Protección de dispositivos médicos conectados a Internet

Leones, tigres y osos:¡Dios mío!

Al llegar a un paisaje desconocido en El mago de Oz Dorothy observó:"Toto, tengo la sensación de que ya no estamos en Kansas". Los encuentros con monos voladores, compañeros con deficiencias de órganos, munchkins alegres y una bruja reacia al agua pronto se convirtieron en su nueva normalidad.

Para nosotros, la nueva normalidad implica la adopción acelerada de dispositivos médicos conectados a Internet y modelos de atención virtual:el "Internet de los elementos médicos" o IoMT, que Deloitte define como una "infraestructura conectada de dispositivos médicos, aplicaciones de software y servicios de salud. sistemas y servicios ".

La demanda mundial de dispositivos médicos, tanto de consumidores individuales como de proveedores de atención médica, es enorme. En los EE. UU., Ese mercado se estimó en $ 160.8 mil millones en 2019 y se prevé que alcance los $ 176 mil millones en 2020. Mientras tanto, un informe publicado por la firma de investigación Fior Markets esperaba un crecimiento en el mercado global de conectividad de dispositivos médicos de $ 1.63 mil millones en 2019 a $ 8.76 B en 2027.

¡Está vivo!

En otra famosa historia, el barón Victor Frankenstein, el médico loco de Mary Shelley, utilizó técnicas de costura simples para unir las diversas partes del cuerpo de su criatura, que luego activó con la versión del siglo XIX de la terapia electroconvulsiva. La tecnología del siglo XXI aún no ha logrado esta capacidad, aunque no son infrecuentes los trasplantes, las reinserciones, las prótesis y los implantes, muchos de los cuales son "inteligentes" (es decir, conectados) o se fabrican con herramientas de fabricación aditiva y de impresión 3D.

Debido a esto, IoMT representa un aspecto más personal de la convergencia ciberfísica que el visto en otras aplicaciones de IoT:ingresan a nuestra íntima "zona de confianza" física. La seguridad y la privacidad del paciente pueden verse afectadas si se compromete un dispositivo o el proceso de fabricación de un dispositivo. Tal potencial ha generado preocupaciones sobre el uso ético y la capacidad técnica para proteger la privacidad, la ciberseguridad y el rendimiento esencial del dispositivo.

La gestión eficaz de la infraestructura de IoMT requiere la consideración de muchas partes móviles, a menudo autónomas, que incluyen:

• Control de calidad en el proceso de fabricación.
• Interoperabilidad de la información médica almacenada en varios dispositivos.
• Dependencia del almacenamiento en la nube y la plataforma de software.
• Supervisión de las comunicaciones de la red.
• Cumplir con las expectativas de los profesionales médicos.

IoMT es cada vez más parte de nuestro tejido vital. Es fundamental incorporar la privacidad de los datos, la integridad de los dispositivos y la resistencia cibernética en el diseño y la fabricación de dispositivos y equipos médicos.

¿A quién vas a llamar?

Los científicos excéntricos de Cazafantasmas utilizó trucos parapsicológicos para descubrir espectros no deseados. Estándares y directrices ¹ Los fabricantes de dispositivos médicos abordan la colaboración, los problemas de calidad, la gestión de riesgos y seguridad, los escenarios de casos de uso y las prácticas delineadas para identificar y erradicar cualquier comportamiento "fantasmal" inesperado en los dispositivos médicos. Esto ayuda a mejorar el control sobre el rendimiento del dispositivo "tal como se diseñó" y "tal como se construyó" (incluso si el control sobre los dispositivos "tal como se usa" es más difícil de alcanzar).

El Foro Internacional de Reguladores de Dispositivos Médicos (IMDRF), una organización voluntaria, reunió un Grupo de Trabajo de Ciberseguridad de Dispositivos Médicos, que publicó sus “Principios y Prácticas para la Ciberseguridad de Dispositivos Médicos” en marzo de 2020.

Este documento no aborda la ciberseguridad dentro de la propia empresa, pero sí analiza la responsabilidad de los fabricantes de dispositivos médicos para mejorar la resiliencia de la ciberseguridad del producto, remediar vulnerabilidades y mitigar el riesgo a través de las etapas de diseño / desarrollo, fabricación, pruebas y soporte / seguimiento posterior al mercado de el ciclo de vida total del producto (TPLC). Sus recomendaciones para los fabricantes incluyen el desarrollo de un plan de gestión de ciberseguridad TPLC para abordar lo siguiente:

• Conciencia de la situación.
• Divulgación de vulnerabilidades.
• Actualizaciones y remediación.
• Recuperación.
• Evidencia de que el fabricante se mantiene informado sobre las vulnerabilidades reveladas y comparte las que ha identificado.

