Защита медицинских устройств, подключенных к Интернету

Львы, тигры и медведи - о боже!

По прибытии в незнакомый пейзаж в Волшебник страны Оз , Дороти заметила:«Тото, у меня такое чувство, что мы больше не в Канзасе». Встречи с летающими обезьянами, компаньонами с дефицитом органов, веселыми манчкинами и не склонной к воде ведьмой вскоре стали ее новой нормой.

Для нас новая норма предполагает ускоренное внедрение подключенных к Интернету медицинских устройств и моделей виртуального ухода - «Интернет медицинских вещей» или IoMT, который Deloitte определяет как «подключенную инфраструктуру медицинских устройств, программных приложений и здравоохранения. системы и услуги ».

Мировой спрос на медицинские устройства - как со стороны индивидуальных потребителей, так и со стороны поставщиков медицинских услуг - огромен. В США этот рынок оценивался в 160,8 млрд долларов в 2019 году и, по прогнозам, достигнет 176 млрд долларов в 2020 году. Между тем в отчете, опубликованном исследовательской фирмой Fior Markets, ожидается рост глобального рынка подключения медицинских устройств с 1,63 млрд долларов в 2019 году до 8,76 долларов США. B в 2027 году.

Это живо!

В другом известном рассказе барон Виктор Франкенштейн, безумный доктор Мэри Шелли, использовал простые техники шитья, чтобы соединить воедино различные части тела своего существа, которые он затем активировал с помощью электросудорожной терапии XIX века. Технологии 21 века еще не достигли этой возможности, хотя трансплантаты, повторные прикрепления, протезы и имплантаты - многие из которых являются «умными» (то есть подключенными) или изготовлены с использованием инструментов аддитивного производства и 3D-печати - не редкость. P>

Из-за этого IoMT представляет собой более личный аспект киберфизической конвергенции, чем тот, который наблюдается в других приложениях IoT - они входят в нашу личную физическую «зону доверия». Безопасность и конфиденциальность пациентов могут быть нарушены, если устройство или производственный процесс устройства будут скомпрометированы. Такой потенциал породил опасения по поводу этичного использования и технических возможностей для защиты конфиденциальности, кибербезопасности и производительности основных устройств.

Для эффективного управления инфраструктурой IoMT необходимо учитывать множество движущихся, часто автономных, частей, в том числе:

• Контроль качества в производственном процессе.
• Совместимость медицинской информации, хранящейся на нескольких устройствах.
• Использование облачного хранилища и программной платформы.
• Мониторинг сетевых коммуникаций.
• Соответствие ожиданиям профессиональных медиков.

IoMT все чаще становится частью нашей жизни. Важное значение имеет обеспечение конфиденциальности данных, целостности устройств и киберустойчивости при разработке и производстве медицинских устройств и оборудования.

Кому вы позвоните?

Эксцентричные ученые в Охотники за привидениями использовал парапсихологические уловки, чтобы отыскать нежеланных призраков. Стандарты и рекомендации ¹ для производителей медицинских устройств обращаются к вопросам сотрудничества, качества, управления рисками и безопасностью, сценариев использования и описывают методы выявления и устранения любого неожиданного «призрачного» поведения в медицинских устройствах. Это помогает улучшить контроль над производительностью устройства «в том виде, в каком он был разработан» и «в том виде, в каком он построен» (даже если контроль над устройствами «в том виде, в каком он используется» более труднодостижим).

Международный форум регуляторов медицинского оборудования (IMDRF), добровольная организация, собрал Рабочую группу по кибербезопасности медицинских устройств, которая в марте 2020 года опубликовала свои «Принципы и методы обеспечения кибербезопасности медицинских устройств».

В этом документе не рассматривается кибербезопасность внутри самого предприятия, но обсуждается ответственность производителей медицинского оборудования за повышение устойчивости продуктов к кибербезопасности, устранение уязвимостей и снижение рисков на этапах проектирования / разработки, производства, тестирования и поддержки / постпродажного мониторинга общий жизненный цикл продукта (TPLC). Его рекомендации для производителей включают разработку плана управления кибербезопасностью TPLC для решения следующих вопросов:

• Ситуационная осведомленность.
• Раскрытие уязвимости.
• Обновления и исправления.
• Восстановление.
• Доказательства того, что производитель постоянно информируется об обнаруженных уязвимостях и делится теми, которые он обнаружил.

