如果不出意外,像我骑兵那样的倡导组织的形成以及漏洞披露数量的简单上升已经开始为可以抵御攻击的医疗设备制定路线。
预先存在的条件
上个月黑帽安全会议的一次演讲揭示了目前市场上心脏起搏器的严峻缺陷。他们的创造商不情愿解决这些漏洞,这清晰地表明医疗设备安全受到主要卫生部门参与者缺乏凝结力以及开辟人员安全卫生差的困扰程度。
为什么尽管医疗设备取得了不可否认的收益,但仍然存在像黑帽那样的漏洞?就像医生有时必须诊断的最棘手的医疗条件一样,原因在于多种复合疾病。
首先,医疗物联网设备的运行条件-包括从连接胰岛素泵到网络CT扫描仪的所有内容-与其消费者物联网对应物的运行条件明显不同。
医生和安全研究人员ChristianDameff说,一个关键的区别是它们的生命周期明显更长,通常很长,以至于它比它们运行的操作系统的支持周期更长。
“[有]消费者物联网,可能会定期迭代设备,比如每年或类似的事情,”达梅夫说。“医疗连接设备预计将服用5年,10年以上,这可能是CT扫描仪的情况,并推测是什么?他们将运行WindowsXP,WindowsXP将结束-三年级的生活支持。“
事实上,新连接的医疗设备必须经历的监管过程是如此冗长-可以理解-当他们进入市场时,他们通常比现代安全趋势落后数年,作为安全研究员和我是骑兵联合创始人Beau伍兹指出。
“今天全新推出的任何设备都可能有几年的研发阶段,以及FDA的几个月到几年的批准阶段,”伍兹说。
“你可以拥有8到10年前基本上构想出来的设备,这些设备刚刚浮现,所以固然它们没有现在相同的保护措施[或]现代医疗设备架构-说他解释说,10年前浮现的设备并没有像MRI那样完全可用。
永远在线的联网医疗设备必须满足的需求,尤其是心脏起搏器等植入设备的需求,会带来额外的操作限制。桌面操作系统开辟人员已经花了数十年时间积存经验来确定最佳实践漏洞利用对策。然而,没有停机时间的无头医疗物联网设备排除了许多非常对策,因此需要开辟适合医疗部署的新设备。
什么是诊断,Doc?
在强生公司产品安全总监科林·摩根(ColinMorgan)指出,传统操纵在某些医疗环境中肯定不足,但这可以鼓舞在特定限制条件下工作的开辟人员进行创新。
“有时这种环境的差异是我们需要确保安全操纵不会影响设备的预期用途,”摩根说。“让我们说你的机器上有会话锁定。你离开办公桌15分钟,你的屏幕锁定。在某些医疗设备上,这可能会破坏它的预期用途,以及我们的工作-这是有趣的一部分。工作-是要弄清晰,’如果我们不能做那种操纵,还有哪些其他操纵可以降低风险?’“
尽管医疗硬件的独特要求已经邀请了创新的新安全操纵措施,但这一举措往往因为这样做的激励结构不足而受到伤害。
目前的监管虽然从曾经的地方突飞猛进,但并不总是阻挠创造商解除可能威胁生命的脆弱性,特殊是在一个景观中,幸运的是,当它们被利用时,它们的前景尚无先例。野生。
“我不认为这是有意的,[但]考虑一下:如果我是设备创造商并且我有一个故障设备,我是否会编写一份政策对每台设备进行深入的取证调查以查找恶意软件?”达梅夫问道。
“答案是否定的,”他说,“因为一旦我发现存在妥协,并且存在漏洞,我需要向FDA报告,这可能导致过高的召回,罚款等。因此,找到这些类型的患者损害情况的动机,它就不存在。“
缺乏激励在某些方面是最好的情况,因为目前的监管框架会使资源偏离产生整体安全态势,有时会排除完全发现缺陷的途径。
医疗保健监管方面的立法没有“健康保险流通与责任法案”(更广为人知的“HIPAA”)更大。毫无疑问,它在数字时代的患者保护方面具有里程碑意义,但其对隐私的独特关注以及其作者身份早于广泛的医疗物联网的事实已经对设备安全产生了一些意想不到的有害后果。
Dameff直言不讳地说:当违反患者数据的隐私时,公司的成本远远高于违反设备安全操纵的成本,因此公司会相应地优先考虑其优先级。
“医疗保健公司胆怯HIPAA锤子,这推动了所有的安全对话,”他说。“保护患者的医疗保健信息可以获得他们所有的资源,因为冒着违规行为会产生以美元和美分支付的后果。”
HIPAA的卓越性不仅有助于大规模地解决隐私问题,而且间或会妨碍安全研究。在隐私和安全相互排斥的情况下,HIPAA要求隐私获胜。
“如果[设备]发生故障,我们必须将其发送回设备创造商[以弄清晰]它发生了什么,原则上并且由于HIPAA,他们会擦除硬盘驱动器或移除硬盘驱动器发给他们。“达梅夫说。
“根据政策,发生故障的故障设备会被发送回创造商甚至无法使用操作系统,即发生故障的软件,”他说。
治疗时间
