Chrante lékarské prístroje pred cyber útoky, FDA naléhave vyzývá

FDA naléhave vyzývá výrobce zdravotnických prostredku a zdravotnických zarízení, aby zajistily, ze existují rádná bezpecnostní opatrení k ochrane jejich zdravotnických prostredku pred kybernetickými hrozbami.
FDA (Food and Drug Administration) uvedl ve ctvrtek, ze jeho varování je zamereno konkrétne na inzenýry v oblasti biomedicínského inzenýrství, zdravotnického personálu v oblasti IT a verejných zakázek, zarízení pro uzivatele zdravotnických prostredku, nemocnice a výrobce zdravotnických prostredku.
Cyber ??útok muze být zpusoben, kdyz je * zaveden malware do zdravotnického zarízení, stejne jako neoprávnené osoby, které získají prístup k konfiguracním nastavením v nemocnicních sítích a zarízeních.
* Malware je software, který je vytvoren pro zakázání nebo poskození pocítacu a pocítacových systému, napr. Skodlivého softwaru.
Vetsina zdravotnických prostredku dnes obsahuje zabudované pocítacové systémy, které jsou konfigurovatelné, coz znamená, ze mohou být zmeneny nebo vylepseny, coz je ciní zranitelnými proti narusení bezpecnosti na pocítacích.

Tato hrozba se behem posledních patnácti let stala váznejsí, protoze rostoucí pocet zdravotnických prostredku je propojen prostrednictvím nemocnicních sítí, internetu, smartphonu a dalsích zdravotnických prostredku. Kazdý nový typ pripojení zvysuje jejich zranitelnost vuci skodlivým útokum.
FDA ríká, ze si uvedomuje následující zranitelnosti a incidenty kybernetické bezpecnosti týkající se provozování nemocnicních sítí a zdravotnických zarízení:

• Zdravotnická zarízení, která jsou nakonfigurována a / nebo pripojena k síti, která je zakázána malwarem


• Malware pronikající nemocnicní smartphony, tablety, dalsí mobilní zarízení vyuzívající technologii Wi-Fi pro prístup k informacím o pacientech, implantovaná zarízení pro pacienty a nemocnicní pocítace


• Nedostatecná bezpecnost týkající se hesel, zdravotne postizených hesel a hardwarove kódovaných hesel pro software urcený vybraným zamestnancum, jako jsou technici údrzby, technický nebo administrativní personál


• Pravidelná aktualizace zdravotnického zarízení a sítového softwaru


• Nezabývá se zranitelnostmi starsích zarízení (starsích zdravotnických zarízení)


• Slabiny zabezpecení v softwaru, který má zabránit neoprávnenému prístupu k síti nebo zarízení, jako jsou hesla s pevným kódem, prostý text nebo zádná overení, spatná kódování / infekce SQL a zdokumentované servisní úcty v servisních príruckách

Doposud FDA neobdrzel zádné zprávy o specifických systémech nebo zarízeních v klinickém pouzití, které by byly úmyslne zamerené, ani si neuvedomuje zádné poranení nebo úmrtí pacienta zpusobené temito nehodami.
Podle agentury FDA americká zdravotnická a dalsí orgány, lékarské prístroje a softwarové spolecnosti úzce spolupracují s cílem minimalizovat riziko kybernetických útoku.

Jaké doporucení FDA doporucuje?

Vysoké procento zdravotnických prostredku obsahuje konfigurovatelné vestavené pocítacové systémy, které jsou potenciálními cíli pro kybernetické hrozby. Doporucení pro výrobce zarízení
Výrobci zdravotnických pomucek jsou povinni hlídat potenciální rizika a nebezpecí související s jejich výrobky, vcetne bezpecnostních rizik v kybernetickém prostredí. Jsou také zodpovedné za to, aby zajistily, ze budou zavedena vhodná zmírnení, která zarucí bezpecnost pacientu a zajistí, aby zarízení fungovalo správne.

