FDA Stückliste erstellt eine cybersecurity-blind spot für medizinische Geräte

Die FDA cybersecurity bill of materials hat große Auswirkungen – sowohl gute als auch schlechte – für healthcare-provider-Organisationen, IT-und security-teams.

Es mag zwar ein no-brainer, um den Herstellern ermöglichen, den Zugang zur Aktualisierung Ihrer firmware, die in medizinischen Geräten zur Verbesserung der cybersecurity, die Tür öffnen, die Geräte stellt eine widersprüchliche Reihe von Herausforderungen.

Der Entwurf der bill of materials-Leitfaden richtet sich an, dass die Hersteller weitergeben der software anderer Anbieter, die Sie verwenden können, zusätzlich zu Ihrer eigenen software/firmware. Die Absicht ist, geben die IT-security-Personal mehr Kontext auf die software des Geräts.

(Auf ein zugehöriger Hinweis, die FDA hat einen Sicherheitshinweis herausgegeben Kommunikation – richtet sich an Organisationen im Gesundheitswesen, IT-Experten, Gerätehersteller und Patienten – Warnung der cybersecurity Schwachstellen bekannt als DRINGEND/11. Das Risiko, sagte FDA-Beamten in der Kommunikation, ist, dass DRINGENDE/11, sofern Sie ausgenutzt werden-durch einen entfernten Angreifer, darstellen können, Sicherheit und Sicherheitsrisiken für vernetzte medizinische Geräte und Krankenhaus-Netzwerke.)

Einrichten Risikominimierung Kontrollen

Der Gesetzentwurf von Materialien hilft die Bereitstellung von end-Nutzer relevanten Informationen, um Schwachstellen und Tipp Sie ab, dass es dauern kann ein paar Wochen für einen patch ausgegeben werden. Es wird damit die Endanwender einrichten Risikominimierung Kontrollen auf diese Geräte, bis der Verkäufer kann einen patch.

„Allerdings sind Unternehmen oft nicht bewusst, dass die software/firmware-Kauf hat software oder code, die von einem anderen Hersteller“, sagte Wayne Dorris, business development manager cybersecurity bei Axis Communications, eine Sicherheits-Technologie-Hersteller. “Zum Beispiel, bei Axis Communications, wir verwenden Linux als Betriebssystem für die meisten unserer Geräte. Wenn eine Linux-Schwachstelle Auswirkungen Achse, unser job ist die Ausgabe ein patch als ein update der firmware.“

„CIOs und CISOs müssen offen sein, um die Segmentierung diese Geräte von einem anderen Ansatz.“

Wayne Dorris, Axis Communications

Linux ist verantwortlich für die Berichterstattung, dass die Anfälligkeit für das Common Vulnerabilities and Exposure (CVE) zu melden. Das Problem wird dann, dass die Achse die Benutzer nicht unbedingt bewusst Schwachstellen in Linux-software, weil es entweder nicht auf das Produkt, das Sie verwenden, oder Sie haben nicht geprüft Linux CVE-Bericht.

Diese Rechnung scheint ein Licht auf, dass Kreuzungs-und dass die Benutzer dazu ermutigt zu bezahlen Aufmerksamkeit auf die CVEs von einer Produkt-Hersteller-Perspektive als auch als software-Anbieter, Dorris sagte.

Einige der großen IT-Herausforderungen

„Doch, das Gesetz hat vor einigen großen IT-Herausforderungen für die medizinische Industrie“, betonte er. “Der Gesetzesentwurf sieht vor, dass der Hersteller die Offenlegung aller software-Partner beteiligt, die in medizinischen Geräten, wenn der Geräte-Antrag bei der FDA zur Genehmigung vor. Aber der lange die FDA-Zulassung Prozess, der sich oft Ergebnisse, die in Geräten oder Lösungen fallen gelassen werden, bessere Möglichkeiten, was die frühe Veröffentlichung der software-Partner nutzlos.“

Herausforderungen entstehen auch, da der Hersteller verantwortlich für das aktualisieren von firmware/software für ein Gerät ist nicht immer physisch anwesend, an jedem Krankenhaus, mit dem Sie arbeiten. Weil dieses, Updates per Fernwartung, möglicherweise das öffnen einer Tür für einen Angreifer.

