أصدرت خمس وكالات أمريكية إرشادات مشتركة للأمن السيبراني للتكنولوجيا التشغيلية هذا الأسبوع والتي لم تذكر الأجهزة الطبية، تاركة لرؤساء أمن المعلومات في نظام الرعاية الصحية مهمة ترجمتها بأنفسهم.
نشرت السلطات الفيدرالية ثقة صفرية مكونة من 28 صفحة استشاري ركز هذا الأسبوع على بيئات التكنولوجيا التشغيلية، ولم تذكر الوثيقة مطلقًا المستشفيات أو المرضى أو المعدات الطبية. ومع ذلك، فإن كل القيود الموصوفة هنا ستكون مألوفة لأي قائد أمني لنظام الرعاية الصحية.
تم إصدار الاستشارة في 29 أبريل من قبل وكالة الأمن السيبراني وأمن البنية التحتيةانضمت إليها وزارة الحرب ووزارة الطاقة ومكتب التحقيقات الفيدرالي ووزارة الخارجية. وتتجه الأمثلة نحو شبكات الطاقة وأنظمة المياه والنقل وأنظمة التحكم الصناعية. لم يتم ذكر الرعاية الصحية مرة واحدة في الوثيقة بأكملها. ومع ذلك، فإن القيود التقنية التشغيلية الموصوفة في الصفحات السبع الأولى تكاد تكون مماثلة تمامًا لمشكلة المعدات الطبية التي كان كبار مسؤولي أمن المعلومات في المستشفيات يتصارعون معها لسنوات.
أسطول الأجهزة الطبية
تحدد الإرشادات أربع خصائص تحد من كيفية تطبيق الثقة المعدومة على التكنولوجيا التشغيلية. الأول هو التوفر، لأن أنظمة الوقت الحقيقي المصممة للاستخدام المستمر لا تتحمل الاضطرابات بشكل جيد. والثاني هو بنية تحتية قديمة وغير آمنة مع دورات حياة تمتد لعقود من الزمن، وبروتوكولات ملكية، ودعم محدود للمسح النشط أو اختبار الاختراق. والثالث هو الحد الأدنى من قطع الأشجار، مما يضعف طرق الكشف التقليدية. وأخيرًا، تتطلب مسارات عمل التكنولوجيا التشغيلية تعاونًا متعدد الوظائف بين المهندسين ومهندسي تكنولوجيا المعلومات وفرق الأمان. وتؤثر كل هذه القيود على مضخات التسريب، ومعدات التصوير، وأجهزة التحليل المختبرية، وأنظمة التشغيل الآلي للمباني وأنظمة الوصول المادية المحيطة بها.
الضوابط التي تترجم على الفور
بالنسبة لمسؤولي أمن المعلومات في مجال الرعاية الصحية، هذا هو التوجيه الفني الذي أحتاج إلى استخدامه. تتناول النصيحة التجزئة والتجزئة الدقيقة كأساس للدفاع عن التكنولوجيا التشغيلية. على وجه التحديد، فهو يدعو إلى العزلة الدقيقة القائمة على الوظيفة التي تفصل أنظمة التشغيل عن أنظمة الأمان وتفرض أذونات القراءة/الكتابة على علامات البيانات الفردية. على وجه الخصوص، ينطبق هذا المبدأ التوجيهي مباشرة على تصميم شبكات الأجهزة الطبية، حيث يكون احتواء نصف قطر الانفجار مهمًا كما هو الحال في أي بيئة مرافق.
وفي مجال إدارة الهوية وبيانات الاعتماد والوصول، فإن النصائح لا هوادة فيها. إنه يوجه المؤسسات للحفاظ على فصل أنظمة هوية تكنولوجيا المعلومات والتكنولوجيا التشغيلية، وتقسيم Active Directory بالكامل، وطلب مصادقة متعددة العوامل على مستوى المضيف السريع. وبترجمة ذلك إلى المستشفيات، يعني هذا أننا نحقق في كيفية قيام الشبكات الطبية الحيوية بتشكيل جسر للشركة. تحظى إدارة الوصول عن بعد للموردين باهتمام مماثل. بالإضافة إلى ذلك، تؤكد الوثيقة على جلسات التسجيل، وتخزين بيانات الاعتماد، والوصول في الوقت المناسب لأي حساب يمكنه تغيير التكوينات.
