בדיקות חדירות לתוכנה רפואית

2020-08-02T11:59:56+00:00אוקטובר 5th, 2020|

מהי בדיקת חדירות לתוכנה רפואית?

ביצוע בדיקות חדירות לתכנה רפואית, או כפי שקרוי “Pen test” הנו שימוש במגוון טכניקות ידניות ואוטומטיות אשר מבצעות סימולציה של "התקפה אתית" על מערכות אבטחת המידע של הארגון, תוך ניסיון גישה לקבצי מערכות המידע.

מטרת בדיקות החדירה הנה לאתר חוליות חלשות במערכת האבטחה של הארגון, בין אם הן ידועות לארגון ובין אם הן אינן ידועות, בעקר בכל הנוגע לאחסון מידע רגיש כגון מידע על מטופלים, מידע קליני.

תהליך בדיקת החדירה מצריך תוכנית חדירה. חשוב להקפיד כי בדיקת החדירות לתוכנה תבוצע ע"י גורם חיצוני ותבוצע "מנקודת מבט" של תוקף פוטנציאלי, זאת על מנת להיערך בצורה טובה יותר לסיטואציה זו. תוכנית בדיקות החדירה, תתבסס על ניתוח מערכת המידע של הארגון המיועדת לבדיקה, תוך איתור נקודות פוטנציאליות לפגיעות, אשר עשויות לנבוע מתצורת מערכת לקויה או לא תקינה, פגמי חומרה או תוכנה, וחולשות תפעוליות ביישום תהליכים ונהלי עבודה בארגון, עבודה לפי נהלים והדרכות עובדים מתאימות.

שירותי היעוץ שלנו

למה צריך לבצע בדיקת חדירות לתוכנה רפואית?

ארגוני רפואה, חברות פארמה וחברות העוסקות בתחום הבריאות הדיגיטלית, אוצרים מידע רב ערך, הן נתונים על פציינטים, ניסויים קליניים, תרופות מחקר וכמובן מידע אישי, רפואי וגנטי ולכן, אמורים להיות ערוכים בכל עת בפני התקפות אבטחת סייבר פוטנציאליות.

כחברת יעוץ הפעילה בתחום הבריאות הדיגיטלית, רבות מהתקפות הסייבר אליהן אנו עדים בקרב לקוחותינו, מקורן בחוליות חלשות בתשתיות המידע הארגוניות ואף בדרך בה מיושמים אמצעי האבטחה ושיטות העבודה בארגון.

חברות פרמצבטיקה, מדיקל וארגוני בריאות, מאופיינות בסביבת IT מורכבת וגלובלית, אשר מכילה מידע רגיש רב. על כן, חברות מתחומים אלה, חייבות להבטיח עבודה מבוקרת ובטוחה, על מנת להשיג את יעדיו העסקים והרגולטוריים מחד, ולשמור על מוניטין המותג מאידך, וזאת הן מול רשויות הבריאות, הגופים הרגולטוריים השונים והן כלפי הציבור ובעלי המניות.

כל איום על מערכות המכילות מידע רגיש בארגונים וחברות הפעילים בתחומי הבריאות והרפואה, הנה סיכון רגולטורי ועסקי מדרגה ראשונה, ולא תמיד ניתן יהיה "לחזור אחורה" לאחר התרחשותו. שערו בדמיונכם זליגה של מידע רפואי חסוי של מאה אלף מטופלים לגורמים זדוניים או לחברות אשר עשויות לנצל מידע זה לתועלתן העסקית.  מצב של פגישה בחסיון המידע של מטופלים, הנו אירוע חמור מעין כמוהו, אשר שם את הארגון בסיטואציה קשה שברוב המקרים עד אפשרי לתקנה. לפיכך, על הארגון לעבוד לפי נהלי אבטחת המידע, כפי שמשתקפים בתקנים כגון ה- ISO 27001, ISO 27799, ולנקוט בפעילויות מונעות מסוגים אלה ואחרים, על מנת להבטיח ולאבטח את שרידותו של העסק לעתיד לבוא.

