ایمن کردن بلندگوهای هوشمند برای مراقبت های بهداشتی در خانه: NIST دستورالعمل های جدیدی ارائه می دهد

بلندگوهای هوشمند معمولا برای پاسخ به سوالات، کنترل ترموستات و پخش موسیقی استفاده می شوند. اکنون مصرف‌کنندگان از آنها برای مراقبت‌های بهداشتی در منزل فرا می‌خوانند – برای صحبت با یک ارائه‌دهنده، نسخه‌گیری مجدد یا تعیین قرار ملاقات. سلامت از راه دور می تواند برای بیماران مفید باشد، اما تهدیدها نیز متعدد هستند: مهاجم می تواند نسخه ای را تغییر دهد، داده های پزشکی محرمانه را بدزدد یا بیمار را به یک فریبکار متصل کند.

برای کاهش خطرات امنیت سایبری این تعاملات، مؤسسه ملی استاندارد و فناوری (NIST) دستورالعمل هایی را منتشر کرده است که می تواند به محافظت از بیماران و ارائه دهندگان به طور یکسان کمک کند.

دستورالعمل های جدید نهایی شده، کاهش خطرات امنیت سایبری و حریم خصوصی در ادغام خانه هوشمند Telehealth، بر اساس NIST ساخته شده است کار قبلی در امنیت سایبری سلامت از راه دور این نشریه خطرات حریم خصوصی و امنیت سایبری مرتبط با سلامت از راه دور در خانه را با استفاده از بلندگوهای هوشمند – که دستیارهای دیجیتال فعال صوتی نیز نامیده می شوند – به عنوان نمونه ای از دستگاهی که بیماران در خانه ممکن است برای برقراری ارتباط با ارائه دهندگان استفاده کنند، بررسی می کند.

ران پولیوارتی، متخصص امنیت سایبری در مرکز عالی امنیت سایبری ملی NIST می‌گوید: «برخی افراد ممکن است نتوانند به بیمارستان برسند، اما می‌توانند با بلندگوی هوشمند خود صحبت کنند.NCCOE). “بیماران بهداشت از راه دور و ارائه دهندگان آنها اطلاعات محرمانه را از طریق شبکه مبادله می کنند و ما می خواهیم نشان دهیم که چه چیزی ممکن است اشتباه باشد و برای محافظت از آنها چه کاری می توانیم انجام دهیم.”

اسپیکرهای هوشمند دستگاه های شبکه ای اینترنت اشیا (IoT) هستند که به دستورات صوتی پاسخ می دهند. به طور کلی به نرم‌افزار دستیار هوش مصنوعی مرتبط هستند، می‌توانند با دستگاه‌های پزشکی درجه بیمارستانی ترکیب شوند که حیاتی بیمار را نظارت می‌کنند تا یک تجربه مراقبت از بستری را در خانه ارائه دهند.

این ترکیب از دستگاه‌های مصرف‌کننده و درجه بیمارستان، نوعی از سلامت از راه دور است که برنامه بیمارستان در خانه (HaH) نامیده می‌شود. بیمار می‌تواند از بلندگوی هوشمند برای تعامل با ارائه‌دهنده مراقبت‌های بهداشتی و انجام اقداماتی مانند تکمیل چک‌این روزانه یا مشاهده نتایج آزمایش استفاده کند. هنگامی که بیمار دستیار صوتی را برای انجام یک عمل فعال می کند، صدای ضبط شده او برای پردازش به پلت فرم دستیار صوتی ارسال می شود – جایی که اطلاعات بیمار می تواند در معرض مهاجم قرار گیرد.

پولیوارتی گفت: «برنامه‌های HaH می‌توانند به نفع یک بیمار خانگی باشند، اما به دلیل اتصال به شبکه‌های رایانه‌ای عمومی، آسیب‌پذیری دارند. اسپیکرهای هوشمند ممکن است قابلیت‌هایی نداشته باشند که از روش‌های حفظ حریم خصوصی و امنیتی توصیه‌شده پشتیبانی کند، و ممکن است از آنها به عنوان نقاط محوری برای دسترسی مهاجمان به سیستم بیمارستان استفاده شود.

این نشریه راه‌حل‌های بهداشت از راه دور را در نظر می‌گیرد که از دستیارهای صوتی در خانه بیمار و همچنین تمام دستگاه‌های شبکه و سیستم‌های مورد نیاز برای اتصال خانه بیمار به سیستم‌های اطلاعات سلامت بیمارستان استفاده می‌کند. این نشریه چندین نمونه از سناریوهای تهدید را ارائه می دهد. از جمله تهدیدات احتمالی عبارتند از:

• استخراج داده ها: رهگیری ارتباطات رمزگذاری نشده از دستیار صوتی برای به دست آوردن اطلاعات شناسایی شخصی (PII) یا اطلاعات بهداشتی محافظت شده.
• دستکاری داده ها: به خطر انداختن یکپارچگی داده های بیمار با رهگیری و دستکاری داده ها.
• انکار خدمات: اختلال در دسترس بودن و قابل پیش بینی بودن
• اختلال در سیستم عامل یا برنامه: تغییر دستورات صوتی ارسال شده به ارائه دهنده مراقبت های بهداشتی که منجر به پردازش نادرست درخواست های بیمار می شود.
• دسترسی غیرمجاز: به خطر انداختن داده‌های بیمار با دسترسی به دستگاه دستیار صوتی بیمار از طریق شبکه خانگی یا کنترل‌های ضعیف مجوز فیزیکی.

بسیاری از دستورالعمل‌های توصیه‌شده برای کاهش این تهدیدات از چندین نشریه دیگر NIST از جمله چارچوب امنیت سایبری NIST (CSF 2.0)، چارچوب حریم خصوصی NIST (PF 1.0) و نمایه پایه اصلی IoT برای محصولات IoT مصرف کننده (NISTIR 8425).

این توصیه ها شامل فعال کردن رمزگذاری پیام ها و محدود کردن دسترسی به افراد و دستگاه های مجاز است. یک موضوع کلی این است که ارائه دهندگان از آنچه به عنوان “بخش بندی شبکه” بین دستگاه های پزشکی یا بیومتریک و سایر بخش های خانه و سیستم های مراقبت های بهداشتی شناخته می شود، اطمینان حاصل کنند. تقسیم‌بندی شبکه با استفاده از سخت‌افزاری مانند فایروال، شبکه را به بخش‌های فرعی تقسیم می‌کند و مانع از توانایی مهاجم در به خطر انداختن نقطه ضعف و تأثیرگذاری بر دستگاه‌های دیگر می‌شود.

اگرچه این دستورالعمل ها عمدتاً متخصصان فنی و متخصصان امنیت اطلاعات هستند، Pulivarti گفت که بیماران نیز از دانستن آنها سود خواهند برد.

او گفت: «بیماران می‌توانند به اطراف خود برگردند و مراقبین خود را که ممکن است با این دستورالعمل‌ها مواجه نشده‌اند، آموزش دهند. با اجرای اقدامات کاهشی که در اینجا ارائه می کنیم، ارائه دهندگان مراقبت های بهداشتی می توانند خطرات امنیتی و حریم خصوصی خود را کاهش دهند و در عین حال خدمات ارزشمندی را به بیماران خود ارائه دهند.