5 טיפים לאבטחת סייבר של מכשירים רפואיים

Share on facebook
Share on twitter
Share on linkedin
Share on telegram
Share on whatsapp
Share on email
פרסומת
MAGNEZIX מגנזיקס


אבטחת סייבר של מכשירים רפואייםהערת העורך: זהו העדכון לשנת 2022 לאוגוסט 2015 "5 טיפים לאבטחת סייבר של מכשור רפואי" בלוג מאת וינסנט קראבטרי. קרא את המקורי כאן.
בעולם המודרני הזה, אבטחת סייבר והגנת מידע הפכו לנושא מוכר לכולנו. מהסכמה לעוגיות באתר, להסכמי פרטיות נתונים לחתימה, ועד הגדלת כניסות ובקרות גישה, כולנו מרגישים את ההשפעה של הגנות אבטחת סייבר.
הם אולי נראים מכבידים למשתמש אבל הם שם מסיבה כלשהי. ככל שמכשירים ואתרים אוספים יותר ויותר נתונים עלינו ועל ההרגלים שלנו, הנתונים הללו הופכים לבעלי ערך עבור אלה המעוניינים לנצל אותם. התקפות אבטחת סייבר והפרות פרטיות נתונים הן תופעה שכיחה יחסית בימינו.

בכל הנוגע למכשירים רפואיים יש לנו מחויבות לשמור על בטיחות המשתמשים שלנו ולהגן על פרטיות הנתונים שלהם, במיוחד בעניינים הקשורים למצבם הבריאותי. ראוי לנו להתעדכן בשיטות העבודה המומלצות של אבטחת סייבר כדי להבטיח זאת. כמו בכל תכונה עיצובית, עדיף אם זה ייחשב ומשולב מתחילת הפיתוח ולא יתייחס אליו רק כאל תכונה תוספת.

בטיחות אין פירושה אבטחה באבטחת סייבר של מכשירים רפואיים

מפתחים של מכשירים רפואיים מכירים את הרעיון של מכשירים שהם בטוחים לכשל עבור מכשירים בסיכון נמוך או כשל עבור מכשירים שחייבים לשמור על רמת ביצועים מסוימת. תקן ISO 14971 מגדיר תהליך ניהול סיכונים שמכשיר סיכונים, המאפשר לזהות מתי יש ליישם את ההפחתה, ולאחר מכן לאמת. עבור מכשירים שחייבים לעבור תקלה, משפחת התקנים IEC 60601 מגדירה את הביצועים החיוניים שיש לשמור עליהם עבור מגוון גדול של סוגי מכשור רפואי.

דוגמה שמראה את ההבדל בין בטיחות לאבטחה היא תכונת הסיוע בחנייה לאחור שנמצאת במכוניות חדשות יותר – אלו שמסובבות עבורך את ההגה כשאתה חוזר למקום חניה. ניתוח סיכונים עשוי לזהות הפעלה מקרית של תכונת החניה לאחור בזמן נסיעה במהירויות כביש מהיר, וההקלה תהיה להשבית את התכונה בזמן נסיעה במהירויות הגבוהות מ-5 קמ"ש.

מנקודת מבט אבטחה, זה לא מאובטח מכיוון שהאקר שפרץ את מערכת ה-CAN של מכונית (Controller Area Network) יכול להוציא פקודה לציון המהירות היא 3 קמ"ש ולאחר מכן להוציא ברצף פקודה להפעלת תכונת החניה לאחור. ברגע שהמערכת נפגעת, זה טריוויאלי להוציא מספר פקודות. הפחתת סיכוני האבטחה כאן יכולה להיות קשורה לארכיטקטורה, למשל עמודי שדרה כפולים של אוטובוס CAN עם פקודות מותרות שונות בכל אוטובוס, מה שידרוש מהתוקף לסכן את שני עמודי השדרה של אוטובוס CAN.

קרוב יותר לבית, הפחתה באבטחת משאבת האינסולין יכולה להבטיח את אישור המשתמש למתן מבוקר מרחוק של מנות גדולות, ו/או להגביל את המספר המרבי של מנות בפרק זמן מסוים.

ליישם הנחיות רגולטוריות

ה-FDA פרסם מסמך הנחיות שכותרתו 'תוכן הגשות Premarket לניהול אבטחת סייבר במכשירים רפואיים'הונפק באוקטובר 2014.

