Siber güvenlik için riskler, tıbbi cihaz endüstrisinde kelimenin tam anlamıyla ölüm kalımdır. 2013’e kadar, o zamanki ABD Başkan Yardımcısı Dick Cheney, doktoruna önlem olarak kalp pilindeki kablosuz bağlantıyı kapatmıştı. BMJ’nin bildirdiği gibi. WannaCry saldırıları 2017–2019 ve diğer olaylar Bunun yalnızca paranoya olmadığını gösterin – ve bu yılki Access:7 güvenlik açığı, tıbbi sistemler de dahil olmak üzere bağlı cihazlara yönelik devam eden tehdidin altını çiziyor. Bu tür olaylar sağlık sisteminde güvenlik tehditleri konusunda farkındalığı artırmış olsa da, “tıbbi cihaz üreticileri siber güvenlik yeteneklerini geliştirmek için ne kadar çok çalışırsa, o kadar fazla boşluk olduğunu fark ederler.”
Bu, Cybellum tarafından bu hafta yayınlanan bir rapora göre. “Tıbbi Cihaz Siber Güvenliği: Trendler ve Tahminler” başlıklı rapor, dünya çapında tıbbi cihaz endüstrisindeki 150 güvenlik ve uyumluluk karar vericisinden yanıtlar topladı.
Yukarıdaki grafikte vurgulanan çubuk, katılımcıların yalnızca %27’sinin şirketlerinin ürünleri için bir yazılım malzeme listesi oluşturduğunu ve sürdürdüğünü söylediğini göstermektedir. Bu tür belgeler, Log4j fiyaskosunun altını çizdiği gibi, beklenmeyen bağımlılıkları ve gizli güvenlik açıklarını izlemek için hayati önem taşıyan, bir ürüne giren tüm yazılım bileşenlerini listeler. bu Mayıs 2021 icra emri ABD Başkanı Joe Biden, SBOM’ları siber güvenlik için önemli olarak nitelendiriyor. Bu düşük benimseme oranını sürpriz yapan şey, ana akım farkındalık ve uygulama düzeyidir. Gelecek yılın sonuçlarını izlemek için bir alan.
Cybellum’un araştırmasında en çok uygulanan güvenlik önlemleri, ikili kod analizini çalıştırmak (%47) ve tasarım aşamasında güvenlik gereksinimlerini belirlemektir (%46). İkili analiz, güvenlik açıklarının kalıplarını ortaya çıkarabilir ve bilinen savunmasız yazılım öğelerini denetleyebilir. Güvenlik endişelerini daha önce ele almak, yani “sola kaydırma”, geliştiricilerin sorunları derinlemesine gömülmeden ve çözülmesi zor olmadan önce bulabilecekleri ve düzeltebilecekleri anlamına gelir. İyi haber şu ki, tıbbi cihaz şirketlerindeki güvenlik karar vericilerinin neredeyse yarısı bu tekniklerden en az birini kullandıklarını söylüyor; Flipside, yarısından fazlasının bunları kullanmamasıdır.
Tıbbi cihaz şirketlerinin ürünlerini korumak için kullandıkları diğer teknikler arasında, katılımcıların %41’i tarafından gerçekleştirilen kaynak kodu statik kod analizi (SAST); tehdit istihbaratı, %39; cihaz yaşam döngüsü boyunca %38 oranında sürekli güvenlik testi; geliştiricileri %27 oranında güvenli kodlama konusunda eğitmek; kalem testi/fuzzing, %16; ve dinamik uygulama güvenlik testi (DAST), %14.
Cybellum raporu, “Şirket türlerine göre bölümlere ayrılmış verilere bakıldığında, SBOM’nin OEM’ler arasında (%34), tıbbi cihaz bileşenleri tedarikçilerine (%20) kıyasla daha popüler olduğunu belirtiyor. Cihazların emniyeti ve güvenliğine ilişkin nihai sorumluluk, bu da onu neden bir öncelik haline getirdiklerini açıklayabilir. Tabii ki, her iki izleyicinin de gidecek çok yolu var.”
Daha fazla içgörü için, raporu indir Cybellum’dan.