ในขณะที่หน่วยงานรัฐบาลกลางป้องกันการโจมตีทางไซเบอร์และป้องกันการละเมิดข้อมูลที่อาจเกิดขึ้นในแต่ละวัน พวกเขายังทำงานอย่างใกล้ชิดกับพันธมิตรในอุตสาหกรรมเพื่อรับมือกับภัยคุกคามแนวหน้าและแนวโน้มที่เกิดขึ้นใหม่ตัวอย่างเช่น Department of Health and Human Services ทำงานร่วมกับ Health Information Sharing and Analysis Center (H-ISAC) เพื่อติดตามดูแนวภัยคุกคามด้าน IT ด้านสุขภาพ
Errol Weiss หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ H-ISAC กล่าว
กับ Federal News Network ว่าองค์กรส่วนใหญ่มีขึ้นเพื่อให้ผู้ผลิตอุปกรณ์ทางการแพทย์และผู้ให้บริการด้านสุขภาพ เช่น คลินิกและโรงพยาบาล ประเมินช่องโหว่ด้านไอทีที่ทราบ
“หนึ่งในหน้าที่หลักที่ Health ISAC ให้บริการกับสมาชิกในปัจจุบันคือการเป็นศูนย์กลางของการแบ่งปันข้อมูล … เราสามารถนำข้อมูลดิบบางส่วนที่ถูกแบ่งปันและความคิดเห็นของสมาชิกคนอื่นๆ มารวมกันเป็นสิ่งที่ฉัน เราจะเรียกการเล่าเรื่องสุดท้ายที่ขัดเกลาซึ่งเราสามารถแบ่งปันกับสมาชิกที่เหลือในวงกว้าง” ไวส์กล่าวในการให้สัมภาษณ์
ขณะที่ Weiss ยอมรับว่า “มีความตึงเครียดตามธรรมชาติ” ระหว่างสองกลุ่มของสมาชิก H-ISAC นั่นคือผู้ผลิตอุปกรณ์และผู้ให้บริการด้านสุขภาพ การนำกลุ่มเหล่านี้มารวมกันได้รับการพิสูจน์แล้วว่ามีความสำคัญในเดือนตุลาคม 2019 เมื่อบริษัทรักษาความปลอดภัยระบุช่องโหว่ Zero-day 11 รายการในสาม- ซอฟต์แวร์อุปกรณ์การแพทย์ของพรรค
ช่องโหว่เหล่านั้นสำนักงานคณะกรรมการอาหารและยาเตือนในบันทึกว่าอาจ “อนุญาตให้ใครก็ตามเข้าควบคุมอุปกรณ์ทางการแพทย์จากระยะไกลและเปลี่ยนฟังก์ชัน ทำให้เกิดการปฏิเสธการให้บริการ หรือทำให้ข้อมูลรั่วไหลหรือมีข้อบกพร่องเชิงตรรกะ ซึ่งอาจขัดขวางการทำงานของอุปกรณ์”
“มีความท้าทายในแง่ของการค้นหาอุปกรณ์เหล่านั้นบนเครือข่ายของคุณเอง แล้วเมื่อคุณพบสิ่งเหล่านั้นแล้ว คุณจะรักษาความปลอดภัยเหล่านั้นอย่างไร รัดกุมสิ่งเหล่านั้นให้แน่นขึ้น” ไวส์กล่าวว่า
อย่างไรก็ตาม H-ISAC ได้รวบรวมผู้ผลิตอุปกรณ์การแพทย์
และองค์กรด้านการดูแลสุขภาพที่ได้รับผลกระทบเพื่อออกคำแนะนำและแผนการแก้ไขเพื่อต่อต้านภัยคุกคามจากช่องโหว่ซีโร่เดย์Weiss กล่าวว่า H-ISAC จะรักษารายชื่อหน้าเว็บที่มีผู้ติดต่อด้านความปลอดภัยสำหรับผู้ผลิตอุปกรณ์ทางการแพทย์