הטמעת תקני אבטחת מידע כגוןISO 27001, ISO 27017, ISO 27799, GDPR, COBIT5, ISF, HIPAA  תספק מסגרת התייחסות כללית לנושא. עמידה בתקני אבטחת המידע, בשילוב עם ביצוע פעולות אופרטיביות כגון בדיקות חדירה מתקדמות, יאפשרו לארגון להבטיח כי רמת הסיכון ידועה ומקובלת, הסיכונים הרלוונטיים מוזערו למינימום וניתן יהיה להתמודד בהצלחה עם התרחשות של אירועי אבטחה מסוג זה, לכשיתרחשו, וכל זאת תוך עמידה חוקים והתקנות הרלוונטיים לתחום אבטחת המידע של כל מדינה הרלוונטית לפעילותו העסקית.

על מנת לאתר את החוליות החלשות בשרשרת אבטחת המידע בארגון, יש לבצע "בדיקות חדירה".

מחקר ופיתוח

ייעוץ במגוון תחומים כולל תכנון, מעבדות מחקר וחדרים נקיים, טכנולוגיות פיתוח, מצגות עסקיות למשקיעים, אסטרטגיה רגולטורית, ניתוח שוק, פרוטוקולי ניסויים קליניים, GLP, GCP, ISO 17025, כיול, CMC, הדרכות מקצועיות.

קרא עוד

תכנון והנדסה

תכנון מפעלים, חדרים נקיים ומעבדות, תיעוד הנדסי, הסמכה, בחירת טכנולוגיה, הנדסת תהליכים וולידציה תוך שילוב של ידע תאורתי, ניסיון פרקטי והבנה מעמיקה של הרגולציה והעקרונות הייחודיים המאפיינים את תעשיית הביומד ובהתאם לעקרונות ה- GxP.

קרא עוד

ייצור ואריזה

מייעצים בתכנון מתקני ייצור, פיתוח והנדסת תהליכי ייצור, בחירת הטכנולוגיה המתאימה ביותר, גמלון תהליכים, העברת טכנולוגיה, GMP, שיפור תהליכים, אופטימיזציה ושיפור ניצולת, הדרכות עובדים וולידציה לציוד, מערכות, תהליכי ייצור וניקיון.

קרא עוד

GXP, איכות וולידציה

מייעצים, מקימים, מלווים ומשדרגים מערכות לניהול איכות מסוגים שונים, מבצעים הדרכות וקורסים GMP, הטמעת עקרונות ה- GxP בחברה, ISO 13485, הבטחת איכות והכנה לביקורות רגולטוריות גלובליות תוך ביצוע ניתוח והערכת סיכונים וולידציה לציוד, מערכות, תוכנה, שיטות בדיקה, תהליכי ייצור וניקיון ועד לעמידה בהצלחה בביקורת.

קרא עוד

רגולציה ורישום

יעוץ רגולטורי ורישום תרופות, אמ"ר, CE Mark, תוספי תזונה וקוסמטיקה בישראל ובעולם, תוך בניית אסטרטגיה רגולטורית חכמה, סיוע בהכנת המסמכים והדרישות באופן מקצועי, בזמן קצר, התוויית המוצר, חיי מדף וגרפיקה, אישורי יבוא ופגישות עם הגופים הרגולטוריים ועד לקבלת אישור.

קרא עוד

תוכנה ומערכות

יעוץ בתחומי הבריאות הדיגיטלית, פיתוח תוכנות ואפליקציות רפואיות בהתאם לדרישות ה- 21CFR part 11/Annex 11/HIPAA/GDPR, ISO 13485/27001/27799, CE marking, Risk Assessment, וריפיקציה וולידציה לתוכנה ומערכות בקרה ועד לקבלת אישור שיווק.

קרא עוד

מה מכסה בדיקת חדירות לתוכנה רפואית?

על מנת לקבוע אילו מערכות ותתי-מערכות יכללו בבדיקות החדירה של התוכנה, יש לבצע מבעוד מועד הערכה של תשתיות IT,המידע, טכנולוגיות אבטחה, רשתות ויישומים עסקיים, במטרה לתכנן את ההתקפות החדירות בהתאם ולמקסם את הסיכוי לאיתור, פגיעויות וחולשות.

