Close Menu
    Europa nuus

    Terwyl beleid vasstaan, het ‘n brose web van private toepassings Suid-Afrika se gesondheidsorglimbo gevul

    ThomasBy No Comments9 Mins Read

    Martin Fernandes|Gepubliseer

    Terwyl beleidsdebatte oor die 15-jaar-horison voortduur vir die Nasionale Gesondheidsversekering (PEDIATRIES) en sy beplande Enkel Elektroniese Gesondheidsrekord (SEHR), het ‘n stiller, vinniger transformasie reeds Suid-Afrika hervorm. gesondheidsorg. Dit het nie in die parlement gebeur nie; dit het in die toepassingwinkel gebeur.

    Dit is die era van “skadu-digitalisering” – die vinnige, onbeplande aanvaarding van innoverende en op-aanvraag digitale gereedskap.

    Die SEHR was bedoel om die digitale ruggraat van die PEDIATRIES – ‘n verenigde, veilige en interoperabele standaard wat die mediese geskiedenis van elke burger sal huisves tot voordeel van staatsgesondheidsorg sowel as private dienste. Maar die mark het nie vir die staat gewag nie. In die vakuum wat deur die vertraging van gesentraliseerde infrastruktuur gelaat is, het die private sektor vorentoe gehardloop.

    Die Suid-Afrikaanse mark vir digitale gesondheid en telemedisyne was reeds ter waarde van sowat R15,7 miljard terug in 2023, volgens bedryfsnavorsing, en sal na verwagting aansienlik groei deur hierdie dekade. Die vraag na virtuele konsultasies het skerp gestyg het sedert die COVID-19-pandemie, met telegesondheid wat toenemend bepaal hoe nie-noodgesondheidsorg in beide private en openbare omgewings gelewer word.

    Slimfoon- en internettoegang – die ruggraat van digitale gesondheidsgebruik – het aansienlik uitgebrei in Suid-Afrika, met miljoene mense aanlyn- en mobiele internetpenetrasie wat fasiliteer toegang tot virtuele sorghulpmiddels.

    Hierdie organiese groei los onmiddellike probleme van toegang en doeltreffendheid op. Dit skep egter ‘n gefragmenteerde sekuriteitsuitdaging wat baie meer kompleks is as die ou papierlêers wat dit vervang. In plaas daarvan om ‘n vesting te bou, bou ons nou ‘n uitgestrekte, onbeplande web van verbindings wat (in baie gevalle pragtig) werk, maar wat nie ‘n verenigde sekuriteitsbasis het nie.

    Die risiko van hiperkonnektiwiteit

    Die gevaar lê in die verbindings. In ‘n geformaliseerde SEHR-stelsel het jy ‘n gedefinieerde omtrek om te verdedig. In hierdie huidige ekosisteem bestaan ​​die omtrek nie.

    Oorweeg die datareis van ‘n enkele pasiënt. Hulle kan ‘n dokter raadpleeg via ‘n video-toepassing, ‘n digitale skrif ontvang wat na ‘n apteekketting gestuur word, en die koste via ‘n mediesefonds-toepassing eis. Dit is drie verskillende organisasies, drie verskillende sekuriteitsposisies en sensitiewe gesondheidsdata wat tussen hulle vloei via toepassingsprogrammeringskoppelvlakke (API’s).

    API’s is die digitale gom wat hierdie interoperabiliteit moontlik maak, maar dit is dikwels ‘n blindekol. As ‘n klein, innoverende telemedisyne-opstartonderneming nie sy API streng beveilig het nie, dien dit as ‘n oop deur. ‘n Kubermisdadiger hoef nie die gesofistikeerde verdediging van ‘n groot hospitaalgroep te kap nie. Hulle moet eenvoudig die kleiner, minder veilige toepassing wat wettige toegang tot die hospitaal se databasis het, in gevaar stel.

    Ons sien ‘n wêreldwye toename in aanvalle wat hierdie “sagte” toegangspunte teiken. Misdadigers omseil die voorhek om deur die digitale venster te klim wat deur ‘n derdeparty-verkoper oopgelaat is.

    Die menslike koste van digitale broosheid

    Ons bespreek dikwels kuberveiligheid in terme van dataprivaatheid of finansiële boetes, maar in die gesondheidsorgsektor is die belange fisies. Die digitale stelsels wat nou ons gesondheid bestuur, het effektief kritieke nasionale infrastruktuur geword, en ‘n mislukking hier kom neer op baie meer as blote ongerief.

    Die voordeel van die gebruik van tegnologie soos The Internet of Medical Things (IoMT) lewer duidelike tasbare uitkomste, maar te dikwels teen ‘n koste wat oor die hoof gesien word. IoMT-toestelle soos IV-infusiepompe, pasiëntmonitors, dialisemasjiene en ander MedTech-toestelle soos broeikaste, X-straalmasjiene, MRI- en CT-skandeerders hou ‘n hoë risiko in vir enige digitale transformasie.

