תחום הבריאות הדיגיטלית מתפתח במהירות ומביא לתחום הבריאות רוח חדשה. יחד עם זאת, חברות תוכנה רפואית ומכשור רפואי דיגיטלי לטיפול בפציינטים, מתמודדות עם אתגרים רבים וביניהם אתגרים רגולטוריים, כגון הקמת מערכות לניהול איכות, אבל לא רק…
ישנה חובה גם לטפל ולנהל את ההגנה על מידע המוגדר כרגיש כגון מידע רפואי ואישי של מטופלים וגם מידע רגיש של החברה כמו פטנטים, מאגרי לקוחות, שיטות עבודה, דוחות כספיים ועוד, תוך הבטחת עמידה בדרישות הרגולציה והחוקים בכל מדינה בה ימכר המוצר/השירות.
פעילות של חברות מתחום הבריאות דיגיטלית, כרוך בהערכה קלינית, מחקרים, עבודה עם מטופלים בבתי חולים וקליניקות וגם בטיפול ביתי. לצד חדשנות וטכנולוגיה, ישנן לא מעט דרישות אבטחת סייבר, אבטחת מידע ופרטיות מידע של מטופלים, המחייבים את החברות לפעול במסגרת ניהול סיכונים ובהתאם לדרישות רגולציות אבטחה וחסיון מידע, כגון תקני ISO 27001, ISO 27799, GDPR ותקנות HIPAA.
הבנת הרגולציה המחייבת חברות בריאות דיגיטלית
כאמור, ישנם לא מעט חוקים ורגולציות שעל חברות ה- E-Health לעמוד בהצלחה על מנת להשיג רישום ולמכור את השירות שלהן בשווקים כגון ארה"ב, אירופה וטריטוריות נוספות.
לחלק מדרישות הרגולציה ישנם תקני ISO יעודיים, המאפשרים לחברה לקבל הסמכה ולהוכיח עמידה בסטנדרטים, לדוגמא:
- ISO 27001 שמספק את הבסיס למערכות ניהול אבטחת מידע (ISMS)
- ISO 27799 שמתייחס ספציפית לניהול אבטחת מידע בריאותי לעבודה עם בתי חולים וקליניקות
- חוק ה- HIPAA בארה"ב מוסיף שכבה נוספת של דרישות תאימות המתמקדות בהגנה על מידע בריאות של מטופלים
- GDPR אשר מיועד להגן על מידע ולשמור על פרטיות המידע במדינות אשר פועלות באירופה
- ISO 23894 שעוסק בניהול סיכונים של טכנולוגיות מידע מבוססות בינה מלאכותית
- ISO 42001 שנועד לעזור לארגונים לשלב בקרה על תחומי הבינה המלאכותית כחלק ממערכות הניהול והבקרה הקיימות בחברה
עמידה בתקנים אלה בין אם בלי או עם הסמכה פורמלית, מחייבת חברות E-Health לאמץ גישה שיטתית לניהול סיכונים, כאשר מתודולוגיית ה- FMEA היא בין השיטות היותר מקובלות ומוכרות בעולם.
יתרונות שיטת ה- FMEA להערכת סיכונים בחברות בריאות דיגיטלית
מתודולוגיית ה- FMEA הוכיחה את עצמה שנים רבות, ככלי חיוני ופרואקטיבי המשמש לזיהוי והפחתת כשלים פוטנציאליים (טרם התרחשותם) בתחומי הביו-מד השונים. מתודולוגיה זו תואמת את הדריכי הרגולציה השונים כולל אלו של ה- FDA וה- CE.
חשוב לציין שה- FMEA משמש גם ככלי לניתוח והערכת סיכונים כחלק מתהליכי הסמכה ואקרדיטציה בינלאומית של בתי חולים בישראל ובעולם.
כאמור, גישת ה- FMEA לניתוח, הערכה וניהול סיכונים, היא גישה פרואקטיבית וככזו מאפשרת לחברות בתחומי הבריאות:
- לזהות מצבי כשל פוטנציאליים במרכיבי מערכת ובתהליכים שונים
- להעריך את חומרת, תדירות ובקרות קיימות כגון הסתברות הגילוי של כל סיכון
- לחשב את רמת הסיכון
- לחשב את ערכי ה- RPN לתעדוף החלת פעילויות מיטיגציה ובקרות
- לפתח אמצעי בקרה ממוקדים ואפקטיביים לטיפול בסיכונים בעדיפות גבוהה
- למנוע מסיכונים פוטנציאליים להתממש לכדי כשלים ונזקים
- לשמר את הפעילות של החברה ואת המוניטין שלה בשווקי היעד
תחומי סיכון קריטיים בטכנולוגיית בריאות דיגיטלית
בעת ביצוע ניתוח סיכונים באמצעות ה- FMEA לטכנולוגיית בריאות דיגיטלית ו- AI, על החברה להתמקד במספר תחומים קריטיים כגון:
בטיחות המטופל ואיכות הטיפול
הגנה על בריאותו של המטופל ומניעת נזקים בריאותיים, הבטחה שהטיפול הדיר ועומד בדרישות האיכות, טיפול אפקטיבי עם תוצאות שעומדות בהלימה עם ה- Claim של השירות/המוצר.
