FDA убеждает производителей медицинских устройств, и медицинские учреждения, дабы удостовериться в том месте существуют надлежащие обеспечения, дабы обезопасисть их медицинские устройства от кибер угроз.FDA (Управление по контролю за лекарствами и продуктами) сообщила в четверг, что его предупреждение направлено специфично на инженеров-биомедиков, IT здравоохранения и штат приобретений, пользовательские средства медицинского устройства, производителей и больницы медицинского устройства.Кибер приступ возможно позван, в то время, когда *вредоносное ПО вводится в медицинское оборудование, и лишенных полномочий людей, приобретающих доступ к параметрам настройки конфигурации в оборудовании и стационарных сетях.*Вредоносное ПО есть программным обеспечением, создающимся, дабы отключить либо повредить компьютерные системы и компьютеры, т.е. злонамеренное ПО.
Большая часть медицинских устройств сейчас содержит залитые компьютерные совокупности, каковые конфигурируемы, означая, что их возможно поменять либо щипнуть, делая их уязвимыми для кибернарушений правил безопасности.Угроза стала более важной за прошлые пятнадцать лет, потому, что растущее число медицинских устройств соединяется через стационарные сети, Интернет, смартфоны и другие медицинские устройства.
Любой новый тип связи увеличивает их уязвимость до вредоносных атак.FDA говорит, что определила следующие уязвимости семь дней и инциденты довольно стационарных медицинских устройств и сетевых операций:Медицинские устройства, формирующиеся и/либо связывающиеся с сетью, отключаемой вредоносным программным обеспечениемВредоносные смартфоны поликлиники проникновения, планшеты, другие мобильные устройства, применяющие разработку Wi-Fi, для получения доступа к информации больного, внедрили устройства больного и стационарные компьютеры
Отсутствие надлежащей безопасности относительно паролей, отключенных паролей и тяжело закодированных паролей для ПО предназначило для отобранного персонала, для того чтобы как обслуживание, технический либо административный штатНе систематично обновляя медицинское устройство и сетевое ПО
Не обращаясь к уязвимостям в устаревших устройствах (более ветхие медицинские устройства)не сильный места безопасности в стандартном программном обеспечении, которое, как предполагается, предотвращает несанкционированную сеть либо доступ устройства, таковой как тяжело закодированные пароли, простой текст либо никакая идентификация, бедная coding/SQL зараза и задокументированные сервисные квитанции в руководствах по эксплуатацииДо сих пор FDA не взяла отчетов определенных совокупностей либо устройств в клиническом сознательно предназначаемом применении, и наряду с этим это не знает ни о каких ранах больного либо смертельных случаях, вызванных этими инцидентами.Согласно данным FDA, другие власти и американское здоровье, компании и медицинское устройство-разработчики ПО кооперировались близко, дабы снять риск кибер приступов.
Какие конкретно действия FDA рекомендует?Большой процент медицинских устройств содержит конфигурируемые положенные компьютерные совокупности, каковые являются потенциальными целями кибер угроз.Советы для производителей устройства
Это – ответственность производителей медицинского устройства быть в отыскивании потенциальных рисков и опасностей, которые связаны с их продуктами, включая киберугрозы безопасности. Они кроме этого важны за диагностику, что адекватное смягчение существует, дабы обеспечивать безопасность больных и удостовериться, что устройство делает подобающим образом.Производители медицинского устройства должны удостовериться, что несанкционированный доступ к их продуктам делает не вероятно.
FDA написала в сетевом коммюнике «Специфично, мы рекомендуем, дабы производители разглядели собственную практику кибербезопасности и политику обеспечивать, что адекватные обеспечения существуют, дабы не допустить несанкционированный доступ либо модификацию к их медицинским устройствам либо компромиссу безопасности стационарной сети, которая возможно связана с устройством. Степень, до которой нужны контрольные группы безопасности, будет зависеть от медицинского устройства, его среды применения, вероятности и типа рисков, которых этому подвергают, и возможные риски для больных от нарушения правил безопасности».В то время, когда устройство оценивается, следующее необходимо разглядеть:Шаги должны быть сделаны, дабы удостовериться, лишь положил, что у пользователей имеется доступ к устройству и никому больше, в особенности устройства, каковые поддерживают больных либо могли быть связаны конкретно со стационарными сетями.
Предпримите шаги, дабы обезопасисть любой компонент от эксплуатации. Создайте стратегии для активной защиты безопасности, каковые подходят и настоящи для среды применения устройства. Эти стратегии должны включать своевременное развертывание простых, утвержденных системы и пятен безопасности, требующие заверенного кодекса для микропрограммных обновлений и программного обеспечения.
