Із січня 2023 року FDA переглянуло свої правила, щоб розширити вимоги до кібербезпеки протягом усього життєвого циклу розробки медичного програмного забезпечення. У виробників медичного програмного забезпечення з'явилася додаткова гнучкість при виборі системи кібербезпеки, що підходить для програмного забезпечення медичного пристрою. Виходячи з нашого досвіду, NIST (Національний інститут стандартів і технологій) Secure Software Development Framework забезпечує надійне керівництво для відповідності цим новим правилам.
Незважаючи на те, що медичні пристрої відіграють життєво важливу роль у перетворенні догляду за пацієнтами, вони переносять ризики до медичних закладів, у яких їх було створено, включно з новими ризиками та вразливостями для зловмисних вторгнень і втручання в догляд за пацієнтами.
Міністерство охорони здоров'я і соціальних служб США повідомило про 541 витік даних тільки 2023 року, а у звіті ФБР йдеться, що поширеність атак на медичні заклади з метою викупу зросла вдвічі з 2021 по 2023 рік.
Кіберзлочинці часто атакують лікарні, клініки та медичне обладнання, отримуючи записи пацієнтів, які потім можна заблокувати криптолоком або викупити. Це призводить до затримки лікування або неякісної медичної допомоги, іноді з важкими наслідками для безпеки пацієнтів. Нещодавні дослідження, проведені наприкінці 2023 року, свідчать про значне збільшення смертності після кібератак на лікарні.
Наприклад, наприкінці 2023 року Управління з контролю за продуктами та ліками США заявило, що інсулінові помпи серії MiniMed 600 компанії Medtronic містять уразливості, що можуть помилково вводити інсулін; що ще тривожнішим є те, що компанія ZOLL Medicorp повідомила, що її ношений кардіовертер-дефібрилятор LifeVest має пролом у системі безпеки, що дало змогу отримати особисті дані – адреси, номери соціального страхування та дати народження – більш ніж 1 мільйона користувачів.
Виявлення осередків уразливості
Аналіз 2023 року показав різке збільшення числа вразливостей у продуктах охорони здоров'я – на 53 % порівняно з минулим роком: 993 дефекти в 966 продуктах охорони здоров'я, порівняно з попереднім роком, коли було 650 вразливостей у 521 продукті. Число вразливостей високого або критичного ступеня серйозності велике: 160 з них використовуються як зброя – тобто у когось є доказ концепції того, як зловмисник може використовувати цей недолік.
Ці прогалини в безпеці були виявлені в медичних пристроях класу II, включно з обладнанням з помірним ризиком, таким як монітори для анестезії, інфузійні насоси та комп'ютерні томографи. У 367 з них було знайдено рівно 292 вразливості. Клас I закрив 25 вразливостей у 41 іншому пристрої, більш простому обладнанні з набагато меншим ризиком. У класі III було виявлено найменшу частку вразливостей – дві помилки у 20 ґаджетах: пристроях та імплантатах із високим рівнем ризику, які необхідні людині для життя, а іноді буквально утримують життя в рівновазі.
Що ще більш тривожно, дослідження показало, що 64% виявлених вразливостей були пов'язані з програмним забезпеченням. І хоча цей відсоток величезний, тільки 2,13% медичних пристроїв із програмними компонентами, представлених у посібниках, згадують про запобіжні заходи в галузі кібербезпеки. Саме тут у гру вступає документація з медичного обладнання: небезпеці можна запобігти, приділивши належну увагу кібербезпеці.
Нові правила FDA покращують кібербезпеку медичних пристроїв
29 грудня 2022 року Федеральний закон FD&C Act (Food, Drug, and Cosmetic) був переглянутий і оновлений після ухвалення Консолідованого закону про асигнування 2023 року, в якому з'явився так званий "Розділ 524B", присвячений кібербезпеці медичних пристроїв. А 26 вересня 2023 року FDA випустило нове керівництво з кібербезпеки медичних виробів.
