ต่อไปนี้เป็นบทความรับเชิญโดย Jason Ward รองประธานฝ่ายสนับสนุน IS และเทคโนโลยีของ คอลเลตต์สุขภาพ
ในด้านไอทีด้านสุขภาพ หนี้ทางเทคนิคมักถูกกล่าวถึงในแง่ของต้นทุนและความซับซ้อน ระบบเดิมต้องการการบำรุงรักษาอย่างต่อเนื่อง นวัตกรรมที่ช้า และการทำงานร่วมกันที่ซับซ้อน อย่างไรก็ตาม ยังมีผลที่ตามมาเร่งด่วนอีกประการหนึ่งที่สมควรได้รับความสนใจ: หนี้ทางเทคนิคคือความรับผิดด้านความปลอดภัยทางไซเบอร์ที่เพิ่มขึ้นซึ่งส่งผลโดยตรงต่อความปลอดภัยของผู้ป่วย
เซิร์ฟเวอร์ที่ไม่ได้รับแพตช์ แอปพลิเคชันที่ไม่รองรับ และโซลูชันแบบกำหนดเองทุกตัวทำให้เกิดความเสี่ยง เนื่องจากการโจมตีของแรนซัมแวร์เพิ่มมากขึ้นและการตรวจสอบด้านกฎระเบียบก็เข้มข้นขึ้น ความเชื่อมโยงระหว่างหนี้เทคโนโลยีที่สะสมไว้กับความปลอดภัยที่ถูกบุกรุกจึงไม่ใช่เรื่องเชิงทฤษฎีอีกต่อไป มันเป็นภัยคุกคามที่แท้จริงและกำลังเพิ่มมากขึ้นต่อการปฏิบัติงานทางคลินิก
Legacy Systems: พื้นผิวการโจมตีที่เงียบแต่อันตราย
ตามที่กระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐอเมริการะบุว่า 96% ของโรงพยาบาลดำเนินงานโดยใช้ระบบหรือซอฟต์แวร์ที่ล้าสมัยซึ่งมีช่องโหว่ที่ทราบรวมถึงอุปกรณ์ทางการแพทย์ ระบบเหล่านี้มักจะถูกห่อหุ้มด้วยโค้ดแบบกำหนดเองหลายชั้นและการผสานรวมด้วยเทปพันท่อ ซึ่งทำให้ระบบเปราะบางและรักษาความปลอดภัยได้ยาก
ซอฟต์แวร์ที่ไม่รองรับจะไม่ได้รับแพตช์ที่สำคัญ ระบบปิดทำให้ยากต่อการบังคับใช้การรับรองความถูกต้อง การบันทึกการตรวจสอบ หรือมาตรฐานการเข้ารหัสที่สอดคล้องกัน แม้แต่การอัปเกรดตามปกติก็อาจทำให้เกิดความล้มเหลวแบบต่อเนื่องได้ ทำให้ทีมต้องชะลอการปรับให้ทันสมัย
สิ่งนี้จะสร้างสภาพแวดล้อมที่กระจัดกระจายโดยที่ผู้โจมตีไม่ต้องบุกรุกขอบเขตของคุณ พวกเขาเพียงแค่ต้องค้นหาจุดสิ้นสุดเก่าที่อ่อนแอที่สุดเท่านั้น ในการดูแลสุขภาพ ช่องโหว่นี้ไม่เพียงแต่คุกคามสถานะการออนไลน์เท่านั้น มันคุกคามความปลอดภัยของผู้ป่วยและความสมบูรณ์ของข้อมูล
ความเสี่ยงที่ไม่ได้ตั้งใจจาก “การแก้ไขด่วน”
หนี้ทางเทคนิคไม่สะสมเนื่องจากความประมาทเลินเล่อ มันเติบโตจากการตัดสินใจด้วยเจตนาดีภายใต้แรงกดดัน ตัวอย่างเช่น:
- อินเทอร์เฟซ HL7 แบบกำหนดเองที่สร้างขึ้นเพื่อให้ตรงตามกำหนดเวลาที่เผยแพร่
- VM ชั่วคราวหมุนเพื่อรองรับอุปกรณ์ใหม่
- ระบบ PACS เดิมจัดขึ้นทางออนไลน์จนถึง “งบประมาณปีหน้า”
การตัดสินใจเหล่านี้สมเหตุสมผลในขณะนี้ อย่างไรก็ตาม เมื่อเวลาผ่านไป พวกเขาจะสร้างสภาพแวดล้อมที่ยากต่อการรักษาความปลอดภัย ตรวจสอบ และปรับขนาด ทีมรักษาความปลอดภัยจบลงด้วยการจัดการข้อยกเว้นแทนที่จะบังคับใช้มาตรฐาน
การ “แก้ไขด่วน” ในอดีตจะกลายเป็นความเสี่ยงเชิงกลยุทธ์ในปัจจุบัน ดอกเบี้ยวัดจากความเปราะบาง ซึ่งต่างจากหนี้ทางการเงิน ไม่ใช่ดอลลาร์
ความทันสมัยเป็นกลยุทธ์ความปลอดภัยทางไซเบอร์
บ่อยครั้งที่หนี้ทางเทคนิคถูกมองว่าเป็นปัญหาด้านงบประมาณหรือประสิทธิภาพ ในความเป็นจริง มันเป็นองค์ประกอบหลักของมาตรการรักษาความปลอดภัยทางไซเบอร์ของคุณ