    Die meeste van hierdie stelsels bestaan ​​uit ingebedde bedryfstelsels (van verskillende variante) en gebruik eie sagteware en kommunikasiekanale wat in wisselwerking is met Picture Archiving and Communication Systems (PACS), Radiology Information Systems (RIS) en Electronic Health Record (EHR) stelsels wat tradisioneel op die perseel ontplooi is. Met die verskuiwing na wolk en die aanvaarding van KI om kliniese en operasionele prosesse te verbeter, is databeskerming nie die enigste bekommernis nie, maar die toenemende blootstelling van toestelle en stelsels deur ‘n ketting van onderling gekoppelde stelsels word ‘n groot bekommernis.

    As in ag geneem word dat die meeste van hierdie toestelle nie moderne kubersekuriteitsbeskerming het nie, die feit dat hulle nie eindpuntbeskerming sowel as lang lewensiklusse (10-20 jaar) het nie, kan baie van hierdie stelsels (meer as 60% van toestelle) nie meer deur die Original Equipment Manufacturer (OEM) ondersteun word nie, wat hierdie stelsels soveel makliker maak, teikens met ‘n groter impak vir aanvallers. Trouens, studies dui daarop dat meer as twee derdes van IoMT-toestelle kwesbaar is vir aanvalle met toestelle wat soveel as ses bekende misbruikte kwesbaarhede (KEV’s) huisves.

    Wat die situasie verder vererger, is die risiko wat buite IT en IoMT met die bekendstelling van Smart Facility-inisiatiewe inhou. Hospitale is operasionele komplekse omgewings wat bestaan ​​uit baie fisiese prosesse wat ‘n deurslaggewende deel van die kliniese ketting is. Digitalisering van fisiese elemente soos Verhitting, Ventilasie en Lugversorging (HVAC), Waterprosesse, Elektriese en Krag-infrastruktuur, Gasstelsels ens. verbind hierdie stelsels effektief aan die ondernemingsnetwerk wat gesentraliseerde sigbaarheid en beheer moontlik maak via Geboubestuurstelsels (BMS).

    Afstandtoegang is nog ‘n bekommernis omdat afgeleë verbinding met stelsels verskaf/geïnstalleer word deur verkopers/OEM’s deur oplossings wat nie deur IT beheer word nie.

    Beide IoMT en Operasionele Tegnologie (OT) gebiede val gewoonlik buite die bevoegdheid van die SOC, wat ‘n groot gedeelte van toestelle, verbindings en kommunikasie ‘n massiewe blindekol maak vanuit ‘n kuberveiligheidsperspektief.

    Om hierdie IoMT- en OT-uitdagings aan te spreek vereis ‘n multi-stap benadering wat bestaan ​​uit:

    • Afdwinging van duidelike eienaarskap – Kuberveiligheid moet prioriteit op direksievlak wees wat IoMT en OT moet insluit.
    • Stel ‘n volledige bate-inventaris op – intydse monitering en verslagdoening van alle IoMT, OT en kliniese stelsels (tipe toestel, firmware weergawes, fisiese verbinding besonderhede en verkeer profiele.
    • Stel behoorlike segmentering in – vestig ‘n sone-gebaseerde argitektuur met streng beheer oor verkeersvloei en kommunikasie. Wat belangrik is, maak seker dat die kuberveiligheidsspeurder en voorkomende kontroles in staat is om eie kommunikasieprotokolle te interpreteer.
    • Dwing identiteit en toegangsbeheer af:
      • Implementeer netwerktoegangskontroles wat gebruik maak van veelvuldige profielmetodes (nie net MAC-adres nie) om skelm verbindings te versag.
      • Dwing multi-faktor-verifikasie af (waar moontlik).
      • Dwing Bevoorregte Toegangsbestuur af om die minste bevoorregte toegangsbestuur te vestig, gedeelde rekeninge en onbeheerde toegang tot stelsels wat ook afstandtoegang beheer, uit te skakel.
    • Elimineer veelvuldige direkte afgeleë OEM-verbindings deur toegang na ‘n gesentraliseerde toegangsoplossing te migreer wat direkte toegang tot kritieke stelsels uitskakel en inspeksie en beskerming van aktiwiteit en kommunikasie bied (selfs wanneer geïnkripteer).
    • Brei Patch and Vulnerability Management uit na IoMT-, OT- en MedTech-infrastruktuur en -stelsels – Dit is waarskynlik die grootste struikelblok aangesien organisasies gereeld vasgevang is tussen OEM-gedikteerde bedryfs- en instandhoudingsreëls en kliniese uptyd SLA’s. Om hierdie uitdagings aan te spreek, is dit van kardinale belang dat organisasies versagtende beheermaatreëls in die assesseringsproses insluit wanneer hulle ‘n kuberveiligheidsoplossing kies.
    • Amalgamaatmonitering en insidentopsporing – Daar is baie min waarde om te verkry om jou voordeur te bewaak wanneer jou agterdeur onbewaak gelaat word. Maak seker dat jou SOC waarskuwings inneem en monitor oor elke aspek van jou ekosisteem wat verder strek as tradisionele IT-maatreëls en kliniese toestelle, infrastruktuurdienste, wolk- en KI-integrasies insluit.
    • Veerkragtigheid en kontinuïteit – terwyl dit ‘n belangrike fokusarea in gesondheidsorg is, word dit dikwels hoofsaaklik vanuit ‘n dataherwinningsperspektief benader met baie min aandag aan volgehoue ​​werking en kritieke fisiese prosesse waar die werklike operasionele en pasiëntveiligheidsrisiko’s geleë is.

