Bảo mật RFID cho bệnh viện: 6 bước để đạt được đường cơ sở bảo mật mạnh mẽ

Chia sẻ

Phần thứ ba trong loạt bài gồm bốn phần phác thảo con đường để nhận dạng tần số vô tuyến an toàn.

Electronic door lock, opening by security card

Trong hành trình nâng cao bảo mật RFID tốt hơn, chúng tôi đã biết được những mối đe dọa chính là gì và những tác động tiềm ẩn mà chúng có thể gây ra. Để đưa tổ chức của chúng ta phát triển tốt hơn, chúng ta cần xem xét một bước tổng thể mà tất cả chúng ta cần thực hiện, đánh giá rủi ro và năm quy trình chính sẽ thay đổi như một phần kết quả của nó. Điều này sẽ dẫn đến bước đầu tiên tốt để biết chúng ta có những gì và sử dụng kết quả của điều đó để thúc đẩy sự thay đổi trong năm lĩnh vực đó. Điều này rất quan trọng vì chúng tôi cần đảm bảo rằng chúng tôi có các quy trình cốt lõi này để hỗ trợ sự thay đổi tổ chức mà RFID có thể mang lại.

Đánh giá rủi ro là bước chính đầu tiên và quan trọng nhất cần thực hiện và là công việc cần được thực hiện liên tục. Chúng ta cần hiểu vấn đề là gì và cần có kế hoạch ưu tiên để giải quyết chúng. Cách tốt nhất để làm như vậy là đánh giá chúng bằng cách sử dụng khung bảo mật tiêu chuẩn toàn diện như NIST hoặc HITRUST với điểm số định lượng, không chỉ thấp, trung bình hoặc cao. Đảm bảo rằng khung giải quyết các điều khiển kỹ thuật, vật lý và logic.

Một khía cạnh ít được chú ý là bạn có thể sử dụng RFID như một công cụ để biết toàn bộ nhóm tham gia vào sáng kiến. Để các bên liên quan kể câu chuyện của họ và thảo luận về các quyết định dẫn đến tình hình mọi thứ như một phần của đánh giá sẽ chỉ giúp ích cho bạn. Bạn sẽ có nhiều cuộc phỏng vấn hơn vì họ sẽ chỉ bạn cho những người khác để liên hệ. Tuy nhiên, bạn sẽ có được bức tranh toàn cảnh và có thể hiểu được các động lực kinh doanh đằng sau sáng kiến này. Bạn chỉ tốt như những mối quan hệ của bạn.

Động lực cơ bản cho cách tiếp cận này là các công nghệ mới và đột phá đòi hỏi nỗ lực của nhóm để đánh giá và giải quyết các vấn đề bảo mật. Đây là những vấn đề chưa từng được xử lý trước đây và do đó, bạn cần phải đánh giá trước môi trường để không vô tình gây thiệt hại cho doanh nghiệp với rủi ro không thể chấp nhận được.

1. Quản lý tài sản
Quá trình quan trọng đầu tiên là quản lý tài sản – biết những gì bạn có. Chúng tôi không thể bảo mật hệ thống RFID cho đến khi chúng tôi biết chúng tôi có thiết bị nào có thể đọc hoặc ghi thẻ RFID. Chúng tôi cần biết những thiết bị hoặc hệ thống nào sẽ lưu trữ hoặc xử lý dữ liệu này. Điều quan trọng là phải biết khả năng của họ và có thể ghi lại và kiểm tra các giao dịch của họ. Chúng ta cần biết những gì chúng ta phải bảo vệ nó vì các thiết bị hoặc hệ thống không được quản lý có thể dẫn đến hỏng dữ liệu hoặc vô số các vấn đề khác.

2. Quản lý hệ thống
Quá trình thứ hai là quản lý hệ thống. Chúng ta cần quản lý toàn bộ hệ sinh thái hỗ trợ các sáng kiến. Mọi khuôn khổ và tiêu chuẩn bảo mật đều có điều này làm cơ sở. Chúng tôi cần đảm bảo rằng chúng tôi quản lý các hệ thống này để giữ cho chúng luôn hiện hành và cập nhật nhất có thể ở trạng thái được hỗ trợ. Một trong những vấn đề bảo mật lớn mà chúng tôi đã thấy là nhiều thiết bị thu thập dữ liệu không được cập nhật hoặc hỗ trợ. Nó được coi như phần cứng. Điều này có nghĩa là rất nhiều thiết bị được bán vào thị trường này không chạy phần mềm hiện tại. Phần cứng không được bảo vệ và / hoặc mạng hỗ trợ có thể dẫn đến nhiều vấn đề về bảo mật và tính toàn vẹn.