2014 עשויה להיראות כמו לפני זמן רב בעולם אבטחת הסייבר, והיא תהיה, אבל זו עדיין ההנחיה הישימה הנוכחית לנושא זה. זוהי הדרכה בהיקף מוגבל מאוד. ה-FDA ניסה ליישם הנחיה נרחבת יותר בשנת 2018 שלא עברה את שלב הטיוטה בשל ריבוי ההערות עליו. ה-FDA פרסם לאחרונה טיוטת הנחיה חדשה, "אבטחת סייבר במכשירים רפואיים: שיקולי מערכת איכות ותוכן של הגשות לפני השוק".

מסמך ההנחיות לשנת 2014 מתאר, לכל הפחות, גישת הערכת סיכונים לאבטחת סייבר-

1) זיהוי איומים, נכסים ופגיעות

2) הערכת ההשפעה של איומים ופגיעות המנוצלים

3) קביעת רמת הסיכון ואסטרטגיות הפחתה מתאימות

4) הערכת סיכון שיורי וקריטריונים לקבלת סיכונים

גישה מבוססת סיכונים זו צריכה להיות מוכרת למפתחי מכשור רפואי מכיוון שהיא משקפת את תקן ISO 14971, וזה יהיה גם תרגול טוב לוודא שכל האמצעים שאינם חלק מהארכיטקטורה יעילים, היכן שניתן ומעשיים.

מסמך ההנחיה מתאר גם מסגרת לפעילויות ליבה של אבטחת סייבר, בהתייחס ל"מסגרת לשיפור אבטחת הסייבר של תשתית קריטית”, V1.1 שפורסם על ידי המכון הלאומי לתקנים בשנת 2018. תכונות המסגרת נדונות להלן:

1) זהה – כמו לעיל, הערך את וקטורי ההתקפה האפשריים בשלב מוקדם בארכיטקטורת המערכת שלך, למשל יציאות ניפוי באגים או חיבורים אחרים.

2) הגן – במידת האפשר, הפחת על ידי שינוי ארכיטקטורת המערכת. לדוגמה, יציאת ניפוי באגים פנימית בניגוד ליציאת ניפוי באגים נגישה, הנדון להלן. עבור אותם וקטורים תקיפה שלא ניתן להגן עליהם באמצעות שינויי ארכיטקטורה, הטמיע אמצעי מניעה שייקשו על התוקף לסכן את המערכת, כגון מספר מקסימלי של נסיונות כניסה חוזרות לפני נעילה מתוזמנת. שקול כיצד להגן על נתונים – גם הצפנה במעבר וגם הצפנת נתונים במצב מנוחה. שקול גם גישות שכבות – גישה מוגבלת, אימות מרובה גורמים והרשאות משתמש או תפקידים משתנים.

3) זיהוי – שקול ליישם תכונות שיאפשרו לזהות ניסיונות פריצה, כגון מסלולי ביקורת כניסה. אפילו מכשירים פשוטים יכולים לגלות מתג זיהוי חבלה או מתג פתיחת תיק.

4) תגובה – כפי שנדון לעיל ב-IEC 60601 וביצועים חיוניים, הטמע תכונות שימשיכו לספק פונקציונליות קריטית.

5) שחזור – לספק שיטות לשחזור פעולת מכשיר רגילה על ידי משתמש מאומת עם הרשאות מתאימות. אפשרות אחת היא כפתור 'איפוס להגדרות היצרן'.

מעבר לשוק האמריקאי, באיחוד האירופי, פרסמה קבוצת תיאום המכשור הרפואי MDCG 2019-16 הנחיות בנושא אבטחת סייבר עבור מכשירים רפואיים, תחילה בשנת 2019עם עדכון ל-Rev.1 ביולי 2020.

הנחיה זו, הכוללת 46 עמודים, מעמיקה יותר מההנחיות הנוכחיות של ה-FDA 2014 שאורכה רק 9 עמודים. מתן פרטים ומתודולוגיות ספציפיות להבטחת בטיחות ואבטחה בתכנון.

הנחיה זו גם מקשרת חזרה לדרישות הבטיחות והביצועים הכלליות (GSPR) המפורטות הן בתקנות המכשור הרפואי (MDR) 2017/745 והן בתקנות האבחון במבחנה (IVDR) 2017/746. ה-GSPR הוא השיטה החיונית להראות שהמכשיר שלך בטוח ויעיל ותואם לתקנות אלה.

נקודת תוכן שימושית נוספת בהנחיות האיחוד האירופי היא מתווה של אחריות לאבטחת סייבר בין מחזיקי העניין השונים. אמנם אנחנו יכולים לעשות כל שביכולתנו כדי לעצב מוצר בטוח ומאובטח, אבל ברגע שזה יהיה בידי המשתמש שתפקידו למלא בהבטחת אבטחת הסייבר.

