viernes, 2 de septiembre de 2016

[ Actualidad ] La erosión de la confianza en la seguridad de dispositivos médicos y lo que debemos hacer sobre él

La erosión de la confianza en la seguridad de dispositivos médicos
y lo que debemos hacer sobre él.


A finales del mes pasado, una firma de investigación de seguridad cibernética alegó que las vulnerabilidades de seguridad en un dispositivo médico cardiaco conectado - un "inteligente" marcapasos y un monitor, Combo - realizadas por St. Jude Medical podrían poner vidas de los pacientes en situación de riesgo.

Una vez independiente, muchos marcapasos ahora incluyen el monitoreo remoto inalámbrico que permite a los médicos para optimizar el tratamiento y detectar rápidamente los problemas de hardware. El marcapasos se utiliza la radio de onda corta para comunicarse a una pasarela o un dispositivo móvil, que transmite esos datos a los cuidadores a través de Wi-Fi o conexiones celulares.

Las supuestas vulnerabilidades emplean las vulnerabilidades a chocar el marcapasos implantable o drenar su batería. O bien podría ser fatal para los pacientes cuyo corazón no puede latir correctamente sin un marcapasos funcional. (Aprendí este hecho de mi padre, que tiene un marcapasos de un fabricante diferente.)

Vale la pena señalar aquí que los investigadores de seguridad cibernética venden sus resultados a un fondo de cobertura, que en corto acciones de St. Jude, y la firma de investigación de seguridad está siendo compensado por el comportamiento del fondo. También, St. Jude y otros investigadores están disputando las reivindicaciones .

Mientras tanto se debatirá sobre la veracidad, legalidad y ética de estas actividades del investigador y de fondos de cobertura, mi llevar más importante es que refuerza la necesidad urgente de programas de evaluación de seguridad abierta para dispositivos médicos conectados, que cada vez más los que dependemos para nuestra salud y la privacidad.


Reguladores lo están haciendo

Los reguladores del gobierno no han estado de pie de brazos cruzados a medida que más y más dispositivos conectados, incluyendo bombas de insulina para la diabetes, bombas de infusión del hospital, y los dispositivos inalámbricos cardíacos, entrar en el mercado y en nuestros cuerpos.

La FDA de Estados Unidos ha proporcionado pre y orientación ciberseguridad posterior a la comercialización y jugó un papel activo en las discusiones comunitarias , conferencias y otras actividades que nos ayudan a trabajar juntos para hacer frente a los retos de seguridad cibernética. Además, el Instituto Nacional de Normas y Tecnología (NIST) ha creado un marco de ciberseguridad para los desarrolladores de infraestructura, incluidos los fabricantes de dispositivos médicos / sanitarios.

Todo esto está muy bien, pero la FDA y NIST Actualmente no implementan o un mandato para un programa de evaluación de seguridad real para los dispositivos médicos conectados. NIST dice que tiene " no hay planes para desarrollar un programa de evaluación de la conformidad ." Más bien "NIST alienta al sector privado para determinar sus necesidades de conformidad, y luego desarrollar programas de evaluación de la conformidad adecuados."

¿Qué debe un programa de evaluación?

Debería ser:

Abierto e inclusivo (internacional, todas las partes interesadas)
Enfoque basado en el riesgo para los objetivos y requisitos funcionales definición
Enfoque científico para la evaluación
Eficiente (costo y tiempo)
Adaptativa (mejora continua, programa de mantenimiento de la garantía)

Los beneficios para los fabricantes de dispositivos médicos son numerosos, incluyendo:

Capacidad para obtener ayuda en la determinación de un conjunto adecuado de controles de seguridad que satisfagan las necesidades de todos los interesados.
Asegurar los esfuerzos de seguridad son evaluados y confirmados por expertos en ciberseguridad independientes.
Proporcionar a los pacientes, cuidadores y otras partes interesadas de confianza en la seguridad mediante la documentación de los productos que han sido evaluados de manera positiva, y todos los detalles en torno a cómo...
Reducir el riesgo legal, financiera, y daños a la marca mediante la demostración de que han puesto sus productos a través de la mejor práctica comercial de un proceso abierto y estandarizado, de seguridad independiente de evaluación.

Y, por supuesto, hay beneficios para otras partes interesadas, incluyendo:

Deje que las aseguradoras evaluar con más precisión el riesgo de seguridad cibernética y ofrecen planes de seguros optimizados sobre la base de los resultados de evaluación, lo que reduce el riesgo financiero para las aseguradoras, fabricantes, hospitales y pacientes.
Permitir a los cuidadores y pacientes para elegir sabiamente dispositivos y reducir los riesgos de seguridad cibernética.


Un camino a seguir para los fabricantes de dispositivos médicos

Existen organizaciones de seguridad del producto de evaluación, normas y programas en una variedad de industrias fuera del cuidado de la salud, incluyendo los microchips de pago de tarjetas inteligentes y el firmware (por ejemplo EMVCO ) y los sistemas de información de seguridad nacional (por ejemplo FedRAMP , NIAP , y FIPS 140-2 ).

Hasta hace poco, no había programas de evaluación de la seguridad para la industria de dispositivos médicos. En mayo, esto cambió cuando la organización no lucrativa Diabetes Technology Society lanzó el programa estándar de seguridad y evaluación DTSec para evaluar la seguridad de los controladores de bombas de insulina y otros dispositivos médicos conectados a la red.

DTSec es una evaluación de seguridad abierta, independiente, basada en las mejores prácticas comerciales. Fue desarrollado a través de una colaboración de los fabricantes de dispositivos médicos, investigadores médicos en el mundo académico, las agencias reguladoras gubernamentales, representantes de los pacientes, expertos en seguridad informática, abogados y otros. Centro de BlackBerry para el cálculo de certeza de alta excelencia ( CHACE ) es uno de los autores de la norma, así como un miembro de la comisión de evaluación del programa.

DTSec sirve como un modelo para cualquier industria que ofrece la confianza en la seguridad que necesitamos en sistemas conectados. (Si usted está interesado en hablar de la expansión de este modelo a otros tipos de dispositivos médicos u otros tipos de productos, por favor email yo en highassurance@blackberry.com)

El año pasado fue bombas de infusión del hospital . La semana pasada tuvimos implantables cardíacos. Una cosa que podemos estar seguros es de que pronto habrá otro informe preocupante de los productos sanitarios de importancia vital de vulnerables que erosiona aún más la confianza del consumidor. La única manera vamos a recuperar esta confianza y dejar atrás el "él dijo, ella dijo" la naturaleza de los informes de vulnerabilidad de hoy, como estamos viendo jugar a cabo en el incidente de St. Jude Medical, es poner en su lugar abierto, de seguridad independiente.

Los programas de evaluación. Al utilizar el modelo de DTSec, podemos asegurar que los cuidadores y los pacientes no incurrirá en riesgo indebido de la falta de conocimiento acerca de qué productos son seguros y que no son conocidos por ser seguro.