Endüstri 4.0 ile birlikte nesnelerin- interneti çok daha yoğun bir şekilde hayatımıza girmiş ve bu teknolojiler üzerinde kurulan bağlantılı akıllı sistemlerde de her bağlantılı sistemde olduğu gibi güvenlik açıkları görülmeye başlanmıştır. Biz mühendisler ve uzmanların yapması gereken ilk iş bu tehditlerin hangi tür açıklardan kaynaklanabileceğini iyi süzmektir. İlk önce olası tehditler belirlenmeli onlara karşı önlem alınmalı ve son kullanıcılar uyarılmalıdır. Özellikle direkt insan hayatını etkileyen medikal araçlarda bu konu oldukça hassas ve önemlidir.
Tıbbi cihazların hastane bilgi teknolojileri ağlarına olan bağlantılarının artması, hasta bakımında önemli faydalar sağlamaktadır. Fakat sağlık personelleri ve hastalar tarafından kullanılmakta olan 10 ila 15 milyon arasında bağlı cihazı siber güvenlik risklerine maruz bırakmaktadır. O yüzden cihazlar hastaneler ve kullanıcılara ulaştıktan sonra mutlaka bir risk yönetimi oluşturulmalıdır. Üreticiler artık bir ürünün kullanılmasından sonra bile "siber güvenlik” risklerini yönetmek için yapılandırılmış ve kapsamlı bir program" geliştirerek, bir cihazın tüm yaşam döngüsü boyunca siber güvenliği göz önünde bulundurmalıdır. FDA, ağa bağlı tıbbi cihazların pazar sonrası siber güvenlik riski yönetimi için yönergeler yayınlamıştır. Bu yönergeler, 2014 yılında yayınlanan FDA'nın piyasa öncesi kılavuzluğuna ek olarak getirilmiştir.
Dördüncü Sanayi Devrimi’nin ana amacı insanların yaşam kalitesini artırmaktır. Bu açıdan gelen ve gelecek olan teknolojiler sadece sanayiyi değil gündelik hayatımızı, okullar, hastaneler gibi kamu alanlarını hatta trafik lambalarını, kara yollarını bile değiştirecektir. Bu devrim tüm hayatımızı iyileştirmek, daha yaşanabilir ve daha düzenli hale getirmek için gelmiştir. Hasta insanların yaşam kalitesini artırmak için medikal cihazlar da bağlantılıdır. Fakat bu direkt insan hayatına etki ettiği için üretilen cihazların siber güvenliğinin sağlanması oldukça kritiktir.
Aşağıdaki öneriler, cihaz üreticilerine, cihazların kullanımdan sonraki güvenliğini sağlamak için tasarlanmış bir dizi uygulama sunar.
Ürünler pazarlandıktan sonra:
► Güvenlik açıklarını tanımlamaya ve saptamaya yardımcı olmak için siber güvenlik bilgilerini izlenmesi
► Yazılım yaşam döngüsü süreçlerini korumak gibi, yeni güvenlik açıkları için üçüncü parti yazılım bileşenlerinin izlenmesi
► Yazılım güncellemeleri ve yamaları için tasarım doğrulanması ve onaylanması
► Bir cihazın güvenliğini ve performansını korumak için tehdit modellemelerinin kullanılması
Siber güvenlik açıklarının korsanlar tarafından kötüye kullanılmadan önce hafifletilmesini sağlar. Pazar öncesinde ise;
► Varlıkların, tehditlerin ve güvenlik açıklarının tanımlanması
► Tehlikelerin cihazın işlevselliği ve hastalar üzerindeki etkisinin değerlendirilmesi
► Tehdit veya güvenlik açığından yararlanılma olasılığının değerlendirilmesi
► Risk seviyelerinin ve uygun hafifletme stratejilerinin belirlenmesi
► Artık risk ve risk kabul ölçütlerinin değerlendirilmesi gibi uygulamalar yapılmalıdır.
Üreticiler, bunları, ürün tasarım aşamasında güvenlik denetimleri kurarak yapmalı ve devam eden siber güvenlik endişelerini gidermek için aygıtları sürekli izlemelidir. En önemlisi ortak gruplar (tıbbi cihaz üreticileri, sağlık bilgi teknolojileri geliştiricileri, bilgi teknolojileri sistem entegratörleri ve son kullanıcılar)arasındaki işbirliği, siber güvenlik tehdit risklerinin bilgi paylaşımı yoluyla ele alınması açısından etkili bir yaklaşım olacaktır. 4. Sanayi Devrimi ile birlikte tıbbi cihaz üreticileri artık, medikal cihazlarının güvenliğini tasarlarken, geliştirirken ve sürdürürken, gelişen siber güvenlik tehditlerine ve güvenlik açıklarına karşı proaktif ve uyanık bir yaklaşım sergilemek için de çalışmalıdır.
Akıllı Medikal Cihazlara Siber Güvenlik Sistemleri Oluşturulması ve Önemi
Bağlı olan tıbbi cihazları belli yönergelere ve endüstri güvenlik standartlarına uyacak şekilde tasarlayan, doğrulayan ve belgeleyen tıbbi cihaz üreticilerini destekleyen, işbirlikçi siber güvenlik uzman sistemleri gereklidir. Bu sistemler aynı zamanda, sağlık hizmeti sunucularında ve sağlık bakım ağlarında bulunan tıbbi cihazların seçimine, edinimine ve risk yönetimine yardımcı olmalıdır.
Sistem, paydaşların işbirlikçi bir çerçeve içinde belirlenmiş standartları kullanarak cihazlar için siber güvenlik gereksinimlerini yerine getirmelerini sağlar. Ayrıca sistem bir sanal kimlik doğrulama uygulaması içermelidir. Bu uygulama yönetim sürecinin her adımını bildiren, risk tanımlamasından tedaviye kadar tam izlenebilirlik sağlayan ve böylece bir üreticinin risk değerlendirmeleri üzerinde çalışması için harcanan zamanı önemli ölçüde azaltan teknolojilerle desteklenmelidir.
► Oluşturulacak bu sistemler başlangıçta insan hayatını koruyacak ayrıca;
► Tıbbi cihaz tasarımını, gelişimini ve onaylamasını hızlandırılması ve pazarlama süresinin kısaltılması
► Piyasadan sonra gözetim dokümantasyonu ve raporlama ile ilgili maliyetlerin düşürülmesi
► Siber güvenlik açığı nedeniyle cihazların geri çağrılma olasılığının azaltılması
► Üreticiyle sağlık hizmeti sunucuları arasındaki bilgi engellerini ortadan kaldırılması ve ömrü boyunca bir cihazın güvenliğinin geliştirilmesi
► Çalışmakta olan bir aygıtın güvenlik denetimlerini seçmek için harcanan sürenin azaltılması
► Düzenleyicilere, denetçilere ve müşterilere uyumu belgeleyen kanıtlar üretmesi açılarından faydalar sağlayacaktır.
"Hayatımızı daha iyi hale getirmek için tasarlanıp üretilen bu teknolojileri kullanırken mutlaka siber güvenlik açıkları olabileceğini de göz önünde bulundurmalıyız. Unutmayalım ki bir siber güvenlik açığını önlemenin ilk adımı açığımızın ne olduğunu öğrenmek olacaktır."
Kaynak:
► Medicalplasticsnews
► FDA
► Popular Science