Una técnica de gestión de riesgos en particular que puede resultar útil es el modelado de amenazas. El Proyecto de seguridad de aplicaciones web abiertas (OWASP) recomienda que los fabricantes hagan las siguientes cuatro preguntas durante el diseño y desarrollo:

1. ¿Qué estamos construyendo?
2. ¿Qué puede salir mal (p. ej., cómo podría ser atacado)?
3. ¿Qué vamos a hacer al respecto?
4. ¿Hicimos un trabajo suficientemente bueno?

La planificación y el desarrollo de la resiliencia de la ciberseguridad en los dispositivos médicos en todo el TPLC, desde la definición de los requisitos de desempeño hasta la entrega y el retiro del servicio, dará como resultado productos que merecen nuestra confianza.

¡Están Heeeeeere!

Poltergeist explora las interrupciones creadas cuando las actividades comerciales con fines de lucro ignoran las preocupaciones éticas y humanistas y toman atajos que conducen a consecuencias no deseadas y daños colaterales. La comunidad de partes interesadas ha colaborado en una iniciativa para prevenir tales interrupciones en el sector de fabricación de dispositivos médicos, que se incluye en dos de los 16 sectores de infraestructura crítica identificados en la Directiva de Política Presidencial 21 (PPD-21):atención médica y salud pública, y fabricación crítica. . Además, en 2015, el Congreso de EE. UU. Aprobó la Ley de ciberseguridad de 2015 (CSA), que incluye requisitos para alinear los enfoques de seguridad de la industria de la atención médica.

El Grupo de Trabajo Conjunto de Ciberseguridad del Consejo de Coordinación del Sector Público y de Salud, una asociación público-privada con el Departamento de Salud y Servicios Humanos de EE. UU., Enumera las mejores prácticas técnicas para los fabricantes de dispositivos médicos, que incluyen:

• Minimice las superficies de ataque.
• Establezca valores predeterminados y configuraciones seguras.
• Mantenga la auditoría y la responsabilidad.
• Siga los principios de privilegio mínimo, separación de deberes y defensa en profundidad.
• Fallar de forma segura.
• Mantenga la seguridad simple y solucione los problemas de seguridad correctamente.

Cualquiera que haya trabajado con los requisitos de control de seguridad NIST SP 800-171 reconocerá los elementos de sus 14 familias de control capturados en el resumen de mejores prácticas anterior. Son probados y verdaderos, y fundamentales para la confianza informada en lugar de ciega.

Ya sea para prevenir atajos desastrosos, que contengan fantasmas maliciosos (o ardillas) o unir una solución de dispositivo de múltiples nodos, con respecto a los dispositivos médicos, estamos en una nueva normalidad. Afortunadamente, podemos avanzar hacia una relación más segura y más consciente con la tecnología. Solo necesitamos profundizar más en el guión de la película de IoMT para comprender los componentes, cómo interactúan y cómo evitar contratiempos.

Este blog es parte de una serie publicada para el Mes Nacional de Concientización sobre Ciberseguridad (NCSAM). Otros blogs de la serie incluyen Creando una cultura de seguridad de Celia Paulsen, If You Connect It, Protect It de Zane Patalive, Suspicious Minds:Non-Technical Signs Your Business Pude Hackeado por Pat Toth y The Future of Connected Devices de Erik Fogleman y Jeff Orszak.

^{1 Ejemplos:Asociación para el Avance de la Información Médica (AAMI) - https://www.aami.org/medical-device-manufacturer; Administración de Alimentos y Medicamentos:https://www.fda.gov/medical-devices/digital-health-center-excellence/cybersecurity#guidance; Comisión Electrotécnica Internacional (IEC):https://www.iec.ch/perspectives/government/sectors/medical_devices.htm; Organización Internacional de Normalización (ISO):https://www.iso.org/iso-13485-medical-devices.html; Underwriters Laboratories (UL):https://www.ul.com/resources/healthcare-standards-directory}