การลดการพึ่งพาระบบเดิมจะรวมพื้นผิวการโจมตีของคุณ ปรับปรุงการมองเห็น และเปิดใช้งานการควบคุมความปลอดภัยที่สอดคล้องกัน นอกจากนี้ยังทำให้ใช้เครื่องมือสมัยใหม่ได้ง่ายขึ้น เช่น สถาปัตยกรรมแบบ Zero-trust การแพตช์อัตโนมัติ และการตรวจจับภัยคุกคามแบบเรียลไทม์
ที่ รายงาน HHS 405(d) พบว่าโรงพยาบาลที่มีการนำกรอบแนวทางปฏิบัติด้านความมั่นคงปลอดภัยทางไซเบอร์ของอุตสาหกรรมสุขภาพ (HICP) มาใช้ในระดับที่สูงกว่า ก็มีความสอดคล้องกับกรอบงานความปลอดภัยทางไซเบอร์ของ NIST มากขึ้นเช่นกัน ความสัมพันธ์นี้แสดงให้เห็นว่าการปรับปรุงให้ทันสมัยช่วยเพิ่มวุฒิภาวะทางไซเบอร์และความยืดหยุ่น
Ransomware: ต้นทุนที่แท้จริงของความล่าช้า
ปัจจุบัน Ransomware กลายเป็นข้อกังวลด้านความปลอดภัยทางไซเบอร์อันดับหนึ่งสำหรับ CISO ด้านการดูแลสุขภาพ รายงานภัยคุกคามประจำปีด้านสุขภาพ-ISAC– การโจมตีเหล่านี้ไม่เพียงแต่ทำให้ข้อมูลเสียหายเท่านั้น พวกเขารบกวนการดูแล
- ในปี 2021 มีการโจมตีแรนซัมแวร์ใน Scripps Health มูลค่ากว่า 113 ล้านดอลลาร์ และบังคับให้โรงพยาบาลเปลี่ยนเส้นทางผู้ป่วยโรคหลอดเลือดสมองและหัวใจวาย
- การฝึกหู คอ จมูก ในรัฐมิชิแกน ปิดอย่างถาวร หลังจากที่ผู้โจมตีได้ลบบันทึกผู้ป่วยแล้ว
- มีระบบสุขภาพเวอร์มอนต์ คอมพิวเตอร์ 5,000 เครื่องเข้ารหัสและเซิร์ฟเวอร์ 1,300 เครื่องถูกปิดใช้งานซึ่งมีราคามากกว่า 63 ล้านดอลลาร์
เหตุการณ์เหล่านี้เป็นเพียงตัวอย่างเล็กๆ น้อยๆ และไม่ได้มีอะไรผิดปกติไปเสียหมด สิ่งเหล่านี้เริ่มแพร่หลายมากขึ้น และระบบเดิมมักจะเป็นจุดเริ่มต้น
บทบาทของ CIO: จากพื้นที่เก็บข้อมูลสู่นักยุทธศาสตร์
สำหรับ CIO, CTO, CMIO และผู้จัดการโครงสร้างพื้นฐาน ข้อความนั้นชัดเจน หนี้ทางเทคนิคไม่ได้เป็นเพียงภาระทางเทคนิคอีกต่อไป มันเป็นช่องโหว่เชิงกลยุทธ์
การตัดสินใจชะลอการปรับปรุงให้ทันสมัยถือเป็นการตัดสินใจขยายขอบเขตออกไปด้วย ในด้านการดูแลสุขภาพ ซึ่งข้อมูลมีความละเอียดอ่อนและเวลาหยุดทำงานอาจเป็นอันตรายถึงชีวิตได้ นี่เป็นความเสี่ยงที่เราไม่สามารถจ่ายได้
การปรับเปลี่ยนหนี้ทางเทคนิคให้เป็นปัญหาด้านความปลอดภัยทางไซเบอร์ช่วยเปลี่ยนการสนทนา การปรับปรุงให้ทันสมัยกลายเป็นภารกิจที่สำคัญ ไม่ใช่ทางเลือก นอกจากนี้ยังช่วยให้ผู้นำด้านไอทีสนับสนุนการลงทุนด้านโครงสร้างพื้นฐานเป็นมาตรการป้องกันที่ปกป้องความยืดหยุ่นขององค์กรและความปลอดภัยของผู้ป่วย
เกี่ยวกับ เจสัน วอร์ด
Jason Ward รองประธานฝ่ายสนับสนุน IS & Tech กำกับดูแล คอลเลตต์สุขภาพของ ทีมงานเทคโนโลยีสารสนเทศ DevOps และศูนย์ดูแลลูกค้า ด้วยประสบการณ์เกือบยี่สิบปีในด้านไอทีระดับองค์กร Jason ได้มอบความเป็นผู้นำด้านเทคโนโลยีให้กับองค์กรทุกรูปแบบและขนาด รวมถึงธุรกิจขนาดเล็ก องค์กรไม่แสวงผลกำไร ระบบสุขภาพ และองค์กรขนาดใหญ่ วิสัยทัศน์ของเขาในการสร้างโครงสร้างพื้นฐานและกระบวนการไอทีที่ปรับขนาดได้ ประสิทธิภาพสูงและปลอดภัย ก่อให้เกิดรากฐานของแพลตฟอร์มเทคโนโลยีและโปรแกรมรักษาความปลอดภัยข้อมูลของ Collette Health