Proteção de dispositivos médicos conectados à Internet

Leões, tigres e ursos - Oh meu Deus!

Após a chegada em uma paisagem desconhecida em O Mágico de Oz , Dorothy observou, "Toto, tenho a sensação de que não estamos mais no Kansas." Encontros com macacos voadores, companheiros deficientes em órgãos, munchkins alegres e uma bruxa avessa à água logo se tornaram seu novo normal.

Para nós, o novo normal envolve a adoção acelerada de dispositivos médicos conectados à Internet e modelos de atendimento virtuais - a "internet de coisas médicas" ou IoMT, que é definida pela Deloitte como uma "infraestrutura conectada de dispositivos médicos, aplicativos de software e saúde sistemas e serviços. ”

A demanda global por dispositivos médicos - tanto de consumidores individuais quanto de provedores de saúde - é enorme. Nos EUA, esse mercado foi estimado em US $ 160,8 bilhões em 2019 e deve chegar a US $ 176 bilhões em 2020. Enquanto isso, um relatório publicado pela empresa de pesquisa Fior Markets espera um crescimento no mercado global de conectividade de dispositivos médicos de US $ 1,63 bilhões em 2019 para US $ 8,76 B em 2027.

Está vivo!

Em outra história famosa, o Barão Victor Frankenstein, o médico louco de Mary Shelley, usou técnicas de costura simples para juntar as várias partes do corpo de sua criatura, que ele então ativou com a versão do século 19 da eletroconvulsoterapia. A tecnologia no século 21 ainda não alcançou essa capacidade, embora os transplantes, recolocações, próteses e implantes - muitos dos quais são "inteligentes" (ou seja, conectados) ou fabricados usando fabricação aditiva e ferramentas de impressão 3D - não são incomuns.

Por causa disso, a IoMT representa um aspecto mais pessoal da convergência ciberfísica do que aquele visto em outros aplicativos da IoT - eles entram em nossa "zona de confiança" física íntima. A segurança e a privacidade do paciente podem ser afetadas se um dispositivo ou o processo de fabricação de um dispositivo for comprometido. Esse potencial gerou preocupações sobre o uso ético e a capacidade técnica para proteger a privacidade, a segurança cibernética e o desempenho de dispositivos essenciais.

Gerenciar a infraestrutura IoMT de forma eficaz requer a consideração de muitas partes móveis, muitas vezes autônomas, incluindo:

• Controle de qualidade no processo de fabricação.
• Interoperabilidade de informações médicas armazenadas em vários dispositivos.
• Dependência de armazenamento em nuvem e plataforma de software.
• Monitoramento de comunicações de rede.
• Atendendo às expectativas dos profissionais médicos.

A IoMT faz cada vez mais parte do tecido da nossa vida. Construir privacidade de dados, integridade de dispositivo e resiliência cibernética no projeto e fabricação de dispositivos e equipamentos médicos é essencial.

Para quem você vai ligar?

Os cientistas excêntricos em Ghostbusters usou truques parapsicológicos para descobrir espectros indesejáveis. Padrões e diretrizes ¹ para fabricantes de dispositivos médicos, trate de colaboração, problemas de qualidade, gerenciamento de risco e segurança, cenários de casos de uso e práticas de esboço para identificar e erradicar qualquer comportamento “fantasma” inesperado em dispositivos médicos. Isso ajuda a melhorar o controle sobre o desempenho do dispositivo “conforme projetado” e “conforme construído” (mesmo se o controle sobre os dispositivos “conforme usado” for mais difícil).

O Fórum Internacional de Reguladores de Dispositivos Médicos (IMDRF), uma organização voluntária, montou um Grupo de Trabalho de Segurança Cibernética de Dispositivos Médicos, que lançou seus “Princípios e Práticas para Segurança Cibernética de Dispositivos Médicos” em março de 2020.