ישנן שתי סוגי בדיקות חדירות שניתן לבצע עבור ארגוני רפואה ובריאות:

  • בדיקת חדירות חיצונית – בדיקות שמטרתה לאתר פרצות הנמצאות מחוץ לארגון, כלומר, מדמות ההתקפות של האקרים על נכסים חיצוניים של הארגון כגון יישומים אינטרנטיים, שרתים, תשתית DNS ועוד.
  • בדיקת חדירות פנימית – בדיקות שמתחילות מתוך הרשת הפנימית של הארגון ומטרתן לכסות את כל סוגי ההתקפות שעשויות להתרחב מפנים הארגון, לדוגמא על ידי עובד החברה או תוקף חיצוני שכבר הצליח להשיג דריסת רגל ברשת של הארגון, לדוגמא לאחר הצלחה בתקיפת כנגד נקודות הקצה של העובדים.

מה כולל תהליך בדיקת חדירות לתוכנה?

  • מחקר
  • הכנת תוכנית חדירה
  • זיהוי פגיעויות ונקודות חולשה
  • ניצול החולשות שזוהו תוך תקיפתן
  • ניתוח ממצאים תהליך בדיקת החדירות
  • כתיבת דוח ליקויים
  • מתן המלצות לפעילויות מתקנות ומונעות
  • יישום הפעילויות המתקנות והמונעות כולל כתיבת נהלים מתאימים
  • הדרכות עובדים על נהלים חדשים וביצוע הדרכות רענון

טכניקות מרכזיות הנמצאות בשימוש לביצוע בדיקות חדירות לתוכנה

  • בדיקת חדירת ליישומים- לדוגמא בדיקת חדירות ליישומי אינטרנט כגון משלוח הודעות תקיפה דרך המייל או המסנג'ר
  • בדיקת חדירת לתשתיות- לדוגמא בדיקת חדירות לשרתים
  • בדיקת חדירת יישומים ניידים ומכשירים- לדוגמא בדיקות חדירה דרך מכשיר הסלולר, מחשבים ניידים וטבלטים, מערכת טלפוניה ושיחות וידאו.

לפרטים נוספים






For further details






אתגרים בבדיקות חדירות לתוכנה רפואית או אפליקציה סלולרית בתחום הרפואה

כל תוכנית לביצוע מבדקי חדירה לתוכנה רפואית, צריכה להכיל הגדרות מתועדות למאפייני הבדיקה כגון:

  • סקר סיכונים לאיתור כשלי אבטחת מידע וחשיפת נתונים רגישים
  • הגדרת יעדי מבדק חדירות התוכנה
  • עומק ורוחב הכיסוי של בדיקות החדירה
  • אפיון סוג של בדיקות החדירה הנדרשות

יתרונות בביצוע בדיקות חדירה תקופתיות לתוכנה רפואית

  • מאפשר לארגון להיערך היטב ולהיות ברמת מוכנות גבוהה בפני איומי סייבר עולמיים
  • מאפשר לחשוף נקודות חולשה, תשתיות בעייתיות, תהליכים לא נכונים ופערי ידע והדרכה לעובדי הארגון מבעוד מועד ולטפל בהן בהתאם
  • מאפשר למצוא אי התאמות וחריגות לעומת דרישות הרגולציה והחוק ולהימנע מפגיעה בהמשכיות הפעילות העסקית או סנקציות אחרות אליהן חשוף הארגון
  • מאפשר לתעדף את פעילויות התיקון והשיפור בהתאם להערכת הסיכונים

מאמרים אחרונים

רגולציה ורישום לתמרוקים, מוצרי קוסמטיקה ו-OTC

ה-Food & Drug Administration) FDA) הנו גוף אמריקני אשר אחראי על מתן אישורים לשיווק והפצה של כל מוצרי המזון [...]

לעוד מאמרים שכתבנו עבורך

מזמינים אותך ליצור קשר

צור קשר