“کفش های روی زمین”: چگونه طرح صحیح – و افراد – می تواند بهتر از دستگاه های پزشکی حیاتی محافظت کند


ریچ تمپل، معاون رئیس جمهور و مدیر ارشد اطلاعات مرکز قلب و ریه دبورا

در چند سال گذشته، سازمان‌های مراقبت‌های بهداشتی زمان و توجه زیادی را به جلوگیری از باج‌افزار اختصاص داده‌اند. با توجه به این واقعیت که حدود دو سوم سازمان ها در سال ۲۰۲۰ مورد حمله قرار گرفتند – افزایش قابل توجهی نسبت به سال قبل، طبق مجله HIPAA – سرمایه گذاری مطمئناً موجه است.

با این حال، یک جنبه منفی وجود دارد. تاد بل، رئیس CISO و مدیر اجرایی انطباق فناوری اطلاعات با Valleywise Health، که معتقد است دستگاه‌ها «مرز بعدی» برای هکرها هستند، گفت: با منابع بسیار زیادی که به حفاظت از پرونده‌های سلامت الکترونیک اختصاص داده شده است، دستگاه‌های پزشکی حیاتی می‌توانند به ویژه در برابر حملات سایبری آسیب‌پذیر شوند. . او در طی یک میزگرد اخیر، که شامل ریچ تمپل (مدیر ارشد اطلاعات، مرکز قلب و ریه دبورا)، ترزا میدوز (مدیر ارشد اطلاعات)، برای رهبران، فشار برای ارائه “نمای بهتر” از دستگاه ها است، گفت: سیستم مراقبت بهداشتی آشپز کودکان) و جان گومز (مدیر عامل سنساتو).

از آنجایی که سوء استفاده‌های مربوط به پرونده الکترونیک سلامت می‌تواند تأثیر گسترده‌ای داشته باشد و تهدید ملموس تری برای مراقبت از بیمار باشد، سازمان‌ها تمایل دارند تأکید زیادی بر توسعه برنامه‌ها و تدابیر حفاظتی مناسب برای تداوم کسب‌وکار داشته باشند. با این حال، نمی توان همین را برای دستگاه های زیست پزشکی گفت. بل خاطرنشان کرد: «ما تمام تلاش خود را می‌کنیم تا از وصله‌ها عقب نمانیم، به خصوص اگر پمپ انفوزیون باشد، اما برای بسیاری از بیمارستان‌ها، این یک نقطه کور است». ما دستگاه‌های پزشکی را روشن کرده‌ایم».

تمپل با این موضوع موافقت کرد و افزود که برنامه‌هایی برای متوقف کردن دستگاه‌های پزشکی حیاتی «تقریباً به اندازه برنامه‌های مربوط به سوابق الکترونیکی کامل سلامت محقق نشده است»، حتی اگر یک حمله سایبری می‌تواند باعث «آسیب جبران‌ناپذیر» شود.

در طول بحث، اعضای میزگرد در مورد استراتژی‌های خود برای ایجاد یک طرح تداوم کسب‌وکار قوی، از جمله اینکه چه کسی باید آن را رهبری کند، چه عناصری را شامل شود و موانعی که احتمالاً خود را نشان می‌دهد، بحث کردند.

“آموزش باید اتفاق بیفتد”

اولین مؤلفه در تدوین یک برنامه، جلب حمایت است، که با آموزش تیم ها و رهبری در مورد چرایی اهمیت آن شروع می شود. گومز گفت که یکی از راه‌ها تمرینات روی میز است که می‌تواند چشم‌ها را باز کند. Sensato، یک شرکت امنیت سایبری مراقبت های بهداشتی که در تست قلم تخصص دارد، با همکاری با اداره غذا و دارو و وزارت امنیت داخلی، تخصص خود را افزایش داده است.

او گفت: «وقتی فردی را در هفته‌های بعد از حمله جابه‌جا می‌کنید و تمام پمپ‌های هوشمند هنوز از کار افتاده‌اند، متوجه می‌شوند که این مشکلی بسیار بزرگ‌تر از آن چیزی است که فکر می‌کردند. به عنوان مثال، اگر یک پمپ هوشمند قطع شود، هر پمپ باید خاموش شود تا زمانی که توسط تیم های پزشکی قانونی پاکسازی شود، که ممکن است هفته ها طول بکشد – به ویژه برای بیمارستان هایی که از صدها پمپ استفاده می کنند. ما نمی توانیم از منظر ایمنی بیمار به این پمپ ها اعتماد کنیم.

میدوز گفت، با این حال، بیماران هنوز نیاز به مراقبت دارند، که وضعیت بسیار دشواری را برای پرستاران ایجاد می‌کند، که اکنون مجبورند قطره‌های وریدی را محاسبه کنند و داروها را تجویز کنند، کاری که اکثر پرستاران سال‌هاست انجام نداده‌اند – و برخی از آنها هرگز انجام نداده‌اند. . او گفت: «ما باید در سطح جهانی بیشتر فکر کنیم که اگر چنین اتفاقی بیفتد، چه کاری انجام خواهیم داد.