“มันเป็นวิธีที่สะดวกสำหรับสมาชิกในการค้นหาหน้าเว็บด้านความปลอดภัยสำหรับบริษัทผลิตอุปกรณ์ทางการแพทย์นั้นๆ และเมื่อเป็นเรื่องของการแจ้งเตือนการเปิดเผยข้อมูลอย่างรับผิดชอบ [เรา] จะทำงานร่วมกับองค์กรเหล่านั้นเพื่อรวบรวมข้อมูลที่เหมาะสม และตรวจสอบให้แน่ใจว่ามีการเผยแพร่ไปยังฝ่ายที่เหมาะสม” เขากล่าว
ก่อนเข้าร่วม H-ISAC ในปี 2562 ไวสส์ช่วยสร้างโมเดล ISAC สำหรับภาคบริการทางการเงินในปี 2542 และดำรงตำแหน่งสมาชิกคณะกรรมการของ Financial Services ISAC
ดังนั้นเมื่อผู้ผลิตแจ้งให้ลูกค้าทราบเกี่ยวกับช่องโหว่และโปรแกรมแก้ไขเพื่อแก้ไขปัญหา Weiss กล่าวว่าเดิมพันมักจะสูงกว่าในโลกไอทีด้านสุขภาพ เมื่อเทียบกับประสบการณ์ของเขาในภาคการเงิน
“บางครั้งเราเห็นบทความในสื่อว่า (ด้วย) อุปกรณ์ทางการแพทย์ หากแฮ็กเกอร์ค้นพบช่องโหว่นั้นและใช้ประโยชน์จากช่องโหว่นั้น อาจส่งผลเสียต่อผู้ป่วย รวมถึงการเสียชีวิตด้วย” เขากล่าว “ดังนั้นจึงมีแนวโน้มที่จะมีการครอบคลุมประเภทที่น่าตื่นเต้นมากเมื่อผู้ผลิตพยายามทำสิ่งที่ถูกต้องและเปิดเผยช่องโหว่และแพตช์ปัญหาอย่างมีความรับผิดชอบต่ออุปกรณ์นั้น”
ในสถานการณ์ดังกล่าว H-ISAC จะทำงานร่วมกับผู้ผลิตเพื่อให้แน่ใจว่าพวกเขาเตรียมพร้อมสำหรับการตอบสนองในทันทีที่ตามมาเมื่อพวกเขาเปิดเผยช่องโหว่
ในขณะที่บันทึกสุขภาพอิเล็กทรอนิกส์ที่เพิ่มขึ้นสามารถถือเป็นกุญแจสำคัญในการส่งมอบการดูแลผู้ป่วยที่ไร้รอยต่อในผู้ให้บริการด้านสุขภาพ หรือแม้กระทั่งส่งเสริมการนำ telehealth และการวินิจฉัยระยะไกลไปใช้ในวงกว้างมากขึ้น Weiss กล่าวว่าชุมชนไอทีด้านสุขภาพจำเป็นต้องจัดการกับแนวคิดพื้นฐานเช่นการจัดการข้อมูลประจำตัวก่อน เพื่อให้มั่นใจว่า เฉพาะแพทย์และผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงเวชระเบียนที่ละเอียดอ่อนได้
“ฉันรู้ว่าหลายองค์กรกำลังเผชิญกับความซับซ้อนของมันอย่างแน่นอน เราไม่มีวิธีที่สามารถทำงานร่วมกันได้มากนักในการรับรองความถูกต้องของผู้คน” เขากล่าว
เขากล่าวเสริมว่าความท้าทายในการรับรองความถูกต้องในไอทีด้านสุขภาพไม่จำเป็นต้องเป็นปัญหาด้านเทคโนโลยีเสมอไป แต่จริงๆ แล้วเป็นปัญหาที่คนและกระบวนการต่างๆ
“ปัจจุบันมีเทคโนโลยีและฮาร์ดแวร์ที่ยอดเยี่ยม เราจำเป็นต้องได้รับข้อตกลงว่านี่จะเป็นวิธีที่เรากำลังจะไป นี่คือมาตรฐานที่เราจะใช้ และนี่คือกระบวนการที่เรากำลังดำเนินการอยู่” ไวส์กล่าว “เราให้รัฐบาลควบคุมอย่างนั้นหรือ? เราให้ภาคเอกชนเข้ามาเสนอวิธีแก้ปัญหาก่อนที่มันจะถูกควบคุมหรือไม่? ฉันไม่รู้