Este documento não aborda a segurança cibernética dentro da empresa em si, mas discute a responsabilidade dos fabricantes de dispositivos médicos de melhorar a resiliência da segurança cibernética do produto, remediar vulnerabilidades e mitigar riscos por meio dos estágios de projeto / desenvolvimento, fabricação, teste e suporte / monitoramento pós-mercado de o ciclo de vida total do produto (TPLC). Suas recomendações para os fabricantes incluem o desenvolvimento de um plano de gerenciamento de segurança cibernética TPLC para abordar o seguinte:

• Consciência situacional.
• Divulgação de vulnerabilidade.
• Atualizações e remediação.
• Recuperação.
• Provas de que o fabricante está se mantendo informado sobre as vulnerabilidades divulgadas e compartilhando as que identificou.

Uma técnica de gerenciamento de risco em particular que pode ser útil é a modelagem de ameaças. O Open Web Application Security Project (OWASP) recomenda que os fabricantes façam as seguintes quatro perguntas durante o design e o desenvolvimento:

1. O que estamos construindo?
2. O que pode dar errado (por exemplo, como poderia ser atacado)?
3. O que vamos fazer sobre isso?
4. Fizemos um trabalho bom o suficiente?

O planejamento e a construção da resiliência da segurança cibernética em dispositivos médicos em todo o TPLC, desde a definição dos requisitos de desempenho até a entrega e retirada do serviço, resultará em produtos que merecem nossa confiança.

Eles estão Heeeeeere!

Poltergeist explora as interrupções criadas quando atividades comerciais com fins lucrativos ignoram preocupações éticas e humanistas e tomam atalhos que levam a consequências não intencionais e danos colaterais. A comunidade de partes interessadas colaborou em uma iniciativa para evitar tais interrupções no setor de fabricação de dispositivos médicos, que se enquadra em dois dos 16 setores de infraestrutura crítica identificados na Diretiva de Política Presidencial 21 (PPD-21):cuidados de saúde e saúde pública e fabricação crítica . Além disso, em 2015, o Congresso dos EUA aprovou a Lei de Segurança Cibernética de 2015 (CSA), que inclui requisitos para alinhar as abordagens de segurança do setor de saúde.

O Grupo de Trabalho Conjunto de Segurança Cibernética do Conselho de Coordenação do Setor Público e de Saúde, uma parceria público-privada com o Departamento de Saúde e Serviços Humanos dos EUA, lista as melhores práticas técnicas para fabricantes de dispositivos médicos, incluindo:

• Minimize as superfícies de ataque.
• Estabeleça padrões e configurações seguras.
• Manter auditoria e prestação de contas.
• Siga os princípios do menor privilégio, separação de funções e defesa em profundidade.
• Falha com segurança.
• Mantenha a segurança simples e corrija os problemas de segurança.

Qualquer pessoa que tenha trabalhado com os requisitos de controle de segurança do NIST SP 800-171 reconhecerá os elementos de suas 14 famílias de controle capturados no resumo de melhores práticas acima. Eles são testados e comprovados - e fundamentais para uma confiança informada, em vez de cega.

Seja prevenindo atalhos desastrosos, contendo fantasmas maliciosos (ou esquilos), ou juntando uma solução de dispositivo de vários nós, no que diz respeito a dispositivos médicos, estamos em um novo normal. Felizmente, podemos passar para uma relação mais segura e mais consciente com a tecnologia. Precisamos apenas nos aprofundar no roteiro do filme IoMT para entender as partes componentes, como eles interagem e como evitar contratempos.



Este blog é parte de uma série publicada no National Cybersecurity Awareness Month (NCSAM). Outros blogs da série incluem Criando uma cultura de segurança de Celia Paulsen, If You Connect It, Protect It de Zane Patalive, Suspicious Minds:Non-Technical Signs Your Business Pode Ter sido Hacked por Pat Toth e The Future of Connected Devices de Erik Fogleman e Jeff Orszak.

---

^{1 Exemplos:Association for Advancement of Medical Information (AAMI) - https://www.aami.org/medical-device-manufacturer; Food and Drug Administration - https://www.fda.gov/medical-devices/digital-health-center-excellence/cybersecurity#guidance; Comissão Eletrotécnica Internacional (IEC) - https://www.iec.ch/perspectives/government/sectors/medical_devices.htm; Organização Internacional de Padronização (ISO) - https://www.iso.org/iso-13485-medical-devices.html; Underwriters Laboratories (UL) - https://www.ul.com/resources/healthcare-standards-directory}