Die Rechnung, während scheinbar positiv für die cyber-Gesundheit ein Gerät, eigentlich schafft mehr Möglichkeiten für eine cyber-Verletzung, Dorris erklärte. CIOs und CISOs müssen Sie shift Ihre cybersecurity-Ansatz zur Aufrechterhaltung einer sicheren Netzwerk, während immer noch das öffnen der virtuellen Tür zu Hersteller entsprechende updates, riet er.

„Vergangenheit Ansätze, wie die CA-Zertifikate und VPNs, sind funktionell, aber nicht auf der Ebene der Netzwerk medizinische Geräte im Krankenhaus-und kann teuer sein, von einer Implementierung und Wartung Standpunkt“, sagte er. „IT-security-Abteilungen sind bereits unterbesetzt und überfordert sind mit Ihrer aktuellen Arbeitsauslastung, die die Frage stellt,“ Wer wird halten Sie sich die Access Control Liste und verwalten Sie die revoke-und Ablauf-Liste auf der CA-Zertifikate?'“

Neue Ansätze werden benötigt

CIOs und CISOs sollten versuchen, neue Ansätze wie Zero-Trust-Netzwerke, Layer 2 über Layer 3-Verschlüsselung und hardware root of trust, das ein problem in diesem Maßstab, riet er.

Die größte Sorge bei der Auflistung von software-Abhängigkeiten ist der Wettbewerb in der Medizintechnik-community, Dorris verwarnt.

„Es gibt eine Menge Feingefühl um software-partner Angaben, die früh im Prozess aus Angst vor einem Konkurrenten wählen können, die selben Anbieter oder buy-out-die Hersteller machen Ihr eigenes Gerät mehr lebensfähig“, sagte er. „Eine bessere Möglichkeit wäre es, für die Offenlegung zu kommen, nach dem Genehmigungs – oder direkt an den Endkunden Kauf des Gerätes.“

Da die Hersteller benötigen remote-Zugriff von jedem Gerät, es eröffnet neue Ansatzpunkte für Cyberattacken. Das wäre so, als wenn jemand eingesperrt ein Gebäude, sondern ließ alle Fenster öffnen. Schließlich den Eintrag mehr Punkte zur Verfügung stehen, desto wahrscheinlicher ist eine Organisation erleben Bedrohungen. Es wird eine Menge zu planen, sichern Sie jede Verbindung und zu umgehen Angreifer in die Hände bekommen-auf Patientendaten.

Einen anderen Ansatz zur Segmentierung

„CIOs und CISOs müssen offen sein, um die Segmentierung diese Geräte von einem anderen Ansatz,“ Dorris geraten. “Zur Vermeidung von unerwünschten Verletzungen, Abdichtung Geräte in Ihre eigenen kryptographischen tunnel notwendig sein. Netzwerk-security-Hersteller mit Ihren eigenen einzigartigen hardware root of trust, zero-trust-networks und layer 2 über layer 3-Verschlüsselung-Fähigkeiten kann eine Lösung sein.“

Insgesamt, die Art und Weise Schwachstellen verwaltet werden, wird sich ändern müssen. Viele Organisationen sind in der Common Vulnerabilities and Exposure überlast-und konzentrieren Sie sich nur auf die kritischen und wichtigen Sicherheitslücken, die kommen auf einen scan, Dorris erklärte. In der Erwägung, threat intelligence helfen kann, bietet Kontext und bedrohlich auf die Jagd kann, die weitere Vorteile bieten, Schloss er.

Twitter: @SiwickiHealthIT
E-Mail der Autorin: [email protected]
Healthcare-IT-News ist die HIMSS Media-Publikation.