Цей новий посібник замінює посібник 2014 року щодо пристроїв, які продаються до ринку, і виходить "далеко за рамки" попереднього посібника, всебічно розглядаючи кіберризики та вразливості, що впливають на пристрої, які продають на цей час, із функціями кібербезпеки. Якщо попередній посібник здебільшого включав найкращі практики добровільної прозорості виробників, то нове правило вимагає цього. Передпродажні заявки тепер повинні включати "інформацію про те, як зменшити ... загрози кібербезпеки". Крім того, поправка закликає виробників "систематично дотримуватися системи кібербезпеки" протягом усього життєвого циклу програмного забезпечення медичних пристроїв.
Сфера дії нових правил FDA щодо кібербезпеки
Зовсім недавно в розділі 524B Федерального закону FD C було дано визначення "кіберпристроїв" – це будь-який медичний пристрій, як новий, так і розроблений від самого початку, що може взаємодіяти з іншими пристроями або системами та містить будь-які програмні компоненти, які схильні до ризиків кібербезпеки. Згідно з керівництвом FDA, будь-який медичний пристрій, здатний підключатися до мережі, стає кіберпристроєм.
Це правило поширюється на виробників, які бажають вивести на ринок нові версії або типи таких кіберпристроїв, а також на всіх виробників, які бажають ввезти медичні пристрої в США. Чистий результат – всеосяжний підхід до забезпечення безпеки всіх таких пристроїв, що надходять на ринок.
Основні аспекти нових правил FDA щодо кібербезпеки
Нещодавні поправки наділили FDA законодавчими повноваженнями щодо медичних виробів, які стосуються кібербезпеки, і ця зміна значно розширює можливості FDA вимагати дотримання суворих стандартів кібербезпеки в медичних виробах. FDA може приймати тільки ті попередні заявки, які відповідають детальним вимогам кібербезпеки, викладеним у Посібнику з кібербезпеки на попередньому ринку в розділі 524B. Нижче перераховані необхідні елементи для передпродажної підготовки відповідно до нового правила:
Звіт про управління ризиками кібербезпеки
Звіт має містити модель загроз усіх можливих вразливостей і загроз безпеці пристрою, оцінку ризиків кібербезпеки з погляду ймовірності й серйозності окремих ідентифікованих ризиків, а також специфікацію програмного забезпечення (SBoM), яка містить повний набір програмних компонентів (з відкритим вихідним кодом, сторонніх розробників, власної розробки), що входять до складу програмного забезпечення медичного пристрою.
Архітектурні діаграми та види
Критично важливими є діаграми, що показують конфігурацію пристрою, подану для передпродажної підготовки, і його інтерфейси з іншими системами, мережами та зовнішніми компонентами. Докладні діаграми і документація, що описують межі системи і потенційні цілі атаки, відіграють важливу роль у постмаркетинговому моніторингу. Діаграми також допоможуть визначити можливий масштаб атак. У документації має бути описано, як взаємодія між компонентами може призвести до ризиків, які не зустрічаються в інших системах, а також усі плани щодо виправлення пристрою для захисту від відомих вразливостей, включно з тим, як наявні механізми безпеки працюють за різних сценаріїв атак.
Вимоги до нагляду
Перед продажем пристроїв виробник повинен провести тести безпеки, що підтверджують ефективність контролю ризиків. Такі тести мають включати випадки зловживань, деформовані вхідні дані та тести на проникнення з незалежним підтвердженням знань тестувальника. Етикетки повинні містити інформацію про ризики кібербезпеки у формах інформованої згоди для інформування кінцевих користувачів.
План управління кібербезпекою
Докладний план управління кібербезпекою продукту, що враховує ризики протягом усього його життєвого циклу. Цей план має включати стратегії моніторингу пристрою на предмет відомих вразливостей і вказувати частоту таких перевірок. Усуньте вразливості, перераховані в каталозі CISA, описавши конкретні стратегії їх усунення. Крім того, встановіть терміни випуску виправлень. У плані також мають бути описані процедури розкриття інформації про вразливості та випуску оновлень або виправлень.
Регулюючі органи розробили підвищені стандарти регулювання для забезпечення кібербезпеки медичних виробів і посилення захисту особистої медичної інформації від зростаючих цифрових загроз. Ці стандарти забезпечують більш безпечне використання медичних виробів. Виробники повинні дотримуватися цих стандартів не тільки для того, щоб задовольнити вимоги регулюючих органів, а й тому, що їх недотримання загрожує безпеці пацієнтів і підриває довіру до продукту.