Chúng ta cần vạch ra các luồng dữ liệu từ các thiết bị và thẻ đến các hệ thống hồ sơ cuối cùng sẽ lưu trữ và giao dịch thông tin được thu thập. Chúng ta cần tập trung vào việc lưu trữ thông tin cần thiết tối thiểu có thể ở mỗi bước và không liên kết trực tiếp các thẻ với thông tin bệnh nhân trong các hệ thống này. Lợi ích của bước quy trình này là chúng tôi có thể liên kết theo dõi tài sản dựa trên RFID với một hệ thống hồ sơ để giữ cho vị trí hàng tồn kho luôn cập nhật không chỉ cho hàng tồn kho mà còn cả các tài sản tiềm năng khác trong toàn doanh nghiệp.

3. Thiết kế hệ thống
Vấn đề thứ ba chúng ta sẽ thảo luận là thiết kế hệ thống. Hệ thống xử lý dữ liệu RFID cần tuân theo một số mục tiêu quan trọng. Đầu tiên, họ cần phân đoạn lưu lượng thu thập dữ liệu từ phần còn lại của mạng. Giống như cách tiếp cận mà nhiều nhà cung cấp hiện đang thực hiện với các thiết bị y tế, điều này cho phép chúng tôi hiểu các luồng dữ liệu và kiểm tra chúng bằng các quy tắc và công cụ nghiêm ngặt hơn để xác định và thực thi các đường dẫn mạng thích hợp. Dữ liệu cũng cần được bảo vệ ở trạng thái nghỉ và khi truyền bằng cách sử dụng mã hóa. Bạn cũng cần xác thực và xác minh đầu vào dữ liệu và thu thập dữ liệu thông qua kiểm toán và báo cáo. Quan trọng hơn, bạn chỉ cần lưu giữ dữ liệu chừng nào bạn cần chứ không cần nhiều hơn.

Thiết kế cũng phải tập trung vào việc thực thi nghiêm ngặt dữ liệu cần thiết tối thiểu trên thẻ hoặc thẻ. Nếu chúng được sử dụng để đăng nhập, hãy bảo vệ thông tin đăng nhập bằng mã PIN hoặc cơ chế xác thực phụ và giữ hệ thống đó tách biệt với dữ liệu bệnh nhân (ví dụ: dịch vụ thư mục riêng). Không lưu trữ dữ liệu xác thực với hồ sơ bệnh nhân!

Nếu bạn sử dụng các thẻ này để đăng nhập giao dịch hoặc thẻ thông minh, bạn cần phải có kế hoạch quản lý chứng chỉ, lưu giữ Danh sách thu hồi chứng chỉ cho nhân viên bị chấm dứt hợp đồng hoặc thông tin đăng nhập, triển khai và cung cấp chứng chỉ một cách nhanh chóng và có thể quản lý chúng một cách hiệu quả. Có nhiều nhà cung cấp có thể làm điều này, những người có thể giúp bạn.

4. Quản lý khóa mã hóa
Việc quản lý khóa mã hóa bị bỏ qua và nếu có khả năng bị xâm phạm, bạn cần có khả năng quản lý và xoay khóa các khóa trên quy mô lớn. Ngoài ra, là một phần của bảo mật thông tin cơ bản, chúng tôi phải có khả năng đảm bảo tính bí mật, tính toàn vẹn và tính sẵn có của dữ liệu mà chúng tôi tạo, nhận, duy trì hoặc truyền tải. Nếu các khóa được sử dụng để quản lý, bảo vệ hoặc xác định nguồn dữ liệu không được quản lý một cách chính xác, thì toàn bộ tính toàn vẹn của hệ thống sẽ bị nghi ngờ. Nếu bạn không có Quản lý khóa mã hóa trên quy mô lớn, bạn sẽ không thể quản lý an toàn việc triển khai RFID lớn.

Đối với thiết kế hệ thống, các hợp đồng và tuyên bố công việc của nhà cung cấp của bạn cần phải trả lời câu hỏi về sự phân công lao động để duy trì hệ thống và ai sẽ làm những công việc gì, với sự phân định rõ ràng về trách nhiệm và hành động. Việc giữ cho hệ thống luôn cập nhật, cập nhật và giảm thiểu rủi ro đến mức có thể chấp nhận được cần phải có trong chúng.