Health Canada פרסמו גם הנחיות משלהם בנושא אבטחת סייבר: דרישות טרום-שוק לאבטחת סייבר של מכשירים רפואיים (2019). זה תומך בפרקטיקות דומות לאלו שהוזכרו בעבר וגם מקשר חזרה למסגרת ה-NIST שהוזכרה קודם לכן.

היבט אחד של הנחיה זו המועיל במיוחד הוא נספח ב' המספק הסברים מומחשים כיצד סיכוני אבטחת סייבר יכולים לקיים אינטראקציה עם סיכוני בטיחות מטופלים ISO 14971 הן בקביעת מצבים מסוכנים פוטנציאליים והן בהתייחסות להשפעה של בקרות סיכונים. הייתי ממליץ לעיין בהנחיה זו גם אם המוצר שלך אינו מיועד לשוק הקנדי.

תהיה פרגמטי

מהנדסים בדרך כלל מקבלים החלטות פרגמטיות בעת פיתוח ארכיטקטורת מערכת, אך הכרה בבעיות אבטחה כאמור לעיל יכולה להפוך את זה להרבה יותר חזק. זה עובד הכי טוב כשלא מוצג כבעיה רגולטורית, אלא כאתגר טכני – אתגר את הצוות שלך לפרוץ מוצרים משלהם.

לדוגמה, Bluetooth LE כולל תכונת הצפנה שמוכרת יחסית, ותכונת פרטיות פחות מוכרת אשר משנה כתובת מכשיר לאורך זמן. שימוש בערכת שבבים התומכת בתכונת הפרטיות יצמצם את יכולתו של התוקף לרחרח נתונים.

דוגמה נוספת היא גישת שורש. למרות שזה עשוי להיות נוח להחזיק יציאת איתור באגים לפיתוח בגב המחשב, זהו וקטור התקפה ראשוני. לפיכך, יציאות ניפוי באגים צריכות להיות לכל הפחות מושבתות בקושחת הייצור ולכסות/להסתיר אותן, אך רצוי לא להיחשף מחוץ למתחם או אפילו לאכלס. גישת שורש במגוון טלפונים אנדרואיד הושגה על ידי גישה ליציאת ניפוי באגים 'נסתרת' שהוצא על יציאת ה-USB באמצעות מרבב USB.

סיסמאות מקודדות קשיחות מציגות פער נוסף באבטחת המכשיר – לפני זמן רב מחשב אינטרנט נמכר בזול מאוד. המכשיר הזה הפעיל מערכת הפעלה קניינית שחייגה (חיוג מראה בדיוק לפני כמה זמן) ספק אינטרנט מסוים מבוסס מנוי, ומודעות קופצות הוצגו בזמן שגלשת. המכשיר היה PC רגיל עם סיסמת ביוס מקודדת – הזינו את הסיסמה, התקינו ווינדוס 95 והיה לכם מחשב ביצועים בינוניים במחיר של טיול משפחתי לקולנוע. זה מראה שאסור להשתמש בסיסמאות מקודדות קשיחות, שכן כמעט בוודאות יתגלו.

עדכוני קושחה הם וקטור התקפה פופולרי נוסף. כדי להפחית זאת, מפתחי מכשירים חייבים להבטיח שניתן להתקין רק קושחה חתומה ומורשית, ורק משתמשים מאומתים עם הרשאות מתאימות יכולים להתקין עדכוני קושחה. האם זה רעיון טוב לאפשר עדכוני קושחה דרך האוויר, או שרק חיבור קשיח צריך לאפשר עדכון? שקול גם החזרת תוכנה לאחור – האם אתה רוצה שהפוטנציאל של תיקוני אבטחה יבוטל?

אבטחת אבטחה

הגישה שתוארה לעיל מהווה את המינימום ההכרחי לאופן שבו מפתח יכול לנהל את אבטחת הסייבר בעת פיתוח מכשירים רפואיים. עם זאת, תקן אבטחת הסייבר דה פקטו הוא ISO15408-1 (2009) טכנולוגיית מידע – טכניקות אבטחה – קריטריוני הערכה לאבטחת IT – חלק 1: מבוא ומודל כללי,…



קישור לכתבת המקור – 2022-07-28 03:34:24

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on telegram
Telegram
Share on whatsapp
WhatsApp
Share on email
Email
פרסומת
X-ray_Promo1

עוד מתחומי האתר