Mengamankan Perangkat Medis yang Terhubung ke Internet

Singa dan Harimau dan Beruang — Astaga!

Setibanya di lanskap asing di The Wizard of Oz , Dorothy mengamati, "Toto, aku merasa kita tidak berada di Kansas lagi." Pertemuan dengan monyet terbang, teman yang kekurangan organ, munchkin yang ceria, dan penyihir yang tidak menyukai air segera menjadi kebiasaan barunya.

Bagi kami, new normal melibatkan percepatan adopsi perangkat medis yang terhubung ke internet dan model perawatan virtual — “internet of medical things” atau IoMT, yang didefinisikan oleh Deloitte sebagai “infrastruktur perangkat medis, aplikasi perangkat lunak, dan kesehatan yang terhubung. sistem dan layanan.”

Permintaan global untuk perangkat medis — baik dari konsumen individu maupun penyedia layanan kesehatan — sangat besar. Di AS, pasar tersebut diperkirakan mencapai $160,8 miliar pada 2019 dan diprediksi mencapai $176 miliar pada 2020. Sementara itu, sebuah laporan yang diterbitkan oleh firma riset Fior Markets memperkirakan pertumbuhan pasar konektivitas perangkat medis global dari $1,63 miliar pada 2019 menjadi $8,76 B pada tahun 2027.

Ini Hidup!

Dalam cerita terkenal lainnya, Baron Victor Frankenstein, dokter gila Mary Shelley, menggunakan teknik menjahit sederhana untuk menyatukan berbagai bagian tubuh makhluknya, yang kemudian ia aktifkan dengan terapi elektrokonvulsif versi abad ke-19. Teknologi di abad ke-21 belum mencapai kemampuan ini, meskipun transplantasi, reattachment, prosthetics, dan implan — banyak di antaranya “pintar” (yaitu, terhubung) atau diproduksi menggunakan manufaktur aditif dan alat cetak 3D — tidak jarang.

Karena itu, IoMT mewakili aspek yang lebih pribadi dari konvergensi cyber-fisik daripada yang terlihat di aplikasi IoT lainnya — mereka memasuki "zona kepercayaan" fisik kita yang intim. Keselamatan dan privasi pasien dapat terpengaruh jika perangkat atau proses pembuatan perangkat terganggu. Potensi tersebut telah menimbulkan kekhawatiran tentang penggunaan etis dan kapasitas teknis untuk melindungi privasi, keamanan siber, dan kinerja perangkat yang penting.

Mengelola infrastruktur IoMT secara efektif memerlukan pertimbangan banyak bagian yang bergerak, seringkali otonom, termasuk:

• Kontrol kualitas dalam proses manufaktur.
• Interoperabilitas informasi medis yang disimpan di beberapa perangkat.
• Ketergantungan pada penyimpanan cloud dan platform perangkat lunak.
• Memantau komunikasi jaringan.
• Memenuhi harapan profesional medis.

IoMT semakin menjadi bagian dari tatanan kehidupan kita. Membangun privasi data, integritas perangkat, dan ketahanan dunia maya ke dalam desain dan pembuatan perangkat dan peralatan medis sangatlah penting.

Siapa yang Akan Anda Telepon?

Ilmuwan eksentrik di Ghostbusters menggunakan trik parapsikologis untuk menemukan hantu yang tidak diinginkan. Standar dan pedoman ¹ untuk produsen perangkat medis menangani kolaborasi, masalah kualitas, manajemen risiko dan keamanan, skenario kasus penggunaan, dan garis besar praktik untuk mengidentifikasi dan memberantas perilaku "hantu" yang tidak terduga dalam perangkat medis. Ini membantu meningkatkan kontrol atas kinerja perangkat "seperti yang dirancang" dan "seperti yang dibuat" (meskipun kontrol atas perangkat "seperti yang digunakan" lebih sulit dipahami).

International Medical Device Regulators Forum (IMDRF), sebuah organisasi sukarela, membentuk Kelompok Kerja Keamanan Siber Perangkat Medis, yang merilis “Prinsip dan Praktik Keamanan Siber Perangkat Medis” pada Maret 2020.

Dokumen ini tidak membahas keamanan siber di dalam perusahaan itu sendiri, tetapi membahas tanggung jawab produsen perangkat medis untuk meningkatkan ketahanan keamanan siber produk, memulihkan kerentanan, dan mengurangi risiko melalui tahap desain/pengembangan, manufaktur, pengujian, dan dukungan/pemantauan pasca-pasar dari siklus hidup produk total (TPLC). Rekomendasinya untuk produsen mencakup pengembangan rencana manajemen keamanan siber TPLC untuk mengatasi hal-hal berikut:

• Kesadaran situasional.
• Pengungkapan kerentanan.
• Pembaruan dan perbaikan.
• Pemulihan.
• Bukti bahwa produsen tetap mendapat informasi tentang kerentanan yang diungkapkan dan membagikan kerentanan yang telah diidentifikasi.