В частности, одним из методов управления рисками, который может быть полезен, является моделирование угроз. Open Web Application Security Project (OWASP) рекомендует производителям задавать следующие четыре вопроса во время проектирования и разработки:

1. Что мы строим?
2. Что может пойти не так (например, как его можно атаковать)?
3. Что мы будем с этим делать?
4. Достаточно ли хорошо мы поработали?

Планирование и обеспечение устойчивости кибербезопасности медицинских устройств на всем протяжении TPLC, начиная с определения требований к производительности и заканчивая доставкой в ​​службу и выходом из нее, приведет к созданию продуктов, которые заслуживают нашего доверия.

Это Хеееее!

Полтергейст исследует сбои, возникающие, когда коммерческая деятельность, направленная на получение прибыли, игнорирует этические и гуманистические соображения и принимает короткие пути, ведущие к непредвиденным последствиям и сопутствующему ущербу. Сообщество заинтересованных сторон сотрудничало с инициативой по предотвращению таких сбоев в секторе производства медицинских устройств, который подпадает под два из 16 секторов критической инфраструктуры, определенных в Директиве президента 21 (PPD-21):здравоохранение и общественное здравоохранение и критически важное производство. . Кроме того, в 2015 году Конгресс США принял Закон о кибербезопасности 2015 года (CSA), который включает требования по согласованию подходов к безопасности в отрасли здравоохранения.

Совместная рабочая группа по кибербезопасности Координационного совета здравоохранения и государственного сектора, государственно-частного партнерства с Министерством здравоохранения и социальных служб США, перечисляет передовые технические методы для производителей медицинского оборудования, в том числе:

• Сведите к минимуму поверхности для атак.
• Установите безопасные параметры и конфигурацию по умолчанию.
• Поддерживать аудит и подотчетность.
• Следуйте принципам наименьших привилегий, разделения обязанностей и глубокой защиты.
• Сбой надежно.
• Обеспечьте простую безопасность и правильно устраняйте проблемы безопасности.

Любой, кто работал с требованиями к контролю безопасности NIST SP 800-171, узнает элементы его 14 семейств средств контроля, отраженные в приведенном выше обзоре передовых практик. Они проверены и верны - и являются основополагающими для информированного, а не слепого доверия.

Будь то предотвращение катастрофических ярлыков, содержащих вредоносных фантомов (или белок) или создание решения для многоузловых устройств, в отношении медицинских устройств мы находимся в новой норме. К счастью, мы можем перейти к более безопасным и осознанным отношениям с технологиями. Нам просто нужно углубиться в сценарий фильма IoMT, чтобы понять составные части, как они взаимодействуют и как предотвратить неудачи.

Этот блог является частью серии, опубликованной для Национального месяца осведомленности о кибербезопасности (NCSAM). Среди других блогов этой серии - Создание культуры безопасности Селии Полсен, «Если вы подключите ее, защитите ее» Зейн Паталив, «Подозрительные умы:нетехнические признаки того, что ваш бизнес мог быть взломан», - Пэт Тот и «Будущее подключенных устройств», написанное Эриком. Фоглеман и Джефф Оршак.

^{1 Примеры:Ассоциация по продвижению медицинской информации (AAMI) - https://www.aami.org/medical-device-manufacturer; Управление по санитарному надзору за качеством пищевых продуктов и медикаментов - https://www.fda.gov/medical-devices/digital-health-center-excellence/cybersecurity#guidance; Международная электротехническая комиссия (МЭК) - https://www.iec.ch/perspectives/government/sectors/medical_devices.htm; Международная организация по стандартизации (ISO) - https://www.iso.org/iso-13485-medical-devices.html; Underwriters Laboratories (UL) - https://www.ul.com/resources/healthcare-standards-directory}