5. Quản lý lỗ hổng bảo mật
Quản lý lỗ hổng bảo mật, quy trình thứ tư, cần được chia nhỏ. Nguyên nhân là do một số thiết bị thu thập dữ liệu không được hỗ trợ các bản vá hoặc bản cập nhật bảo mật, đặc biệt là các thiết bị chạy Windows CE hoặc các phiên bản Android cũ hơn. Bạn cần biết nơi lấy các bản vá và bạn sẽ nhận được chúng cho vòng đời của sản phẩm. Các nhà cung cấp như Zebra có các chương trình mà bạn có thể tải chúng như một phần của thỏa thuận hỗ trợ và chúng được đảm bảo. Đây cũng cần phải là một phần của kế hoạch hoạt động trong đó các thiết bị và hệ thống này được vá ít nhất hàng tháng.

Ransomware đã đưa một mục khác ra ánh sáng, đó là các quy trình thời gian chết. Các phương tiện truyền thông đã đầy rẫy những câu chuyện về các hệ thống y tế bị ảnh hưởng và các bệnh viện phải dùng đến chúng trong các cuộc tấn công này. Khi bạn đặt các quy trình của mình trên các hệ thống điện tử, điều quan trọng là phải có những quy trình này để bạn có thể tiếp tục hoạt động trong trường hợp hệ thống máy tính bị lỗi. Nếu bệnh viện của bạn được Ủy ban Liên hợp công nhận, thì bạn cần phải có chúng.

6. An ninh vật lý
Cuối cùng, và quan trọng nhất, chúng ta cần giải quyết vấn đề bảo mật vật lý. Với RFID, điều này trở nên rất quan trọng. Brian Krebs, trên trang web Krebs on Security, giải quyết vấn đề này trong một bài báo ngày 18 tháng 6, Cách tránh những kẻ đọc trộm thẻ tại máy bơm cho một vấn đề tương tự với máy bơm khí. Trong bài viết này, anh ấy thảo luận về cách Sở Cảnh sát San Antonio đã tìm thấy hơn 100 thiết bị đọc lướt thẻ tín dụng trong các máy bơm nhiên liệu vào năm 2018 cho đến nay. Trong hầu như tất cả các trường hợp, bộ phận hớt bọt được lắp đặt trong các máy bơm nhiên liệu kiểu cũ hơn không có độ bảo mật vật lý tốt. Các máy bơm mới hơn với bảo mật vật lý tốt hơn gần như không bị ảnh hưởng.

Đối với RFID, điều này không có gì khác biệt. Chúng ta cần có các vỏ bọc xung quanh các thiết bị quét tĩnh để bảo vệ một cách hợp lý chống lại việc đánh chặn tín hiệu. Chúng tôi cần khóa vật lý và bảo vệ người đọc cũng như các thiết bị cố định khác. Trong trường hợp của các máy bơm khí ở San Antonio, một chìa khóa chính có thể mở hầu hết các máy bơm cũ hơn, đây là một yếu tố góp phần vào việc lắp đặt skimmers. Chúng ta cần cảnh giác hơn và đảm bảo rằng chúng ta bảo vệ hợp lý các thiết bị quét RFID ở mọi cấp độ.

Điều này mở rộng để có một chương trình bảo mật vật lý tốt. Bạn cần có một thiết bị bảo vệ khỏi sự dòm ngó của người ngoài từ bên ngoài và có hệ thống giám sát, bảo vệ, camera và thiết kế môi trường để ngăn chặn khả năng bị đánh chặn.

Khi kết thúc việc này, chúng ta cần liên tục đánh giá và giải quyết những rủi ro mà chúng ta nhận thấy, và quan trọng hơn, theo dõi và cập nhật. Các quy trình được thảo luận này sẽ chỉ hoạt động nếu được thực thi và giám sát liên tục, không chỉ thực hiện một lần.

Trong bài viết cuối cùng của loạt bài này, chúng tôi sẽ đề cập đến sáu bước để triển khai RFID an toàn hợp lý và những lợi ích mong đợi.

Theo: https://www.healthcareitnews.com

Cải thiện hiệu quả, khả năng đáp ứng và chăm sóc bệnh nhân với theo dõi bệnh nhân dựa trên vị trí RFID tại trung tâm khoa học sức khỏe SunnyBrook

Xem thêm