Впровадження безпеки протягом усього життєвого циклу пристрою
В основі оновленого керівництва FDA лежить оновлена структура безпеки, яка називається "Структура розробки безпечного продукту" (Secure Product Development Framework, SPDF). Ця структура включає чіткі інструкції щодо розробки та постійної підтримки безпеки протягом усього життєвого циклу медичного виробу. SPDF вимагає від сучасних виробників враховувати питання безпеки на ранніх стадіях життєвого циклу продукту, від проектування і розробки конкретного пристрою до його відповідального виведення з експлуатації.
Основна мета SPDF полягає в тому, щоб кібербезпека була важливим фактором з самого початку розробки програмного забезпечення для медичних виробів, а не додавалася пізніше. Загалом, рекомендовані практики, що містяться в рамковій програмі, повинні створювати програмне забезпечення, яке допомагає досягти щонайменше п'яти цілей у сфері безпеки:
-
Захист від несанкціонованого втручання: операції повинні бути захищені від несанкціонованого втручання, обмежуючи доступ до даних і управління авторизованими користувачами і системами.
-
Підтримка доступності пристрою: Пристрій повинен бути доступним і надавати послуги навіть попри спроби відмови в обслуговуванні.
-
Забезпечення конфіденційності даних: Це стосується запобігання доступу інших осіб до конфіденційних даних пацієнта з метою дотримання законодавства про конфіденційність та збереження довіри пацієнта.
-
Підтримка своєчасних оновлень: Це означає, що пристрої можуть бути віддалено оновлені або виправлені для усунення нещодавно виявлених вразливостей.
З цією метою в новому керівництві FDA прописані конкретні засоби контролю безпеки, такі як надійна автентифікація, надійна криптографія, реєстрація подій і сувора перевірка цілісності коду і даних. Наприклад, настанова передбачає, що виробники повинні автентифікувати дані під час передачі і в стані спокою, автентифікувати кінцеві точки зв'язку і підтримувати цілісність станів виконання і двійкових файлів програмного забезпечення.
SPDF не має на меті контролювати. Натомість, він дає можливість виробникам використовувати інші підходи та фреймворки, якщо вони відповідають новим вимогам до подання інформації на премаркет. Він заохочуватиме виробників використовувати існуючі ефективні процеси для зниження кіберризиків медичних виробів і дозволить цим процесам ефективно взаємодіяти з новим пакетом вимог щодо безпеки. Виробникам не потрібно буде повністю змінювати свої встановлені системи управління або методи лікування залежності: вони можуть продовжувати використовувати "те, що працює", одночасно знижуючи кіберризики.
Ініціювання відповідності вимогам безпечної SDLC
Нові правила FDA спрощують дотримання вимог на етапі проектування та розробки, як це визначено в документі Secure Product Development Framework (SPDF). Відмінною рисою SPDF є увага до впровадження засобів контролю кібер-ризиків та безпеки на всіх етапах життєвого циклу лікарських засобів.
Серед фреймворків, які ефективно розглядають ці ризики безпеки в рамках SDLC, найбільш суворий стосується всього життєвого циклу медичного програмного забезпечення і доповнює FDA's SPDF, представляючи практичну методологію розробки безпечних медичних пристроїв. NIST Secure Software Development Framework (SSDF) (NIST SP 800-218) - це дуже суворий стандарт, заснований на багаторічному досвіді NIST у цій галузі. Він здатний охопити кожен компонент життєвого циклу розробки продукту, включивши безпеку в цей процес від початкового етапу планування і проектування до впровадження і навіть технічного обслуговування, вбудовуючи безпеку в весь життєвий цикл. Він являє собою Святий Грааль вимог безпеки – суворий підхід, який виробники можуть використовувати, щоб слідувати приписам і гарантувати, що їхній продукт є достатньо безпечним для виходу на ринок.
Узгодження NIST SSDF з вимогами FDA щодо кібербезпеки
Стратегія FDA, зокрема, передбачає створення безпеки шляхом її впровадження протягом життєвого циклу розробки програмного забезпечення (SDLC), що також є важливою передумовою NIST Secure Software Development Framework (SSDF): FDA-SPDF і NIST-SSDF наголошують на підході, орієнтованому на безпеку, починаючи з проектування, розробки, аж до розгортання і можливого виведення з експлуатації.