尽管存在医疗物联网安全问题的许多方面,但仍有令人鼓励的迹象表明,该行业已经找到了立足点,并在下一步采取措施。其中一个受到好评的课程是FDA公布了两份指导文件:“互操作医疗器械的设计考虑和上市前提交建议”和“医疗器械网络安全的上市后治理”-或上市前指导和公布-市场指导简称。
伍兹表示,“我会说,FDA在为医疗器械创造商提供有关如何解释法规,FDA如何解释法规方面的指导方面已经取得了很大发展。”
“因此,当FDA发布医疗器械网络安全的上市前指南或医疗器械网络安全的上市后指南时,这有助于监管方和设备创造商弄清晰如何构建可以采取的设备这些经验教训得到了考虑,“他补充道。
不仅仅是按照指南的要求,一些参与者已经指出了他们概述的许多可选建议。专门针对他的组织,强生公司的摩根表示,他的团队已从与FDA的相互加强的关系中受益。
“从我们的角度来看,我们已经看到过去[几年]已经完成的很多工作,这些工作最初是通过FDA推动的,”他说。“我们与他们紧密合作-我们与FDA网络安全团队建立了非常紧密的合作关系-并且通过环绕上市前和市场后的指导文档的启动……浮现了一些变化,[我们]正在将[他们]建设成我们的质量体系。“
监管机构和创造商之间的这种合作氛围对于加强整个行业的安全至关重要,因为它改变了从竞争优势的竞争到确保基本的患者安全水平的动态。
摩根建议,合作不应该,也很快就会停止。由卫生部门协调委员会牵头的一项持续努力是创建一个“医疗手册”,其中包括由医疗服务提供者,设备创造商,行业协会和其他人提供的专业知识。
它将为各类组织可以采取哪些措施来改进安全做法提供指导。通过传播大公司工作所产生的知识,较小的公司可以征集所收集的智慧。
与此同时,从现有的指导文档中可以获得与医疗保健之外的信息安全和开辟者社区一样多的学习和汲取。
考虑到监管监督导致的开辟和公布之间的滞后,对于创造商而言,首次实现这一目标更为重要,这意味着将安全性从补充性工作转变为进展所固有的。
“我认为我们不需要医疗安全专家。我们只需要将这些良好实践从一开始就建立在设备的架构,工程和操作中,”我是骑兵的伍兹说,“这将是我认为,我们向来在重新思量我们向来认为的传统方式。“
Dameff补充说,医疗设备开辟商采纳这种方法的方式是进一步参与和整合独立研究社区。
“我认为你需要对安全研究人员的输入和设备的独立安全测试开放,然后才干进入市场,”他建议道。“即使设备创造商为其公布补丁,也许医院不会实际部署它。因此我们需要预先做很多工作,以便在它们上市之前尽可能安全。”
正如公司在处理来自独立研究人员的错误披露方面变得更加舒适,一些公司仍然顽固,正如上个月的黑帽谈话所证明的那样。主持人表示,在收到通知后超过500天,他们已经披露他们的调查结果没有采取行动的创造商。
“有恐惧故事,”达梅夫说。“我觉得医疗保健设备创造商意识到他们不能嘲笑研究人员……这已经很多了,部分原因是因为现有的医疗设备有DMCA豁免权。”
DMCA或数字千年版权法案豁免诚信研究人员测试医疗设备免受专利软件的法律风险,专有软件是臭虫赏金猎人的生命线。
然而,对于研究人员充分利用豁免,不仅创造商认真对待他们的投入,而且行业及其监管机构同意尽可能多地猎取现实数据。
伍兹组织,我是骑兵队,概述了满足这些要求的措施。
“我在[我是骑兵]希波克拉底誓言中得到的一件事是肯定的声音证据捕捉能力,它可以让你捕捉潜在的安全问题,或者真正的任何设备故障,以一种方式保护隐私,“伍兹说。
“因此,为了安全起见,我们不会抛弃隐私,因为我认为它们不是互相排斥的,”他继续说道,但关键是“能够从设备上猎取所需的日志和信息类型”-像固件状态一样,它是否被篡改,是最新版本,是否有任何额外程序,意外软件。“
最后,正如摩根所说,所有这一切都必须满足护理提供者的需求,这只能通过将他们完全融入对话来实现。
“我们面临的最大挑战之一是后市场治理,”他指出。“我们如何才干在客户环境中更好地将我们的安全补丁推广到设备?客户环境是如此不同。因此,我们必须不断地与客户交谈并了解他们从我们这里追寻什么,他们的期望是什么,以及如何我们可以与他们更好地合作,推出补丁,建立他们正在追寻的东西,这样我们就可以不断降低风险。“
安排检查
最终,治疗医疗设备安全状况不佳就像对待病人一样:整体治疗必须是全面的,各种治疗措施不得冲突。
在监管机构,创造商和提供商的协调下,安全性得到了显着改善。这是他们的观点冲突,条件尚未改善。
“张承辉博客” 医疗器械不安全诊断明确治疗朦胧 https://www.zhangchenghui.com/241352