Salah satu teknik manajemen risiko khususnya yang dapat berguna adalah pemodelan ancaman. Proyek Keamanan Aplikasi Web Terbuka (OWASP) merekomendasikan agar produsen mengajukan empat pertanyaan berikut selama desain dan pengembangan:

1. Apa yang sedang kita bangun?
2. Apa yang bisa salah (misalnya bagaimana bisa diserang)?
3. Apa yang akan kita lakukan?
4. Apakah kita melakukan pekerjaan dengan cukup baik?

Merencanakan dan membangun ketahanan keamanan siber ke dalam perangkat medis di seluruh TPLC mulai dari menentukan persyaratan kinerja hingga pengiriman ke — dan penghentian dari — layanan akan menghasilkan produk yang pantas mendapatkan kepercayaan kami.

Mereka Heeeeeere!

Poltergeist mengeksplorasi gangguan yang diciptakan ketika komersial, kegiatan berbasis keuntungan mengabaikan etika, keprihatinan humanis dan mengambil jalan pintas yang mengarah pada konsekuensi yang tidak diinginkan dan kerusakan jaminan. Komunitas pemangku kepentingan telah berkolaborasi dalam inisiatif untuk mencegah gangguan tersebut di sektor manufaktur perangkat medis, yang termasuk dalam dua dari 16 sektor infrastruktur penting yang diidentifikasi dalam Arahan Kebijakan Presiden 21 (PPD-21):perawatan kesehatan dan kesehatan masyarakat, dan manufaktur kritis. . Selain itu, pada tahun 2015, Kongres AS mengesahkan Cybersecurity Act of 2015 (CSA), yang mencakup persyaratan untuk menyelaraskan pendekatan keamanan industri perawatan kesehatan.

Kelompok Kerja Keamanan Siber Gabungan dari Dewan Koordinasi Kesehatan dan Sektor Publik, kemitraan publik-swasta dengan Departemen Kesehatan dan Layanan Kemanusiaan A.S., mencantumkan praktik terbaik teknis untuk produsen perangkat medis termasuk:

• Minimalkan permukaan serangan.
• Buat default dan konfigurasi yang aman.
• Mempertahankan audit dan akuntabilitas.
• Ikuti prinsip-prinsip hak istimewa paling rendah, pemisahan tugas, dan pertahanan secara mendalam.
• Gagal dengan aman.
• Jaga keamanan tetap sederhana dan perbaiki masalah keamanan dengan benar.

Siapa pun yang telah bekerja melalui persyaratan kontrol keamanan NIST SP 800-171 akan mengenali elemen dari 14 keluarga kontrolnya yang ditangkap dalam ringkasan praktik terbaik di atas. Mereka dicoba dan benar — dan mendasar untuk mendapatkan informasi daripada kepercayaan buta.

Baik itu mencegah pintasan yang membawa malapetaka, mengandung hantu jahat (atau tupai), atau menyatukan solusi perangkat multi-simpul, sehubungan dengan perangkat medis, kita berada dalam normal baru. Untungnya, kita dapat beralih ke hubungan yang lebih aman dan lebih sadar dengan teknologi. Kita hanya perlu mempelajari lebih jauh skrip film IoMT untuk memahami bagian-bagian komponen, bagaimana mereka berinteraksi, dan bagaimana mencegah kecelakaan.

Blog ini adalah bagian dari seri yang diterbitkan untuk National Cybersecurity Awareness Month (NCSAM). Blog lain dalam seri ini termasuk Creating a Culture of Security oleh Celia Paulsen, If You Connect It, Protect It oleh Zane Patalive, Suspicious Minds:Non-Technical Signs Business Anda Mungkin Telah Diretas oleh Pat Toth dan Masa Depan Perangkat Terhubung oleh Erik Fogleman dan Jeff Orszak.

^{1 Contoh:Association for Advancement of Medical Information (AAMI) - https://www.aami.org/medical-device-manufacturer; Food and Drug Administration - https://www.fda.gov/medical-devices/digital-health-center-excellence/cybersecurity#guidance; Komisi Elektroteknik Internasional (IEC) - https://www.iec.ch/perspectives/government/sectors/medical_devices.htm; Organisasi Internasional untuk Standardisasi (ISO) - https://www.iso.org/iso-13485-medical-devices.html; Underwriters Laboratories (UL) - https://www.ul.com/resources/healthcare-standards-directory}