قد يكون لقسم الكشف عن نقطة النهاية والاستجابة لها صدى أكبر لدى فرق أمن المستشفى. يقر الاستشارة بأن وكلاء EDR لا يمكنهم في كثير من الأحيان العمل على الأنظمة المدمجة، مستشهدين بأنظمة التشغيل القديمة، وقيود ضمان البائع، والمتطلبات المعزولة التي تمنع أدوات الأمان المتصلة بالسحابة. يتوافق هذا الوصف مع مشكلة EDR الخاصة بالأجهزة الطبية. كحل بديل، توصي الوكالات بمراقبة القياس عن بعد خفيفة الوزن والتي تغطي استخدام وحدة المعالجة المركزية والذاكرة والعمليات الجديدة وتغييرات التكوين. تتعامل الخوادم المرحلية في المنطقة المجردة من السلاح مع كافة التحديثات التي تتطلبها السحابة.
بالإضافة إلى ذلك، يحدد قسم المشتريات متطلبات الأمان حسب التصميم عند اختيار الموردين. يتم تشجيع مالكي الأصول على تقييم نضج المورد بناءً على توفر SBOM، وحالة هيئة ترقيم CVE، وقرارات بلد المنشأ. انتقلت هذه المحادثة ببطء عبر فرق سلسلة التوريد بالمستشفيات. والآن أصبح لديها دعم فيدرالي لتسريعها.
إن غياب الرعاية الصحية في الوثيقة أمر مهم في حد ذاته. لقد تعاملت المبادئ التوجيهية الفيدرالية المشتركة للتكنولوجيا التشغيلية باستمرار مع البنية التحتية الحيوية كفئة غير متمايزة. وفي الوقت نفسه، المجلس التنسيقي لقطاع الرعاية الصحية وتقوم إدارة الغذاء والدواء الأمريكية بإنتاج مواد موازية خاصة بالأجهزة الطبية على مسار منفصل. ونتيجة لذلك، فإن التوجيهات التي يقودها CISA لن تصل بطبيعة الحال إلى مكاتب معظم قادة أمن نظام الرعاية الصحية. يجب أن تتم الترجمة داخل كل نظام رعاية صحية.
خذها بعيدا
- اقرأ نصيحة OT الخاصة بـ CISA كتمرين للترجمة؛ أي إشارة إلى أنظمة التحكم الصناعية تنطبق على المعدات الطبية، وأتمتة المباني، وRTLS وأنظمة الوصول المادي.
- استخدم إرشادات التجزئة لتقييم ما إذا كان تصميم الشبكة الطبية الحيوية يفصل بين وظائف التحكم والأمن ويحد من أذونات القراءة/الكتابة على مستوى علامة البيانات.
- قم بتزويد الموردين بمعلومات حول بنية المضيف السريع وتسجيل الجلسة وبيانات اعتماد المخزن والوصول في الوقت المناسب لكل اتصال للصيانة عن بعد.
- قم بتطبيق نهج القياس عن بعد EDR خفيف الوزن (وحدة المعالجة المركزية والذاكرة والعمليات وتغييرات التكوين) حيث لا يمكن تشغيل العوامل الكاملة على الأجهزة الطبية المدمجة.
- خذ في الاعتبار توفر SBOM، وحالة سلطة الأرقام CVE، ومصدر بلد المنشأ في معايير الشراء للمعدات المتصلة الجديدة.
لا يدعي الرأي أن انعدام الثقة سيقضي على مخاطر التكنولوجيا التشغيلية. والموقف الأخير هو أن التنفيذ الناجح يعتمد على التعاون بين الوظائف، والتكيف مع القيود التي تفرضها كل بيئة، وقبول إمكانية الحد من التعرض دون إزالته.
