אבטחה ב-Insulet
ערבות לאבטחת המידע של Insulet Corporation
ב-Insulet Corporation, בטיחותם ואבטחתם של המטופלים והמוצרים שלנו עומדות בעדיפות הראשונה בכל פעולותינו. אנו מחויבים להקל על חייהם של אנשים עם סוכרת ומצבים רפואיים נוספים באמצעות פלטפורמת המוצרים Omnipod®. התקנים מחוברים יצרו אתגרים חדשים עבור מטופלים, ספקי שירותי בריאות, ומפתחי ומייצרי מכשור רפואי. קיים פוטנציאל להפיכת התקנים אלה למטרה להתקפות סייבר. לכן אבטחה נמצאת בחזית תהליך התכנון שלנו, משולבת בשלבי הפיתוח כבר מההתחלה ומנוטרת לאורך כל מחזור החיים של זמינות המוצרים שלנו.
אנו מתאימים את הפיקוח והניהול שלנו על תחום אבטחת הסייבר לסדרת התקנים 27000 של ארגון התקינה הבינלאומי/הוועדה הבינלאומית לאלקטרוטכניקה (ISO/IEC 27000) ולמסגרת NIST CSF (Framework for Improving Critical Infrastructure Cybersecurity). ברשותנו תוכניות לפיקוח על עמידה בדרישות ולפיתוח התקנים, מערכות ושירותים שאנו מוכרים, בהתאם לדרישות הרגולטוריות החלות על מכשור רפואי.
Insulet Corporation הקימה צוות ייעודי ובינלאומי לאבטחת מוצר, וכן תכנית מתואמת לגילוי פרצות במוצרים, על מנת לחזק את נהלי אבטחת המוצרים המקיפים שכבר קיימים. מהלך זה מאפשר ל-Insulet Corporation לשלב שיקולי אבטחה לאורך כל מחזור החיים של המוצר. צוות אבטחת המוצרים משולב במשרד האבטחה הגלובלי של Insulet Corporation. צוות זה פועל בשיתוף פעולה רוחבי עם כלל יחידות התאגיד, ומספק מומחיות אבטחה רחבה, פיקוח ובקרה בנושאי אבטחת מוצרים. הם משתפים מידע באופן יזום ברחבי הארגון, במטרה לטפח תרבות של למידה ויישום שיטות עבודה מיטביות בארגון גלובלי. בנוסף, הצוות מפקח ומנהל את תכנית הגילוי המתואמת.
ברמה החיצונית, Insulet Corporation פועלת בשיתוף פעולה הדוק עם גופי ממשל, שותפי תעשייה וחוקרי אבטחת מידע, על מנת לחזק את מאמצי האבטחה בתעשיית המכשור הרפואי ובמערכת הבריאות, וכן כדי ליידע ולעצב את ההנחיות והמסגרות הרגולטוריות.
אבטחה בתכנון
גישת אבטחת המכשירים שלנו נועדה לזהות את כל סיכוני הסייבר הרלוונטיים במערכת ולתכנן אמצעי צמצום סיכון יעילים לטיפול בהם לאורך מחזור הפיתוח של המוצר. מטרות גישת הסייבר של Insulet כוללות:
- פיתוח ותחזוקה של סט דרישות ופעילויות משותפות הקשורות לאבטחת סייבר של מכשור רפואי.
- ווידוא הטמעה של מסגרת אבטחת מכשירים רפואיים שניתן לחזור אליה ואכיפתה.
- ביצוע ניתוח אבטחה מבוסס סיכונים לצורך קביעת בקרות מתאימות, לרבות פיתוח מודלים של איומים ותחזוקת מאשם סיכונים.
- הבטחת השלמה של פעילויות בדיקות אבטחת סייבר מקיפות שניתן לחזור אליהן עבור כל תכנית מוצר.
- הבטחת התאמתה ועמידתה של תכנית אבטחת הסייבר לכל החוקים והתקנות הרלוונטיים.
- ניטור מהיר ומעמיק של פרצות אבטחה עתידיות פוטנציאליות בכל אחד ממכשירינו הרפואיים, וטיפול בהן.
גישת אבטחת הסייבר של Insulet Corporation המתוארת לעיל נועדה להתאים במישרין למסגרת NIST CSF, המיישמת פונקציות סייבר בחמישה תחומים דיסקרטיים (זיהוי, הגנה, גילוי, תגובה והתאוששות). התאמת תכנית אבטחת הסייבר של Insulet למסגרת NIST CSF עולה בקנה אחד גם עם הנחיות ה-FDA בנושא "תוכן הגשות טרום-שיווק לניהול אבטחת סייבר במכשור רפואי", וכן עם מסמך הסוכנות בנושא "ניהול אבטחת סייבר במכשור רפואי לאחר תחילת השיווק".
פרטיות המידע
Insulet מכבדת את פרטיותם של כל אחד ממטופלינו ומחויבת להגנה על המידע האישי שלהם. ברשותנו צוותים ייעודיים המתמקדים בהגנה על מידע מטופלים מפני גישה בלתי-מורשית. בנוסף, אנו משתפים פעולה עם מומחים בתעשייה בתחום הגנת מידע ואבטחת סייבר, אשר עובדים איתנו כדי להבטיח שאנו מיישמים את הטכנולוגיה והתהליכים המתאימים לשמירה על פרטיות המידע.
אבטחה מתמשכת
עתיד המכשור הרפואי הוא מרגש במיוחד, עם הזדמנויות רבות לשילוב טכנולוגיות חדשות, כגון התקנים לבישים. עקב פיתוח מוצרים חדשים ויכולות חדשות, סביבת האיומים בתחום האבטחה משתנה באופן מתמיד. Insulet Corporation תמשיך לנטר את סביבת האיומים לזיהוי סוגיות פוטנציאליות המשפיעות על מוצרינו ולטפל בהן באמצעות שיפורי אבטחה.
לאורך כל מחזור החיים של המוצר – משלב התכנון, דרך הייצור ועד לשימוש אצל המטופל – הצוותים של Insulet, הכוללים מהנדסים, מומחים ושותפים, שואפים ליצור את המוצרים הבטוחים ביותר שניתן.
במהלך מחזור החיים של מכשיר רפואי, אנו מבצעים ניטור מתמשך של סיכוני אבטחה. אנו מעריכים ובודקים פגיעויות בהתאם לתקנים בין-לאומיים, פועלים מול גופי רגולציה ומיידעים את בעלי העניין הרלוונטיים בנוגע לאמצעי צמצום הסיכון המתאימים. למידע נוסף על עדכוני מוצרים של Insulet, הודעות ופרסומי אבטחה, ניתן לעיין בעמוד ידיעוני אבטחה.
תהליך גילוי מתואם
אנו מעריכים מאוד את תרומתה של קהילת חוקרי האבטחה. אם לדעתכם זיהיתם פגיעות אבטחה פוטנציאלית באחד מהמוצרים או השירותים שלנו, נשמח שתודיעו לנו כדי שנוכל לחקור את הנושא.
במסגרת מחויבותנו לאבטחה מתמשכת של מוצרינו, יצרנו שיתוף פעולה עם HackerOne המאפשר הגשת דיווחים על פרצות אבטחה פוטנציאליות. לפרטים נוספים על הגשת מידע על פרצות ל-Insulet Corporation, ניתן לבקר בעמוד תהליך גילוי מתואם שלנו.