ביוכם - Bio-Chem לוגו

בדיקות חדירות לתוכנה רפואית

בדיקות חדירות לתוכנה רפואית

מהי בדיקת חדירות לתוכנה רפואית?

ביצוע בדיקות חדירות לתכנה רפואית, או כפי שקרוי “Pen test” הנו שימוש במגוון טכניקות ידניות ואוטומטיות אשר מבצעות סימולציה של “התקפה אתית” על מערכות אבטחת המידע של הארגון, תוך ניסיון גישה לקבצי מערכות המידע.

מטרת בדיקות החדירה הנה לאתר חוליות חלשות במערכת האבטחה של הארגון, בין אם הן ידועות לארגון ובין אם הן אינן ידועות, בעקר בכל הנוגע לאחסון מידע רגיש כגון מידע על מטופלים, מידע קליני. תהליך בדיקת החדירה מצריך תוכנית חדירה. חשוב להקפיד כי בדיקת החדירות לתוכנה תבוצע ע”י גורם חיצוני ותבוצע “מנקודת מבט” של תוקף פוטנציאלי, זאת על מנת להיערך בצורה טובה יותר לסיטואציה זו.

תוכנית בדיקות החדירה, תתבסס על ניתוח מערכת המידע של הארגון המיועדת לבדיקה, תוך איתור נקודות פוטנציאליות לפגיעות, אשר עשויות לנבוע מתצורת מערכת לקויה או לא תקינה, פגמי חומרה או תוכנה, וחולשות תפעוליות ביישום תהליכים ונהלי עבודה בארגון, עבודה לפי נהלים והדרכות עובדים מתאימות.

 

למה צריך לבצע בדיקת חדירות לתוכנה רפואית?

ארגוני רפואה, חברות פארמה וחברות העוסקות בתחום הבריאות הדיגיטלית, אוצרים מידע רב ערך, הן נתונים על פציינטים, ניסויים קליניים, תרופות מחקר וכמובן מידע אישי, רפואי וגנטי ולכן, אמורים להיות ערוכים בכל עת בפני התקפות אבטחת סייבר פוטנציאליות.

כחברת יעוץ הפעילה בתחום הבריאות הדיגיטלית, רבות מהתקפות הסייבר אליהן אנו עדים בקרב לקוחותינו, מקורן בחוליות חלשות בתשתיות המידע הארגוניות ואף בדרך בה מיושמים אמצעי האבטחה ושיטות העבודה בארגון.

חברות פרמצבטיקה, מדיקל וארגוני בריאות, מאופיינות בסביבת IT מורכבת וגלובלית, אשר מכילה מידע רגיש רב. על כן, חברות מתחומים אלה, חייבות להבטיח עבודה מבוקרת ובטוחה, על מנת להשיג את יעדיו העסקים והרגולטוריים מחד, ולשמור על מוניטין המותג מאידך, וזאת הן מול רשויות הבריאות, הגופים הרגולטוריים השונים והן כלפי הציבור ובעלי המניות.

כל איום על מערכות המכילות מידע רגיש בארגונים וחברות הפעילים בתחומי הבריאות והרפואה, הנה סיכון רגולטורי ועסקי מדרגה ראשונה, ולא תמיד ניתן יהיה “לחזור אחורה” לאחר התרחשותו. שערו בדמיונכם זליגה של מידע רפואי חסוי של מאה אלף מטופלים לגורמים זדוניים או לחברות אשר עשויות לנצל מידע זה לתועלתן העסקית.

מצב של פגישה בחסיון המידע של מטופלים, הנו אירוע חמור מעין כמוהו, אשר שם את הארגון בסיטואציה קשה שברוב המקרים עד אפשרי לתקנה. לפיכך, על הארגון לעבוד לפי נהלי אבטחת המידע, כפי שמשתקפים בתקנים כגון ה- ISO 27001, ISO 27799, ולנקוט בפעילויות מונעות מסוגים אלה ואחרים, על מנת להבטיח ולאבטח את שרידותו של העסק לעתיד לבוא.

הטמעת תקני אבטחת מידע כגוןISO 27001, ISO 27017, ISO 27799, GDPR, COBIT5, ISF, HIPAA תספק מסגרת התייחסות כללית לנושא. עמידה בתקני אבטחת המידע, בשילוב עם ביצוע פעולות אופרטיביות כגון בדיקות חדירה מתקדמות, יאפשרו לארגון להבטיח כי רמת הסיכון ידועה ומקובלת, הסיכונים הרלוונטיים מוזערו למינימום וניתן יהיה להתמודד בהצלחה עם התרחשות של אירועי אבטחה מסוג זה, לכשיתרחשו, וכל זאת תוך עמידה חוקים והתקנות הרלוונטיים לתחום אבטחת המידע של כל מדינה הרלוונטית לפעילותו העסקית.

