Защитите медицинские устройства от кибер приступов, убеждений FDA

FDA убеждает производителей медицинских устройств, и медицинские учреждения, чтобы удостовериться там существуют надлежащие гарантии, чтобы защитить их медицинские устройства от кибер угроз.FDA (Управление по контролю за продуктами и лекарствами) сказала в четверг, что его предупреждение направлено специфично на инженеров-биомедиков, IT здравоохранения и штат приобретений, пользовательские средства медицинского устройства, больницы и производителей медицинского устройства.Кибер приступ может быть вызван, когда *вредоносное программное обеспечение вводится в медицинское оборудование, а также лишенных полномочий людей, получающих доступ к параметрам настройки конфигурации в стационарных сетях и оборудовании.*Вредоносное программное обеспечение является программным обеспечением, создающимся, чтобы отключить или повредить компьютеры и компьютерные системы, т.е. злонамеренное программное обеспечение.

Большинство медицинских устройств сегодня содержит залитые компьютерные системы, которые конфигурируемы, означая, что их можно изменить или щипнуть, делая их уязвимыми для кибернарушений правил безопасности.Угроза стала более серьезной за прошлые пятнадцать лет, поскольку растущее число медицинских устройств соединяется через стационарные сети, Интернет, смартфоны и другие медицинские устройства. Каждый новый тип связи увеличивает их уязвимость до вредоносных атак.

FDA говорит, что узнала следующие уязвимости кибербезопасности и инциденты относительно стационарных сетевых операций и медицинских устройств:Медицинские устройства, формирующиеся и/или связывающиеся с сетью, отключаемой вредоносным программным обеспечениемВредоносные смартфоны больницы проникновения, планшеты, другие мобильные устройства, использующие технологию Wi-Fi, чтобы получить доступ к информации пациента, внедрили устройства пациента и стационарные компьютеры

Отсутствие надлежащей безопасности относительно паролей, отключенных паролей и трудно закодированных паролей для программного обеспечения предназначило для отобранного персонала, такого как обслуживание, технический или административный штатНе регулярно обновляя медицинское устройство и сетевое программное обеспечение

Не обращаясь к уязвимостям в устаревших устройствах (более старые медицинские устройства)Слабые места безопасности в стандартном программном обеспечении, которое, как предполагается, предотвращает несанкционированную сеть или доступ устройства, такой как трудно закодированные пароли, обычный текст или никакая идентификация, бедная coding/SQL инфекция и задокументированные сервисные счета в инструкциях по эксплуатацииДо сих пор FDA не получила отчетов определенных систем или устройств в клиническом сознательно предназначаемом использовании, и при этом это не знает ни о каких ранах пациента или смертельных случаях, вызванных этими инцидентами.

По данным FDA, американское здоровье и другие власти, медицинское устройство и компании-разработчики программного обеспечения кооперировались близко, чтобы минимизировать риск кибер приступов.Какие действия FDA рекомендует?Высокий процент медицинских устройств содержит конфигурируемые вложенные компьютерные системы, которые являются потенциальными целями кибер угроз.

Рекомендации для производителей устройстваЭто – ответственность производителей медицинского устройства быть в поисках потенциальных рисков и опасностей, связанных с их продуктами, включая киберугрозы безопасности. Они также ответственны за проверку, что адекватное смягчение существует, чтобы гарантировать безопасность пациентов и удостовериться, что устройство выполняет должным образом.Производители медицинского устройства должны удостовериться, что несанкционированный доступ к их продуктам делает не возможно.

FDA написала в онлайновом коммюнике «Специфично, мы рекомендуем, чтобы производители рассмотрели свою практику кибербезопасности и политику гарантировать, что адекватные гарантии существуют, чтобы предотвратить несанкционированный доступ или модификацию к их медицинским устройствам или компромиссу безопасности стационарной сети, которая может быть связана с устройством. Степень, до которой необходимы контрольные группы безопасности, будет зависеть от медицинского устройства, его среды использования, типа и вероятности рисков, которых этому подвергают, и вероятные риски для пациентов от нарушения правил безопасности».

Когда устройство оценивается, следующее нужно рассмотреть:Шаги должны быть сделаны, чтобы удостовериться, только положил, что у пользователей есть доступ к устройству и никому больше, особенно устройства, которые поддерживают пациентов или могли быть связаны непосредственно со стационарными сетями.Предпримите шаги, чтобы защитить каждый компонент от эксплуатации. Разработайте стратегии для активной защиты безопасности, которые подходят и реальны для среды использования устройства.

