ในแวดวงการดูแลสุขภาพปัจจุบัน อุปกรณ์การแพทย์ไม่ได้เป็นเพียงเครื่องมือที่แยกตัวออกมาอีกต่อไป แต่เป็นระบบที่เชื่อมโยงเครือข่ายและเต็มไปด้วยข้อมูล ซึ่งเป็นส่วนหนึ่งของการดูแลผู้ป่วย เมื่อเทคโนโลยีเหล่านี้เชื่อมต่อกันมากขึ้น อุปกรณ์เหล่านี้ก็มีความเสี่ยงต่อภัยคุกคามทางไซเบอร์มากขึ้น ความเสี่ยงเหล่านี้มีจริงและกำลังเพิ่มขึ้นเรื่อยๆ ตั้งแต่การโจมตีด้วยแรนซัมแวร์ที่ทำให้ระบบถ่ายภาพไม่สามารถทำงาน ไปจนถึงช่องโหว่ในระบบติดตามผู้ป่วยที่อาจถูกใช้ประโยชน์จากระยะไกลและทำให้การติดตามผู้ป่วยจากระยะไกลไม่สามารถใช้งานได้ แม้ว่าจะยังไม่พบในธรรมชาติ แต่ก็ได้รับการพิสูจน์แล้วว่าสามารถปรับเปลี่ยนการไหลของยาในปั๊มฉีดสารได้
ผู้นำด้านการจัดการเทคโนโลยีการดูแลสุขภาพ (HTM) ต้องก้าวข้ามมาตรการรักษาความปลอดภัยเชิงรับ และสร้างโปรแกรมรับมือภัยคุกคามทางไซเบอร์เชิงรุกที่วัดผลได้ เพื่อรับมือกับความท้าทายนี้ แต่เราจะวัดผลความยืดหยุ่นอย่างมีนัยสำคัญต่อผู้บริหาร แพทย์ และทีมเทคนิคได้อย่างไร
คำตอบอยู่ที่ตัวชี้วัด ในปี 2011 MITRE ได้เผยแพร่กรอบแนวคิดวิศวกรรมความยืดหยุ่นทางไซเบอร์ (Cyber Resiliency Engineering Framework) ซึ่งนำเสนอแนวทางที่มีโครงสร้างในการประเมินความสามารถขององค์กรในการคาดการณ์ การรับมือ การกู้คืน และการปรับตัวต่อภัยคุกคามทางไซเบอร์ หลักการของกรอบแนวคิดนี้ (tinyurl.com/mtpaznj9) ได้รับการปรับปรุงในปี 2015 และยังคงใช้อยู่ในปัจจุบัน MITRE ร่วมมือกับสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) จัดทำกรอบแนวคิดความยืดหยุ่นทางไซเบอร์ฉบับดั้งเดิม ชื่อ NIST Special Publication Developing Cyber-Resilient Systems: A Systems Security Engineering Approach (NIST SP 800-160v2r1)
🛡️ เป้าหมายความยืดหยุ่นหลักสี่ประการของ MITRE
CREF กำหนดความยืดหยุ่นทางไซเบอร์เป็นความสามารถของระบบในการ ดำเนินการต่อไปภายใต้สภาวะที่ไม่เอื้ออำนวยรวมถึงการโจมตีทางไซเบอร์ ความสามารถนี้วัดโดยอ้างอิงจากเป้าหมายหลัก 4 ประการ ได้แก่
คาดการณ์ 2. ทนทาน 3. กู้คืน 4. ปรับ