ترزا میدوز، معاون ارشد و مدیر ارشد اطلاعات، سیستم مراقبت بهداشتی آشپزی کودکان

مانند بسیاری از سازمان‌ها، کوک کودکان تیمی را ایجاد می‌کند تا تلاش‌های پیشگیری و بازیابی از شکست را رهبری کند و دستورالعمل‌هایی را ایجاد می‌کند که در صورت خرابی تجهیزات یا نرم‌افزار باید از آنها پیروی کرد. و به نظر من مشکل این است که تعداد شگفت انگیزی از پزشکان متوجه نمی شوند که روزانه چقدر از فناوری استفاده می کنند. در واقع، هنگامی که Meadows – پرستاری با سابقه خود – از پرستاران خواست تا تمام اهداف بالقوه امنیت سایبری را در اتاق بیمار شناسایی کنند، بیشتر آنها می‌توانستند مقصران آشکاری مانند EHRs، COWs یا پمپ‌های IV را نام ببرند، اما تعداد کمی متوجه می‌شوند که تخت‌ها و دستگاه‌های هوشمند مورد استفاده توسط بیماران خطرات جدی دارند.

او گفت: “آموزش های زیادی وجود دارد که باید اتفاق بیفتد”، و خاطرنشان کرد که رهبران باید بحث ها را تسهیل کنند و با سناریوهای مختلف پیش بروند. “به عنوان مثال، اگر شما یک پمپ IV ندارید، مرحله بعدی چیست؟ آیا قرار است ۵۰۰ پمپ جدید اجاره کنیم؟ آیا می‌خواهیم بیماران را به آی‌سی‌یو نبریم؟ ما باید بیماران را از طریق مکالمه هدایت کنیم و بیشتر استفاده کنیم. از کلاه تجاری ما و کمی کلاه فناوری اطلاعات.” ما باید به آنها کمک کنیم تا در مورد گزینه های خود فکر کنند. زیرا ما برای انجام آن وقت صرف نکرده ایم. آموزش کافی برای کارکنان خط مقدم در مورد خطرات پزشکی وجود ندارد. دستگاه هایی که هر روز از آنها استفاده می کنند.”

نقش های قابل اعتماد

سوال این است که چه کسانی باید در این بحث های مهم شرکت کنند. میدوز گفت که اگرچه برخی مدیر مدیریت اضطراری را انتخاب کرده اند، اما این افراد ممکن است مهارت لازم برای درک پیامدهای حوادث امنیت سایبری را نداشته باشند.

از سوی دیگر، رهبران انفورماتیک بالینی و پرستاری برای کمک به کاربران از طریق چالش‌های گردش کار آموزش دیده‌اند و می‌توانند از تخصص خود استفاده کنند تا به پرستاران، پزشکان و داروسازان نشان دهند که چگونه از فناوری در فرآیندهای فعلی استفاده کنند و سپس آن بخش‌ها را بیرون بکشند. و در مورد اینکه چگونه می توانیم کاری متفاوت انجام دهیم صحبت کنیم.” ما باید در مورد این نقش های قابل اعتمادی که داریم فکر کنیم و آنها را بیشتر درگیر کنیم، زیرا آنها به زبان صحبت می کنند. آنها می توانند مسائل امنیت سایبری را به روشی کمتر ترسناک توضیح دهند.”

تمپل به استراتژی مشابهی در دبورا اشاره کرد، جایی که رهبران بیوپزشکی و پرستاری در آموزش کارکنان بالینی نقش ایفا می‌کنند تا «به دنبال هرگونه انحراف در نحوه عملکرد پمپ‌ها یا سایر دستگاه‌های پزشکی باشند و آن‌ها را به سرعت گزارش کنند». “ما باید پرستاران را در محل مشارکت دهیم” و فلسفه “اگر چیزی دیدید، چیزی بگویید” را در سراسر سازمان القا کنیم.

“بیرون خواهی رفت”

تمپل گفت وقتی چیزی گفته می شود، رهبران باید سریع عمل کنند. اگر یک دستگاه پزشکی یا تعداد زیادی از دستگاه‌ها برای مدت کوتاهی غیرفعال شوند، اکنون با یک مشکل ایمنی بیمار فوری روبرو هستید و باید با تشخیص آن دقیقه و حتی تعداد ثانیه‌ها، با سطحی فوری با آن مقابله کنید. ” ما باید فورا به آنها حمله کنیم.»

