如何为医疗设备建立网络安全

克里斯托弗·盖茨(Christopher Gates)认为,牢记网络安全性来制造医疗设备是一项努力,越来越多的制造商试图做到这一点。

网络安全医疗设备

他说,医疗保健交付组织已经开始要求医疗设备制造商(MDM)提供更好的安全性,许多组织已经为MDM实施了安全的采购流程和合同语言,以解决设备本身的网络安全,安全安装,网络安全支持等问题。现场产品,因不遵循当前最佳实践而导致的设备损坏,对现场事件的持续支持等。

“对于像我这样专注于MDM的网络安全超过12年的人来说,这是一个了不起的进步,因为它将迫使MDM认真对待安全性或被认真对待安全性的竞争对手推向市场。 MDM带来的积极压力比其他任何活动都更能推动网络安全向前发展,”他告诉Help Net Security。

盖茨是Velentium的首席安全架构师,也是最近发布的作者之一 面向工程师和制造商的医疗设备网络安全,针对工程师,经理和法规专家的医疗设备安全生命周期管理综合指南。

在这次采访中,他分享了有关制造商最常犯的网络安全错误的知识,包括谁是谁。 瞄准医疗设备 (以及原因),他对医疗设备网络安全标准和计划的看法等等。

[为清晰起见,对答案进行了编辑。]

攻击者是否以医疗器械为目的而不是将其用作进入医疗保健组织的一种方式来瞄准医疗器械’s network?

对此的简单答案是“是”,因为医疗设备行业中的许多MDM对竞争对手进行“竞争性分析”’产品。让安全研究人员花几个小时从设备中提取算法进行分析,比花费数月甚至数年的R花费要容易得多,而且便宜得多。&D从头开始尝试一种新算法。

此外,有一个庞大的,价值几亿美元的公司行业,它们“重新启用”了消费的医疗用品。这通常需要进行一些相当复杂的逆向工程才能使设备恢复到出厂默认状态。

最后,医疗器械行业与医疗保健提供组织一起组成了国家关键基础设施的一部分。此类中的其他行业(例如核电厂)遭受了针对其设施中的安全备份的定向和复杂攻击。这些攻击似乎是对网络武器的初步测试,以后可能会使用它。

尽管这些显然是国家级的袭击,但您必须怀疑这些相同的行为者是否一直在探索医疗设备,以此来抑制我们在紧急情况下的医疗反应。我正在推测:我们没有证据表明发生了这种情况。但是话又说回来,如果它发生了,那么可能就不会有任何证据了,因为直到最近,我们还没有设计能够检测潜在网络安全事件的医疗设备和基础设施。

医疗设备中最常利用的漏洞是什么?

当我说“最容易利用的漏洞”时,对于任何安全领域的人来说都不会感到惊讶。攻击者将从明显的攻击者开始,然后逐渐变得更加复杂。开发人员的错误包括:

不安全的固件更新

我个人总是从软件更新开始,因为它们经常被错误地实施。攻击者在这里的目标是获得对固件的访问,目的是将其反向工程回易于读取的源代码,从而产生可广泛利用的漏洞(例如,影响世界上每台设备的漏洞)。所有固件更新方法都至少具有三个非常常见的潜在设计漏洞。他们是:

  • 公开二进制可执行文件(即未加密)
  • 使用添加的代码破坏了二进制可执行文件(即,没有完整性检查)
  • 回滚攻击将固件版本降级为具有已知可利用漏洞的版本(没有元数据传达版本信息)。

俯瞰物理攻击

可以进行物理攻击:

  • 通过不安全的JTAG / SWD调试端口
  • 通过边信道(电源监控,定时等)漏洞利用来公开加密密钥的值
  • 通过嗅探内部总线,例如SPI和I2C
  • 利用微控制器外部的闪存(20美元的电缆可使它转储所有内容)

启用制造支持

几乎每个医疗设备都需要某些功能才能在制造过程中使用。这些通常用于测试和校准,一旦设备完全部署,它们都不应该起作用。制造命令通常记录在用于维护的PDF文件中,并且通常在同一制造商内部的产品/型号系列之间只有很小的更改,因此,进行一点试验就可以使攻击者获得各种意想不到的功能。