על מנת לאתר את החוליות החלשות בשרשרת אבטחת המידע בארגון, יש לבצע “בדיקות חדירה”.

 

מה מכסה בדיקת חדירות לתוכנה רפואית?

על מנת לקבוע אילו מערכות ותתי-מערכות יכללו בבדיקות החדירה של התוכנה, יש לבצע מבעוד מועד הערכה של תשתיות IT,המידע, טכנולוגיות אבטחה, רשתות ויישומים עסקיים, במטרה לתכנן את ההתקפות החדירות בהתאם ולמקסם את הסיכוי לאיתור, פגיעויות וחולשות.

ישנן שתי סוגי בדיקות חדירות שניתן לבצע עבור ארגוני רפואה ובריאות:

  • בדיקת חדירות חיצונית – בדיקות שמטרתה לאתר פרצות הנמצאות מחוץ לארגון, כלומר, מדמות ההתקפות של האקרים על נכסים חיצוניים של הארגון כגון יישומים אינטרנטיים, שרתים, תשתית DNS ועוד.
  • בדיקת חדירות פנימית – בדיקות שמתחילות מתוך הרשת הפנימית של הארגון ומטרתן לכסות את כל סוגי ההתקפות שעשויות להתרחב מפנים הארגון, לדוגמא על ידי עובד החברה או תוקף חיצוני שכבר הצליח להשיג דריסת רגל ברשת של הארגון, לדוגמא לאחר הצלחה בתקיפת כנגד נקודות הקצה של העובדים.

 

מה כולל תהליך בדיקת חדירות לתוכנה?

  • מחקר
  • הכנת תוכנית חדירה
  • זיהוי פגיעויות ונקודות חולשה
  • ניצול החולשות שזוהו תוך תקיפתן
  • ניתוח ממצאים תהליך בדיקת החדירות
  • כתיבת דוח ליקויים
  • מתן המלצות לפעילויות מתקנות ומונעות
  • יישום הפעילויות המתקנות והמונעות כולל כתיבת נהלים מתאימים
  • הדרכות עובדים על נהלים חדשים וביצוע הדרכות רענון

 

טכניקות מרכזיות הנמצאות בשימוש לביצוע בדיקות חדירות לתוכנה

  • בדיקת חדירת ליישומים – לדוגמא בדיקת חדירות ליישומי אינטרנט כגון משלוח הודעות תקיפה דרך המייל או המסנג’ר
  • בדיקת חדירת לתשתיות – לדוגמא בדיקת חדירות לשרתים
  • בדיקת חדירת יישומים ניידים ומכשירים – לדוגמא בדיקות חדירה דרך מכשיר הסלולר, מחשבים ניידים וטבלטים, מערכת טלפוניה ושיחות וידאו

 

אתגרים בבדיקות חדירות לתוכנה רפואית או אפליקציה סלולרית בתחום הרפואה

כל תוכנית לביצוע מבדקי חדירה לתוכנה רפואית, צריכה להכיל הגדרות מתועדות למאפייני הבדיקה כגון:

  • סקר סיכונים לאיתור כשלי אבטחת מידע וחשיפת נתונים רגישים
  • הגדרת יעדי מבדק חדירות התוכנה
  • עומק ורוחב הכיסוי של בדיקות החדירה
  • אפיון סוג של בדיקות החדירה הנדרשות

 

יתרונות בביצוע בדיקות חדירה תקופתיות לתוכנה רפואית

  • מאפשר לארגון להיערך היטב ולהיות ברמת מוכנות גבוהה בפני איומי סייבר עולמיים
  • מאפשר לחשוף נקודות חולשה, תשתיות בעייתיות, תהליכים לא נכונים ופערי ידע והדרכה לעובדי הארגון מבעוד מועד ולטפל בהן בהתאם
  • מאפשר למצוא אי התאמות וחריגות לעומת דרישות הרגולציה והחוק ולהימנע מפגיעה בהמשכיות הפעילות העסקית או סנקציות אחרות אליהן חשוף הארגון
  • מאפשר לתעדף את פעילויות התיקון והשיפור בהתאם להערכת הסיכונים

תוכן עניינים

שתפו את המאמר