Американское управление по контролю за продуктами питания и лекарственными средствами (FDA) опубликовало нормативы, касающиеся безопасности медицинских устройств в постпродажной фазе жизненного цикла. Документ должен мотивировать производителей подобных систем обеспечивать контроль за кибербезопасностью на протяжении всего жизненного цикла.

Ранее, в 2014 году, ведомство выпустило нормативы по обеспечению безопасности медицинских устройств в предпродажном фазе жизненного цикла. Согласно рекомендациям FDA, производители должны предусмотреть ограниченный доступ к коду путем надежных аутентификационных методов, чтобы обеспечить аутентичность программных обновлений и новых версий прошивки. Кроме того, нормативы предполагают наличие в продуктах функциональных возможностей для выявления инцидентов безопасности, а также реагирования на них и восстановления работоспособности устройства.

Январские рекомендации применимы к устройствам, уже используемым в больницах, на дому у пациента или в теле больного. FDA уделяет особое внимание выявлению и оценке рисков ИБ и мониторингу эффективности мер обеспечения кибербезопасности. Всем производителям рекомендуется ввести процессы мониторинга и выявления уязвимостей как в проприетарных, так и в сторонних системах и компонентах.

Выявление уязвимостей может осуществляться как силами предприятия в рамках пентестинга, так и партнерами, поставщиками, независимыми экспертами и отраслевыми организациями. Также нормативы определяют порядок действий при обнаружении уязвимости: производителю необходимо оценить степень ее критичности, вероятность наличия эксплойта и сложность потенциальной атаки. Кроме того, необходимо определить возможные последствия атаки для состояния пациента.

FDA приветствует оперативную разработку и применение патчей и не будет утверждать рутинные апдейты и патчи. Производителям необязательно докладывать в ведомство о каждой уязвимости, если только проблемы с безопасностью не спровоцировали особо негативные последствия или смерть пациента. Также в FDA нужно докладывать обо всех уязвимостях, не закрытых в течение 60 дней с момента публикации.

Нормативы носят рекомендательный характер, и производители не обязаны их соблюдать.

Это слабая, но подвижка в процессе обеспечения более высокого уровня информационной безопасности медицинских устройств на фоне возросшего интереса хакеров к отрасли здравоохранения. Недавнее исследование TrapX показало, что количество взломов медицинских систем в США увеличилось с 57 до 93 в год. В прошлом году Пресвитерианский госпиталь в Голливуде подвергся атаке вымогательского ПО и был вынужден уплатить выкуп в размере $17 тыс., чтобы восстановить работу учреждения. Кроме того, продолжаются судебные тяжбы между исследовательской компанией MedSec и производителем кардиостимуляторов St.Jude. MedSec обнаружила уязвимости в устройствах St.Jude, но в отсутствие утвержденного процесса по выявлению уязвимостей сначала предоставила информацию в инвестиционную компанию Muddy Waters, которая опубликовала результаты исследования и тем самым повлияла на котировки ценных бумаг St.Jude.

Категории: Кибероборона, Уязвимости, Хакеры