客人列| 2019年4月1日

医疗设备材料的网络安全法案:下一步是什么?

作者:萨加尔·帕特尔,巴特尔

medical-device-innovation-SP-updated

美国食品和药物管理局(FDA)发表了上市前网络安全指导的更新草案2018年10月。作为更新的一部分,FDA介绍了医疗器械的网络安全概念(CBOM)。

医疗设备制造商(MDMs)在设备上市前提交的拟议材料清单将是“一份商业的、开源的和现成的软件和硬件组件清单,以使设备用户(包括患者、护理提供者和医疗保健交付组织(HDOs))能够使用这些组件。为了有效地管理他们的资产,了解已识别的漏洞对设备(以及连接的系统)的潜在影响,并部署对策以维持设备的基本性能,”该指南指出。虽然mdm在不同程度上使用了软件和硬件材料清单,但这里的目的是将两者置于同一伞下。

其余的更新草案侧重于MDMS可以利用CBOM,以改善流程和产品 - 并大大遵守FDA的市场后网络安全指导。在一个非常高的级别,CBOM将包含软件组件(专有和开源)和硬件组件的列表以及它们各自的版本号(如果可用)。

硬件供应链管理

管理一个健康的硬件供应链一直是整个科技行业的重点,主要是由担心国外硬件制造商操纵电子芯片,在系统中添加后门。在没有跟踪硬件组件供应链信息的情况下,MDM可能会使用带后门的芯片,这可能会让恶意软件/勒索软件不受限制地访问设备及其资源。

这样的后门可能被用于大规模的数据盗窃,传播勒索软件,或者作为僵尸网络的一部分。此外,美国国土安全部将医疗保健和公共卫生部门归类为其中之一16个关键基础设施部门他们的资产、系统和网络被认为对美国至关重要。

在这种情况下,包含硬件材料清单的CBOM可以帮助监管机构、用户和mdm验证和/或有效管理医疗设备中关键组件的供应链。这也将使mdm在其设备防伪工作中全面确保供应链中没有假冒部件。

软件的依赖性管理

在软件中越来越复杂可以快速螺旋地失控,特别是当开发人员没有意识到他们在系统中包括第三方商业或开源软件的依赖图时。可以利用含有综合软件材料清单的CBOM来识别和管理软件依赖性。想想2014年openssl图书馆发现的智慧脆弱性;作为制造商,了解您的产品包含的特定版本(1.0.1)Openssl易受Heldbleed允许您有效地应用对策。

此外,CBOM可以集成到设备开发生命周期中,以便在开发人员包含有漏洞或包含脆弱依赖项的第三方软件时提醒开发人员。这对从一开始就将安全性引入设备开发大有帮助。维护CBOM的另一个好处是有效管理软件许可证。合作努力正在对与软件包相关的组件、许可证和版权相关的信息如何通信进行标准化。

自动化的脆弱性搜索

电子易消化的CBOM可以周期性地交叉参考国家漏洞数据库(NVD)或类似的公开漏洞数据库,以自动化漏洞监控和警报。如果在设备中使用的特定软件依赖性或硬件芯片中发现了漏洞,则可以警告制造商,并且可以及时采取必要的步骤。

这是一个示例场景:在广泛使用的蓝牙通信协议栈中发现了允许攻击者靠近更改设备的配置的漏洞。如果用户已及时发出警告,则可以禁用功能,直到MDM颁发官方推荐或修补程序以修复漏洞。

库存/资产管理

对于HDO,小而大,典型的痛点正在管理连接到他们网络的数千个医疗设备。传统的远程扫描仪有时会中断使用设备,提高患者安全问题。具有与HDO采购的每个设备相关联的CBOM变得至关重要。如果使用特定软件/硬件在特定设备中发现漏洞,则可以从网络的其余部分隔离,及时从网络中取出,或者如果制造商已发布修补程序,则更新其软件.

软件更新

许多遗留医疗设备不采用任何软件更新机制。向设备提供修补程序或错误修复实际上是不可能的,而不发出召回或在现场发送服务人员以手动提供更新。增加医疗设备中的连接采用帮助设备制造商远程提供软件更新/修补程序,但如果开发人员不知道软件运行该设备,则几乎不可能发布及时的安全性咨询或生成漏洞的补丁。这就是CBOM可以帮助设备制造商保持跟踪所有软件,其版本信息,源(商业与开源)和依赖项的情况,以便他们可以生成修补程序或联系第三方进行补丁当发现漏洞时。

担心

一些医疗设备制造商对在510(k)或上市前批准包中强制使用cbm提出了担忧。其中一些担忧包括:

  • 在使用中的软件库和硬件组件的机密性丢失
  • 由于必须披露专有软件的细节和依赖关系而造成的知识产权的潜在损失
  • 任何有CBOS列表的人都会知道哪些设备易受攻击,减少潜在黑客可能必须进入逆向工程软件的努力
  • 对于材料清单中需要多少深度缺乏指导。例如,像电阻或电容这样的微小硬件部件是否需要报告?

FDA是积极与该行业合作通过行业反馈和讨论,加强其中几个领域的网络安全指导。此外,其他利益相关方,如美国国家电信和信息管理局(NTIA)正在与工业界、非营利组织和供应商合作,探索一种软件材料清单的概念验证格式。最后,NTIA建立了一个软件组件透明度倡议,这涉及医疗保健的行业集团,致力于为软件材料清单格式创造标准化证明。

通过各种利益攸关方的综合努力,希望能够减轻其中一些问题。

关于作者:

萨加尔·帕特尔(Sagar Patel)是网络安全负责人伯特立DeviceSecure服务.除了使用设备制造商外,SAGAR负责开发新的测试工具集,对新颖的渗透测试技术进行研究,并与产品开发团队合作,以实现内部产品开发的安全方面。Sagar是AAMI设备安全工作组的投票成员,有助于医疗设备的安全指导和标准。