    Die potensiële gevolge van ‘n kubervoorval strek veel verder as dataverlies. Wanneer die digitale ruggraat breek, kan die impak onmiddellik en fisies wees: operasies kan uitgestel word as teaterskedules ontoeganklik word; kritieke behandelings kan vertraag word as diagnostiese resultate nie verkry kan word nie; en pasiënttoegang tot sorg kan afgesny word as besprekingsportale donker word.

    Die doeltreffendheid wat ons uit hierdie web van toepassings verkry, word ‘n enkele punt van mislukking as dit nie beveilig word nie. As die “skadu”-web van private gereedskap wat nou ons gesondheidsorg ondersteun, in duie stort of deurbreek word, verander dit ‘n oplossing vir toegang in ‘n gevaar vir pasiëntveiligheid.

    Identiteit is die nuwe omtrek

    Die op-aanvraag-model stel ook ‘n unieke identiteitsuitdaging bekend. Dokters meld nou daagliks by verskeie uiteenlopende stelsels aan, dikwels met persoonlike toestelle. Hierdie fragmentasie maak Identiteits- en toegangsbestuur (IAM) krities.

    As ‘n dokter dieselfde wagwoord vir ‘n veilige versekeraarplatform gebruik as wat hulle vir ‘n minder veilige skeduleringtoepassing gebruik, bring ‘n oortreding in die een die ander in gedrang. In ‘n land waar 1 800 gekwalifiseerde dokters kon nie werk kry nadat alle statutêre voorvereistes voltooi is nie, die gig-ekonomie-model van telemedisyne bied ‘n noodsaaklike reddingsboei vir loopbane, maar dit beteken ook dat die “menslike firewall” voortdurend tussen organisasies beweeg.

    Hierdie werklikheid vereis a Zero Trust benadering. In die verlede het ons enigiemand vertrou wat “binne” die netwerk was. Vandag moet ons aanvaar dat elke toestel en elke gebruiker moontlik gekompromitteer word totdat dit anders bewys word.

    Zero Trust beteken dat wh

    jw.org af ‘n dokter se tablet versoek toegang tot ‘n pasiëntrekord, die stelsel gaan nie net die wagwoord na nie. Dit kontroleer die konteks. Kom hierdie versoek van ‘n bekende toestel af? Kom dit van ‘n gewone plek af? Is die toestel vry van wanware? As die antwoord op enige van hierdie nee is, word toegang geweier, selfs al is die wagwoord korrek.

    Verharding van die toepassings

    Vir die ontwikkelaars en organisasies wat hierdie gesondheidsinstrumente bou, moet die fokus verskuif na “Application Security” (AppSec). Sekuriteit kan nie ‘n finale kontrole wees voordat ‘n toepassing beskikbaar is nie. Dit moet integraal tot die kode self wees.

    Baie van hierdie gesondheidsprogramme is gebou vir spoed om te bemark. In die haas om ‘n nuwe funksie bekend te stel waarmee pasiënte aanlyn afsprake kan bespreek, kan ontwikkelaars per ongeluk ‘n API-sleutel oopmaak of versuim om data wat plaaslik op die telefoon gestoor is, te enkripteer. Geoutomatiseerde toetsinstrumente kan nou kode skandeer soos dit geskryf word, en dien as ‘n speltoetser vir sekuriteitsfoute. Dit verhoed dat kwesbaarhede ooit die publiek bereik.

    Stabilisering van die hibriede werklikheid

    Die vertraging van die amptelike SEHR beteken nie dat ons tyd het om te ontspan nie. Dit beteken ons is vasgevang in ‘n baie langer tydperk van hibriede risiko. Ons sal papierlêers, verouderde regeringsbedieners en voorpunt hê private toepassings almal probeer om saam te bestaan ​​vir die volgende dekade of meer.

    Die organisasies wat hierdie oorgang oorleef, sal diegene wees wat ophou wag vir ‘n nasionale meesterplan om hul sekuriteitstandaarde te dikteer. Hulle sal besef dat hulle in ‘n wêreld van skadu-digitalisering verantwoordelik is vir hul eie data soewereiniteit.

    Ons moet die gesondheidsorgstelsel beveilig hetnie die een waarvoor ons wag nie. Dit beteken om die API-verbindings te beveilig, elke identiteit te bekragtig en die toepassings te verhard wat miljoene Suid-Afrikaners reeds gebruik om hul lewens te bestuur.

    Martin Fernandes, besigheidsontwikkelingsbestuurder by Fortinet Afrika.

    Share.

    Related Posts

    Add A Comment
    Leave A Reply