Эти стратегии должны включать своевременное развертывание обычных, утвержденных пятен безопасности и системы, требующие заверенного кодекса для программного обеспечения и микропрограммных обновлений.Критическая функциональность медицинского устройства является высшим приоритетом, удостоверьтесь, что подходы дизайна принимают во внимание это.

Даже если устройство поставилось под угрозу, надежные способы должны быть включены, чтобы утверждать что критическая функциональность.Должны быть методы для задержания и восстановления после инцидента, влияющего на безопасность. «Инциденты кибербезопасности все более и более вероятны, и производители должны рассмотреть планы реагирования на инциденты, обращающиеся к возможности ухудшенной операции и эффективного восстановления и восстановления».Рекомендации для больниц и других медицинских учрежденийМедицинские учреждения должны предпринять шаги, чтобы оценить их сетевую безопасность и защитить их стационарные системы.

Следующее нужно рассмотреть при оценке сетевой безопасности:Доступ к сетевым медицинским устройствам и сетям в целом должен быть ограничен уполномоченным персоналом и никем больше.

Брандмауэры и антивирусное программное обеспечение должны регулярно обновляться.Сетевая активность должна постоянно проверяться для несанкционированного использования.Отдельные сетевые компоненты должны периодически оцениваться как режим.

Это включает пятна безопасности обновления и выведение из строя всех ненужных портов и услуг.Если стационарное или медицинское учреждение имеет или подозреваемые, там проблема кибербезопасности с медицинским устройством, с производителем нужно немедленно связаться. FDA и ICS-СВИДЕТЕЛЬСТВО DHA могли бы быть в состоянии помочь в создании отчетов уязвимости и решении, если не возможно определить, кто производитель, или если с производителем нельзя связаться.Во время неблагоприятных условий важно, чтобы оборудование поддержало критическую функциональность.

Медицинские учреждения должны развить и оценить стратегии непредвиденного обстоятельства.FDA говорит, что выпустила руководство проекта о том, как производители медицинского устройства должны обратиться к кибербезопасности при представлении их продуктов для одобрения (предварительный рынок).

Это также имеет руководство о том, как производители должны иметь дело с кибервопросами безопасности относительно устройств, использующих стандартное программное обеспечение.FDA просит, чтобы производители и медицинские учреждения сообщили о проблемахЧтобы лучше понять риск, связанный с медицинскими устройствами, FDA убеждает пользователей устройства и производителей сообщить о любых нежелательных явлениях быстро Агентству. «Если Вы подозреваете, что событие кибербезопасности повлияло на производительность медицинского устройства или повлияло на стационарную сетевую систему, мы поощряем Вас регистрировать добровольный отчет через MedWatch, информацию о Безопасности FDA и программу Создания отчетов Нежелательного явления».Персонал здравоохранения должен следовать процедурам отчетности, установленным их средствами.

Производители медицинских устройств должны соответствовать MDR (Создание отчетов Медицинского устройства) инструкции.При сообщении о проблеме кибербезопасности с определенным устройством FDA просит, чтобы следующая информация была включена в отчет (при наличии):То, кто Ваша точка контакта, должно больше деталей относительно инцидента/события требоваться?Когда проблема кибербезопасности была сначала обнаружена?

Как проблема была сначала обнаружена?Какие номера моделей и микропрограммные версии затронуты?Сколько медицинских устройств затронуто?

Имеет функциональность устройства поставивший под угрозу? Если так, как это происходило (это эксплуатировалось через местный доступ или удаленно)?Каково наблюдаемое патологическое поведение медицинского устройства? Каковы потенциальные последствия?

Исследователи из Мичиганского университета, университета Южной Каролины, Кореи, Продвинутый Институт Науки и техники, Миннесотский университет, Массачусетский университет и Медицинская школа Гарварда сообщили в мае 2013, что датчики, используемые во внедренных кардиальных дефибрилляторах и кардиостимуляторах, уязвимы для вмешательства.Команда показала, что они могли подделать мигрирующее сердечное сокращение с электромагнитными волнами высокой частоты. В теории ложный сигнал как тот, который они создали, мог бы мешать кардиостимулятору работать должным образом и мог также вызвать ненужные шоки дефибрилляции.

Профессор Вэньюань Сюй, из университета Южной Каролины, сказал, что «безопасность часто является гонкой вооружений с противниками. Как исследователи, именно могла эксплуатироваться наша ответственность всегда оспорить установившуюся практику и найти защиту для уязвимостей, прежде чем неудачные инциденты происходят.

Мы надеемся, что наши результаты исследования могут помочь улучшить безопасность сенсорных систем, которые появятся в течение многих последующих лет».

Блог Ислама Уразова