישות המינימליות עבור סביבת הפעולה בכל ואמצעי IT הקשור למאפייני רשת ה- , שאותם לא ניתן היה ליישם IT אבטחת ה- במהלך תכנון המוצר עצמו. המשמעות היא שהיצרן אחראי על מתן המידע למשתמש כדי להפעיל את ההתקן ברשת מאובטחת, גם אם היצרן אינו מספק את הרשת. אמצו את גישת האבטחה- עוד-מהתכנון תקני האבטחה של התקנים רפואיים הם רפואיים ולבישים, אך IoT חיוניים בתכני
New-Tech Magazine l 48
Made with FlippingBook Learn more on our blog