Критическая функциональность медицинского устройства есть высшим приоритетом, удостоверьтесь, что подходы дизайна принимают к сведенью это. Кроме того в случае если устройство поставилось под угрозу, качественные методы должны быть включены, дабы утверждать что критическая функциональность.Должны быть способы для восстановления и задержания по окончании инцидента, воздействующего на безопасность. «Инциденты кибербезопасности все более и более возможны, и производители должны разглядеть замыслы реагирования на инциденты, обращающиеся к возможности ухудшенной операции и восстановления и эффективного восстановления».
Советы для поликлиник и других медучрежденийМедицинские учреждения должны предпринять шаги, дабы оценить их сетевую безопасность и обезопасисть их стационарные совокупности. Следующее необходимо разглядеть при оценке сетевой безопасности:
Доступ к сетевым сетям и медицинским устройствам в целом должен быть ограничен уполномоченным персоналом и никем больше.Брандмауэры и противовирусное ПО должны систематично обновляться.Сетевая активность обязана всегда проверяться для несанкционированного применения.
Отдельные сетевые компоненты должны иногда оцениваться как режим. Это включает пятна безопасности обновления и выведение из строя всех ненужных портов и одолжений.
В случае если стационарное либо медицинское учреждение имеет либо подозреваемые, в том месте неприятность кибербезопасности с медицинским устройством, с производителем необходимо срочно связаться. FDA и ICS-СВИДЕТЕЛЬСТВО DHA имели возможность бы быть в состоянии оказать помощь в решении отчетов и создании уязвимости, если не вероятно выяснить, кто производитель, либо в случае если с производителем нельзя связаться.На протяжении негативных условий принципиально важно, дабы оборудование поддержало критическую функциональность. Медицинские учреждения должны развить и оценить стратегии непредвиденного события.
FDA говорит, что выпустила управление проекта о том, как производители медицинского устройства должны обратиться к кибербезопасности при представлении их продуктов для одобрения (предварительный рынок). Это кроме этого имеет управление о том, как производители должны иметь дело с кибервопросами безопасности относительно устройств, применяющих стандартное ПО.
FDA требует, дабы медицинские учреждения и производители сказали о проблемахДабы лучше осознать риск, который связан с медицинскими устройствами, FDA убеждает производителей и пользователей устройства сказать о любых нежелательных явлениях скоро Агентству. «Если Вы подозреваете, что событие кибербезопасности оказало влияние на производительность медицинского устройства либо оказало влияние на стационарную сетевую совокупность, мы поощряем Вас регистрировать необязательный отчет через MedWatch, данные о Безопасности FDA и программу Создания отчетов Нежелательного явления».Персонал здравоохранения обязан направляться процедурам отчетности, установленным их средствами. Производители медицинских устройств должны соответствовать MDR (Создание отчетов Медицинского устройства) инструкции.
При сообщении о проблеме кибербезопасности с определенным устройством FDA требует, дабы следующая информация была включена в отчет (при наличии):То, кто Ваша точка контакта, должно больше подробностей относительно инцидента/события требоваться?В то время, когда неприятность кибербезопасности была сперва найдена?Как неприятность была сперва найдена?
Какие конкретно номера моделей и микропрограммные предположения затронуты?какое количество медицинских устройств затронуто?
Имеет функциональность устройства поставивший под угрозу? В случае если так, как это происходило (это эксплуатировалось через местный доступ либо удаленно)?Каково замечаемое патологическое поведение медицинского устройства? Каковы потенциальные последствия?
Исследователи из Мичиганского университета, университета Южной Каролины, Кореи, Продвинутый техники и Институт Науки, Миннесотский университет, Медицинская школа и Массачусетский университет Гарварда сообщили в мае 2013, что датчики, применяемые во внедренных кардиальных кардиостимуляторах и дефибрилляторах, уязвимы для вмешательства.Команда продемонстрировала, что они имели возможность подделать мигрирующее сердечное сокращение с электромагнитными волнами высокой частоты. В теории фальшивый сигнал как тот, что они создали, имел возможность бы мешать кардиостимулятору трудиться подобающим образом и мог кроме этого привести к ненужным шокам дефибрилляции.
Доктор наук Вэньюань Сюй, из университета Южной Каролины, заявил, что «безопасность довольно часто есть гонкой оружий с соперниками. Как исследователи, как раз имела возможность эксплуатироваться отечественная ответственность постоянно оспорить установившуюся практику и отыскать защиту для уязвимостей, перед тем как неудачные инциденты происходят.
Мы сохраняем надежду, что отечественные результаты изучения смогут оказать помощь улучшить безопасность сенсорных совокупностей, каковые покажутся в течение многих последующих лет».