אבטחת מידע ופרטיות
הגנה על מידע בריאות של מטופלים מחייבת התייחסות זהירה להצפנה, מיסוך ואנונימיזציה של נתונים ומידע, בקרות גישה לאפליקציה ושימוש בפרוטוקולי תקשורת מאובטחים.
ה- FMEA עוזר לנו לזהות נקודות תורפה בתהליכי איסוף, עיבוד וטיפול במידע ומאפשר החלת אמצעי הגנה מתאימים.
זמינות ואמינות המערכת
טכנולוגיות בריאות, מטבען משמשות לטיפול בחולים ועל כן חייבות לאפשר זמינות מקסימלית, תוך הבטחת שלמות, דיוק ואמינות הנתונים אותן הן מספקות.
ה- FMEA מסייע לחברות בריאות דיגיטלית בזיהוי נקודות כשל פוטנציאליות שעלולות לפגוע בביצועי המערכת, בזמינות או באספקת שירותי הבריאות הדיגיטלית לשמה היא נועדה.
עמידה בתקנות וחוקים
אי-עמידה בתקני ISO או בדרישות HIPAA ו- GDPR עלולה לחשוף את הפעילות העסקית של החברה לסיכון ממשי, להוביל לקנסות גבוהים בעקבות הפרות, סיטול חוזים מול לקוחות ולהגבלת החברה מלשווק ולמכור את שירותיה בשווקי היעד.
ה- FMEA מסייע לחברות בריאות דיגיטלית לזהות פערי תאימות עם דרישות הרגולציה וליישם בקרות נדרשות ולקבל הסמכות לתקנים הנדרשים.
הכשרת כוח אדם והגברת המודעות לסיכוני אבטחת מידע בחברות בריאות דיגיטלית
היבט קריטי בניהול סיכונים בארגוני טכנולוגיות בריאות דיגיטלית, הוא הבטחת כוח אדם מוסמך, מקצועי, אמין ובעל יכולות לבצע את דרישות התפקיד כפי שמופיעות בהגדרת התפקיד הרשמית.
חברות בריאות דיגיטלית חייבות להחזיק צוות עם הסמכות ומומחיות רלוונטיות בנושאים כגון:
– מערכות ניהול אבטחת מידע (ISMS)
– הבטחת איכות ו- QA
– חסיון מידע קליני ומידע על מטופלים
– מתודולוגיות הערכה וניתוח סיכונים
– קליניקה
– רגולציה ורישום
– V&V
הכשרה של עובדים וביצוע הדרכות תקופתיות לדוגמא הדרכות בנושאי HIPAA, אבטחת מידע וניהול מערכות איכות יבטיחו שצוות החברה יהיה מעודכן בכל הנוגע ל:
– איומים ופרצות אבטחה חדשים
– סיכוני סייבר ופישינג
– דרישות רגולטוריות חדשות
– טכנולוגיות אבטחה מתקדמות
– שיטות עבודה מומלצות בתעשייה
– סיווג מידע
ניהול סיכוני סייבר בחברות בריאות דיגיטלית
פיתוח תוכנית ניהול סיכוני אבטחה
תוכנית ניהול סיכוני אבטחה חזקה חייבת לכלול:
– הגדרת היקף ויעדים
– הגדרות תפקידים ואחריות
– מתודולוגיית הערכת סיכונים
– אסטרטגיות יישום בקרות
– נהלי ניטור וסקירה
– תוכניות לניתוח והערכת סיכונים
– סימולציות המשכיות עסקית ו- Disaster recovery
– יעדים שנתיים וסקר הנהלה
ניהול וסיווג נכסים
חברות מתחומי הבריאות חייבות לשמור על מצאי נכסים מקיף הכולל:
– חומרה
– מכשור רפואי ואביזרי קצה
– יישומי ומערכות תוכנה
– SaaS
– נכסי מידע ומאגרים
– תשתית רשת
– שירותים ואינטגרציות של צד שלישי
הערכת איומים ופרצות אבטחה בחברות בריאות דיגיטלית
מתודולוגיות זיהוי
ארגוני בריאות דיגיטלית חייבים לאמץ מספר גישות לזיהוי איומים ופרצות אבטחה, כגון:
מערכות דירוג פרצות אבטחה
יישום דירוג פרצות אבטחה סטנדרטי באמצעות:
– מערכת דירוג פרצות אבטחה נפוצות (CVSS)
– קביעת רמת הסיכון והקדימות לטיפול לפי חישובי ה- RPN מ-FMEA
– דירוגי חומרה ייחודיים לנושאי בריאות ומטופלים
שילוב OWASP
שימוש במסגרת OWASP ל:
– זיהוי פרצות אבטחה נפוצות ביישומי אינטרנט
– יישום שיטות עבודה מומלצות באבטחה
– שימוש במתודולוגיות בדיקת אבטחה