Зіставлення елементів SSDF з мандатами безпеки FDA
Безпечне середовище розробки
Акцент FDA на забезпеченні "безпечного середовища розробки" та чітко визначених, задокументованих ролях безпеки пов'язаний з практиками NIST "Підготовка організації" (PO) PO.1, PO.2 та PO.5, які детально описують, як SSDF визначає вимоги безпеки, призначає контактну особу з питань безпеки та захищає середовище розробки програмного забезпечення.
Постійний моніторинг та оновлення
Вимоги FDA щодо постмаркетингового нагляду, ведення актуальних журналів безпеки та швидкої розробки патчів безпосередньо відповідають розділам RV SSDF NIST RV1, RV2, RV3 та RV4, в яких описано, що відбувається після виявлення вразливостей. Крім того, шкідливе програмне забезпечення має потворні побічні ефекти, підриваючи ідею особистої відповідальності та державного нагляду. Це замкнене коло: чим більше ми автоматизуємо медичні та хірургічні процедури, тим більше покладаємося на біонічні частини тіла і кардіостимулятори, і тим більше відкриваємо двері для зловмисників та інцидентів з безпекою. Шкідливе програмне забезпечення може уникати виявлення і поширюватися в організмі людини через імплантовані пристрої. Таке шкідливе програмне забезпечення може діяти майже без видимих ознак, незважаючи на те, що заражає життєво важливі системи, такі як серце або мозок - або змінюючи сигнали, що обробляються цими імплантатами, або безпосередньо керуючи їхньою роботою.
Застосування засобів контролю безпеки
Деякі з конкретних засобів контролю безпеки, які рекомендує FDA, точно відповідають NIST SSDF. Наприклад, криптографічні заходи і перевірки цілісності, які можуть зменшити загрози кібербезпеки, про які йдеться в карті SSDF "Захист програмного забезпечення (ПЗ)" до FDA PS.2, а також моніторинг і виявлення подій разом з веденням журналів для управління загрозами кібербезпеки відповідають вимогам FDA в RV.1. А вимоги FDA щодо безпечних методів автентифікації відповідають вимогам SSDF в PO.1 (оцінка вимог безпеки) і PS.3 (контроль за елементами даних і рухом даних, забезпечення захисту всіх даних, що вводяться, виводяться або змінюються під час роботи програмного забезпечення).
NIST SSDF - це існуючий, усталений і широко визнаний галузевий стандарт, який закладає основу для створення безпечного програмного забезпечення, необхідного для роботи. Оскільки остаточні правила FDA тепер схвалюють повну систему кібербезпеки для захисту програмного забезпечення медичного обладнання протягом його життєвого циклу, прийняття NIST SSDF підтримує виробників, які прагнуть отримати схвалення FDA, забезпечуючи відповідність вимогам і покращуючи безпеку медичного обладнання в динамічному ландшафті кібербезпеки.
Майбутні напрямки вдосконалення безпеки медичних виробів
На стіні написано, що догляд за пацієнтами в цифровому, підключеному майбутньому буде лише розвиватися. Виробники медичної техніки, які відмовляються створювати безпечне програмне забезпечення для медичних пристроїв, втрачають можливість вивести свої пристрої на ринок на вимогу FDA і завоювати довіру пацієнтів та медичних працівників, щоб пацієнти могли повною мірою скористатися перевагами потенційно доленосних методів лікування.
Такого рівня безпеки та довіри можна досягти, якщо виробник має повністю захищений процес SDLC та відповідає вимогам SPDF FDA. Безпечні за дизайном медичні вироби вимагають, щоб безпека була закладена в кожному аспекті пристрою - від початкової концепції, розробки, доставки та експлуатації протягом усього життєвого циклу. Це дозволить запобігти проблемам ще до їх виникнення. Оскільки майбутнє охорони здоров'я стає цифровим, застосовуючи суворі заходи безпеки протягом усього життєвого циклу розробки, виробники можуть створювати безпечні, надійні та ефективні пристрої, які трансформують медицину і покращують догляд за пацієнтами.