没有通讯认证

仅仅因为通信介质连接了两个设备,并不意味着所连接的设备就是制造商或最终用户期望的设备。没有任何一种通信媒介具有固有的安全性;这是您在应用程序级别执行的操作,以确保安全。

低功耗蓝牙(蓝牙 )就是一个很好的例子。配对(或重新配对)之后,设备应立即始终执行挑战响应过程(利用密码原语)以确认其已与正确的设备配对。

我记得参加了一个带有BLE接口的新型II类医疗设备的舞台演示。在听众面前,我立即开始使用智能手机探索该设备。该设备没有身份验证(或授权),因此我能够执行BLE连接上公开的所有操作。当我突然意识到舞台上有些混乱,因为他们无法使他们的演示正常进行时,我迷上了这个界面:我不小心接管了该设备支持的唯一连接。 (然后,我迅速终止了连接,让他们继续演示。)

医疗设备制造商如果要生产安全的产品,必须牢记什么?

将安全性纳入您的开发文化有很多方面。这些活动可以大致归纳为促进产品安全性的活动,而不是传达错误的安全感并实际上浪费时间的活动。

大多数MDM可能需要理解和接受的最重要的事情是,他们的开发人员可能从未接受过网络安全方面的培训。大多数开发人员对如何将网络安全性纳入开发生命周期,在哪里投入时间和精力来保护设备,上市前提交所需的工件以及如何正确利用密码学的知识有限。在不知道细节的情况下,许多经理认为安全性已被适当地纳入公司开发生命周期的某个位置。大多数是错误的。

为了生产安全的产品,MDM必须遵循安全的“整个产品生命周期”,该周期始于开发的第一天,直到产品寿命终止或支持终止数年。

他们需要:

  • 了解在开发期间(设计,实施和通过第三方软件组件)经常引入漏洞的三个领域,以及如何识别,预防或缓解漏洞
  • 知道如何安全地将设备转移到生产环境中并在生产后对其进行安全管理
  • 识别MDM在设备供应链中的位置:不是在末端,而是在中间。 MDM’网络安全责任在整个链条中向上和向下延伸。他们必须通过合同方式对供应商实施网络安全控制,并且必须在报废之前和之后为其设备提供售后支持
  • 为所有产品(包括旧产品)创建和维护软件物料清单(SBOM)。现在进行这项工作将帮助他们保持法规领先,并从长远来看为他们节省金钱。

他们必须避免以下错误:

  • 不认为需要保护医疗设备
  • 假设他们的开发团队“可以”并且“正在”保护他们的产品
  • 没有设计-可以在现场更新设备
  • 假设可以通过现场更新来缓解所有漏洞
  • 仅考虑设计方面的安全性(例如,其无线通信协议)。安全性是一条链:要确保设备安全,链中的所有链接都必须安全。攻击者不会考虑目标设备的某些部分‘out of bounds’ for exploiting.

最终,安全性是关于保护MDM的业务模型的。这包括该法规规定的设备对患者的安全性和有效性,但也包括公众舆论,生意中断,假冒配件,知识产权被盗等。我看到公司经常犯的一个错误是尽最大努力降低安全性以获得监管批准,却忽略了在此过程中保护其其他业务利益的方法。–而忽略这些成本可能非常昂贵。

开发商呢?关于他们应该掌握或掌握的技能有什么建议吗?

首先,我想减轻开发人员的压力,他们说期望他们拥有如何在产品中实现网络安全的内在知识是不合理的。直到最近,网络安全还没有成为传统工程或软件开发课程的一部分。大多数开发人员需要网络安全方面的额外培训。

不仅是开发人员。通过创建诸如“防止勒索软件攻击”之类的系统级安全要求,项目管理很可能给他们带来了极大的伤害。开发团队应该如何处理该要求?它如何可行?