– יישום שיטות קידוד והצפנה מאובטחות
רשימת מרכיבי תוכנה (S-BOM)
שמירה על S-BOM מדויק היא קריטית ל:
– מעקב אחר רכיבי תוכנה
– זיהוי רכיבים פגיעים
– ניהול סיכוני שרשרת אספקה
– הבטחת עמידה בדרישות רגולטוריות
ניתוח השפעות שליליות בחברות בריאות דיגיטלית
קטגוריות השפעה
חברות בתחומי הבריאות הדיגיטלי חייבות להעריך השפעות שליליות פוטנציאליות כגון:
– בטיחות המטופל ואספקת הטיפול/השירות הנדרש
– איכות ויעילות הטיפול
– היכולת להשתמש בשירות
– סודיות ושלמות מידע
– המשכיות תפעולית
– עמידה בתקנות ורגולציה
– מוניטין החברה
שיטות הערכת השפעה
שימוש בגישות מובנות להערכת השפעות פוטנציאליות כגון:
– ניתוח כמותי של השלכות פיננסיות
– הערכה איכותית של השפעות תפעוליות
– הערכת סיכוני בטיחות מטופלים
– ניתוח השפעת בעיות אינטגרציה
יישום בקרה על סיכוני סייבר בחברות בריאות דיגיטלית
קריטריונים לבחירת בקרות
הערכת אמצעי בקרה פוטנציאליים יבוצעו על סמך פקטורים כגון:
– ישימות
– שיקולי עלות-תועלת
– דרישות עמידה בתקנות ורגולציה
– השפעה תפעולית
– קיימות לטווח ארוך
קטגוריות בקרה
בחירת הבקרות שיש ליישם, תבוצע ככל שניתן בצורה מאוזנת ותכלול בקרות כגון:
– בקרות טכניות- הצפנה, הרשאות גישה וכו.
– בקרות מנהליות- מדיניות, נהלים, הדרכות, הכשרות וכו.
– בקרות פיזיות- אבטחת מתקנים, בקרת מבנה וכניסה, הגנת מכשירים, הגנת שרתים, אבטחת חומרה וכו.
– בקרות מפצות- אמצעים חלופיים כגון שרתים, גיבויים, חומרה, תוכנה וספקים חלופיים
הערכת פרצות אבטחת מידע בחברות E-Health וניהולן
מתודולוגיית הערכה
יישום תהליכי הערכת פרצות אבטחה קבועים כגון:
– סריקה אוטומטית
– בדיקות חדירות
– מקורות מודיעיניים
– סקירה וניתוח קוד
– הערכת תצורה
– הערכת אבטחת צד שלישי
– עמידה בדרישות רגולציה
ניטור מתמשך
הקמת ניהול פרצות אבטחה מתמשך:
– ניטור איומים בזמן אמת
– סקירת מקורות מודיעיניים
– זיהוי ותגובה מיידית לאירועים
– מעקב ותיקון פרצות אבטחה שנתגלו
– מדידת ביצועים, סקירה והשגת יעדים שנתיים
לסיכום,
ההיקף הנרחב של דרישות אבטחת וחסיון מידע, לצד רגולציה מתפתחת בתחומי ה- AI, מחייבות חברות בתחומי הבריאות הדיגיטלית לאמץ גישה מתוחכמת לניהול סיכונים.
אימוץ גישה זו, תאפשר לחברה לנתב את המשאבים הנדרשים לנושאים החשובים באמת, לעיתים על חשבון נושאים פחות קריטיים ו/או פחות מסוכנים וזאת תחת הערכת סיכונים ורציונל מתועד וברור.
חברות הפועלות בתחומי ה- E-Health ומעוניינות לקבל אישורים רגולטוריים למכירת שירותיהן כגון אישורי CE ו- FDA, חייבות להתייחס לאספקטים רבים כולל הכשרות עובדים, ניהול פרצות אבטחה, עמידה בתקנות ועוד.
רמת המורכבות של דרישות אלה, בשילוב עם הסיכון המובנה בעבודה בתחום הבריאות ועבודה עם מטופלים, מחייבת הדרכות מקצועיות לצוותי העבודה כגון:
עבודה איתנו תאפשר לחברות בריאות דיגיטלית:
– לפתח תוכניות אבטחה וחסיון מידע מקיפות
– לשמור על עמידה בדרישות הרגולציה והאיכות
– להקים מערכת לניהול איכות
– להקים מערכת לניהול אבטחת מידע
– לקבל הסמכות ISO רלוונטיות
– להגן על מידע ובטיחות מטופלים
– להבטיח המשכיות תפעולית ועסקית
– לנהל איומי אבטחה באופן שוטף (CISO)
– לבצע V&V לשירות או למוצר
– לבצע הדרכות והסמכות לעובדי החברה
לקבלת הצעה לחץ כאן