بخشی از این استراتژی این است که رویه‌ای برای اطلاع همه طرف‌های درگیر در سریع‌ترین زمان ممکن برای جلوگیری از تکرار حمله سایبری ۲۰۱۹ در مرکز پزشکی اسپرینگ‌هیل وجود داشته باشد که منجر به مرگ یک نوزاد شد. بر اساس گزارش وال استریت ژورنال، سیستم فناوری اطلاعات بیمارستان برای بیش از سه هفته آفلاین بود و این امر مانع از دسترسی یک OB شرکت کننده به داده های مهم در مورد بیمار شد. مادر بیمار نیز در تاریکی نگه داشته شد و در دادخواستی مدعی شد که از حادثه باج افزار بی اطلاع بوده است.

به گفته تمپل، برای رهبران، این مورد یک داستان هشدار دهنده بود. او گفت: «این واقعاً نیاز به شفافیت هر چه بیشتر با خود، با جامعه و با سهامدارانمان در مورد آنچه اتفاق می‌افتد و نحوه مدیریت آن را تقویت کرده است.» “بدیهی است که باید روی پیام‌ها کنترلی وجود داشته باشد. شما می‌خواهید مطمئن شوید که شایعات منتشر نمی‌شوند، اما همچنین نمی‌خواهید آنها را زیر کلاه خود نگه دارید، زیرا پخش خواهند شد.”

“بانداژ را دور بزن”

اگرچه شرایط کمی متفاوت است، رهبران باید صراحت و درایت را در اولویت قرار دهند، که نیاز به یک برنامه هماهنگ واکنش به حادثه دارد. تمپل خاطرنشان کرد: «ما باید از نظر نحوه تعامل با ذینفعان داخلی و خارجی و اینکه چگونه مطمئن شویم که هیچ موقعیت پیش بینی نشده ای نداریم، زمینه ای داشته باشیم.

تاد بل، CISO و مدیر عامل، انطباق با فناوری اطلاعات، Valleywise Health

بل موافقت کرد و به همکارانش هشدار داد که از فلج تصمیم گیری که اغلب در حوادث امنیت سایبری رخ می دهد اجتناب کنند. او گفت: «من بین زمان وقوع و زمان اطلاع رسانی فاصله زمانی می بینم که می تواند نتیجه تلاش تیم های روابط عمومی برای کم اهمیت جلوه دادن این رویداد باشد. اگرچه آنها ممکن است بهترین نیت را داشته باشند، من فکر می کنم اعتبارسنجی و برقراری ارتباط سریع بسیار مهم است – کمک های اولیه را بردارید.

وی خاطرنشان کرد که در حالی که هیچ سازمانی به طور کامل در برابر هر حمله ای مصون نیست، کسانی که بر آمادگی و تاب آوری تمرکز می کنند در موقعیت خوبی قرار خواهند گرفت. در Valleywise، دورهای ایمنی به طور منظم انجام می‌شود، رویه‌هایی برای اطلاع فوری رهبری اجرایی و رهبران بالینی برای نظارت بر بیماران در صورت تخلف تعیین می‌شوند.

او افزود: “ما استانداردهای بالایی را رعایت می کنیم تا مطمئن شویم که این اتفاق در اینجا نمی افتد.” “اگر برنامه ریزی تداوم کسب و کار خوب و فرآیندهای خوبی پیرامون عناصر مهم داشته باشید، می توان از این امر جلوگیری کرد.”

“این فقط نمی تواند IT باشد”

به گفته تمپل، این طرح باید از پایه اجرا شود. داشتن برنامه‌ای که با افراد تحت فرمان شروع و به پایان می‌رسد کافی نیست. شما باید افرادی را داشته باشید که در مراقبت روزانه از بیماران مشارکت دارند، با بیماران تعامل دارند، فرآیندهای دقیق را می‌دانند و می‌دانند که کارها چگونه کار می‌کنند.

با این حال، این کار آسانی نیست. با توجه به اینکه بسیاری از بیمارستان‌ها به دلیل کمبود کارکنان و جابجایی کارکنان فلج شده‌اند، ایده اضافه کردن تعداد بیشتری به کارکنانی که از قبل بیش از حد سنگین هستند، کاملاً جذاب نیست. وی خاطرنشان کرد: اگر برنامه ریزی برای بازیابی بلایا در اولویت نباشد، تنها حجم کار را افزایش می دهد. “شما به این برنامه ها نیاز دارید. اما این کار را در خلاء رهبری انجام ندهید. مطمئن شوید که این برنامه به سمت پایین نفوذ می کند و از مردمی که مستقیماً تحت تأثیر قرار می گیرند می شنوید.”

مهمتر از همه، Meadows گفت، کسانی که برنامه تداوم کسب و کار ندارند باید به سادگی شروع کنند. او خاطرنشان کرد: “بخشی از مشکل این است که مردم شروع به آماده سازی نمی کنند، زیرا این کار بسیار بزرگی است.” “شما باید جایی برای شروع پیدا کنید و راه خود را ادامه دهید.”

برای مشاهده آرشیو این وبینار – تمرکز مجدد برنامه ایمنی دستگاه پزشکی شما در حفاظت از جان انسان ها (حمایت شده توسط Sensato) – لطفا اینجا را کلیک کنید.

گرفتار