同时,让公司的网络或IT网络安全团队参与也不会自动解决。从发现到实施缓解,IT网络安全在很多方面与嵌入式网络安全有所不同。任何MDM都不会在短期内在由CR2032电池供电的设备上放置防火墙。但是,有一些方法可以保护这种资源不足的设备。

除了我们写的操作方法书之外, ent 不久将提供专门针对嵌入式设备领域的培训,旨在在开发团队中建立网络安全文化。我的大胆目标是,在5年内,我与之交谈的每个医疗设备开发人员都能够就保护医疗设备的各个方面进行明智的对话。

制造医疗设备的公司必须遵守哪些网络安全立法/法规?

这取决于您打算出售的市场。自2005年以来,美国食品药品监督管理局(FDA)完善了其医疗设备网络安全地位,而其他一些新近加入该法规的国家包括日本,中国,德国,新加坡,韩国,澳大利亚,加拿大,法国,沙特阿拉伯和更大的欧盟。

尽管所有这些法规都具有保护医疗设备的相同目标,但是它们之间的协调方式并没有什么不同。甚至抽象级别也各不相同,其中一些集中在流程上,而其他集中在技术活动上。

但是,所有这些法规中都有一些共同的概念,例如:

  • 风险管理
  • 软件物料清单(SBOM)
  • 监控方式
  • 通讯
  • “产品总生命周期”
  • 测验

但是,如果您打算在美国进行营销,那么两个最重要的文件应该是FDA’s:

  • 2018年–指南草案:医疗设备网络安全管理的上市前提交内容
  • 2016年–最终指南:医疗设备网络安全的上市后管理(2014年版的上市前提交的指南在很大程度上可以忽略,因为它不再代表FDA当前对新型医疗设备网络安全的期望)。
如果制造商想要正确实现网络安全,应遵循哪些好的标准?

医疗仪器进步协会’s standards are excellent. I recommend AAMI TIR57: 2016年and AAMI TIR97: 2019.

卫生保健也很好&公共卫生部门协调委员会(高压钠灯)联合安全计划。以及较小程度的NIST网络安全框架。

美国商务部/ NTIA在针对漏洞管理和上市后监视的SBOM定义方面所做的工作也非常好,值得关注。

存在哪些促进医疗设备网络安全的计划?

值得注意的举措’我们最熟悉的内容包括:首先是上述NTIA在SBOM方面的工作,现在已经是第二年了。 HSCC还有几个出色的工作组,包括Legacy Medical Device组和Healthcare Delivery Organizations安全合同语言组。我还要指出H-ISAC信息共享和分析组织(ISAO)中的许多工作组,包括“保护医疗设备生命周期”组。

我必须将FDA本身包括在这里,该文件正在修订其2018年上市前指南草案;我们希望在2021年初看到这项努力的结果。

您希望在未来3-5年内在医疗设备网络安全领域看到哪些变化?

高水平和低水平都发生了很多事情。例如,我希望看到FDA从国会获得更多直接授权以加强医疗设备的安全性。

此外,许多高才人才工作组正在研究改善设备安全性的方法,例如NTIA SBOM致力于提高医疗设备中软件“成分”的透明度,从而使最终用户能够快速评估其风险。发现新漏洞时的级别。

半导体制造商继续在硬件方面为我们提供出色的缓解工具,例如边通道保护,加密加速器,虚拟化安全内核。 Trustzone是一个很好的例子。

在应用程序级别,我们将继续看到更多更好的打包工具,例如密码库和流程,以帮助开发人员避免密码错误。此外,我们还会看到更多更好的处理工具,可以自动将安全控件应用于设计。

HDO和其他医疗设备购买者比以往任何时候都可以更好地了解嵌入式网络安全功能和最佳实践。这种趋势将继续下去,并将进一步加速对安全性更高的产品的需求。

我希望看到在最近发布的所有联邦,州和外国法规与目前正在考虑的法规之间进行协调的努力。

可以肯定的一件事是:’只有当我们可以用设计安全的新医疗设备代替它们时,安全性才会消失。将新设备推向市场需要很长时间。正在进行许多伟大的创新,但实际上,我们才刚刚开始!

分享这个