Výrobci zdravotnických zarízení se musí ujistit, ze neoprávnený prístup k jejich výrobkum není mozný. FDA napsal v on-line zpráve "Konkrétne doporucujeme, aby výrobci prezkoumali své postupy a zásady týkající se bezpecnosti pocítacu, aby zajistili, ze budou zavedeny príslusné záruky, aby se zabránilo neoprávnenému prístupu nebo zmenám jejich zdravotnických prostredku nebo aby se ohrozila bezpecnost nemocnicní síte, Mohou být pripojeny k zarízení. Rozsah, v nemz jsou potrebné bezpecnostní kontroly, závisí na zdravotnickém zarízení, jeho prostredí pouzití, druhu a pravdepodobnosti rizika, kterému je vystavena, a pravdepodobných rizicích pro pacienty z porusení bezpecnosti . "
Pri vyhodnocování zarízení je treba vzít v úvahu:

• Je treba zajistit, aby k zarízení a nikomu jinému nemeli prístup pouze duveryhodní uzivatelé, zejména zarízení, která udrzují pacienty nazivu nebo mohou být prímo pripojeni k nemocnicním sítím.


• Provedte kroky k ochrane kazdé soucásti pred zneuzitím. Vyvíjejte strategie aktivní ochrany zabezpecení, které jsou vhodné a praktické pro prostredí pouzití zarízení. Tyto strategie musí zahrnovat vcasné zavedení rutinních overených záplat zabezpecení a systému, které vyzadují overený kód pro aktualizace softwaru a firmwaru.


• Kritická funkcnost zdravotnického zarízení je nejvyssí prioritou, a ujistete se, ze designové prístupy nesou v mysli. Dokonce i v prípade, ze je zarízení ohrozeno, mely by být zahrnuty rezimy, které jsou v bezpecí, aby se zachovala tato kritická funkce.


• Mely by existovat metody pro uchovávání a obnovu po incidentu, který ovlivnuje bezpecnost. "Incidenci pocítacové bezpecnosti jsou stále pravdepodobnejsí a výrobci by meli zvázit plány reakce na incidenty, které by resily moznost zhorseného provozu a efektivní obnovu a obnovu."

Doporucení pro nemocnice a dalsí zdravotnické zarízení
Zdravotnické zarízení musí podniknout kroky k vyhodnocení bezpecnosti svých sítí a ochrane jejich nemocnicních systému. Pri posuzování zabezpecení síte je treba vzít v úvahu:

• Prístup k sítovým zdravotnickým prostredkum a sítím obecne by mel být omezen pouze na oprávnené osoby a nikdo jiný.


• Firewally a antivirový software by mely být pravidelne aktualizovány.


• Sítová cinnost by mela být neustále sledována kvuli neoprávnenému pouzití.


• Jednotlivé sítové komponenty je treba pravidelne vyhodnocovat jako rutinní. To zahrnuje aktualizaci bezpecnostních záplat a zakázání vsech nepotrebných portu a sluzeb.


• Pokud má nemocnice nebo zdravotnická zarízení nebo existuje podezrení, ze existuje problém s kybernetickým zabezpecením se zdravotnickým zarízením, mel by být výrobce kontaktován ihned.FDA a DHA ICS-CERT by mohly pomoci pri hlásení a vyresení problému, pokud není mozné urcit, kdo je výrobce nebo pokud výrobce nemuze být kontaktován.


• Behem nepríznivých podmínek je dulezité, aby zarízení udrzovalo rozhodující funkcionalitu. Zdravotnické zarízení musí rozvíjet a vyhodnocovat strategii pro prípad nouze.

FDA ríká, ze vydala návrh pokynu, jak by se výrobci zdravotnických prostredku meli zabývat kybernetickou bezpecností pri predkládání svých produktu ke schválení (pred uvedením na trh). Obsahuje také pokyny, jak by se výrobci meli zabývat otázkami bezpecnosti pocítacu, pokud jde o zarízení vyuzívající softwarový software.

Agentura FDA zádá výrobce a zdravotnická zarízení o hlásení problému

S cílem lépe porozumet rizikum spojeným se zdravotnickými prístroji FDA naléhave vyzývá uzivatele a tvurce zarízení, aby neprodlene oznámili agenture jakékoli nezádoucí úcinky. "Pokud máte podezrení, ze nejaká událost kybernetické bezpecnosti ovlivnila výkon zdravotnického zarízení nebo ovlivnila systém nemocnicních sítí, doporucujeme podávat dobrovolnou zprávu prostrednictvím programu MedWatch, programu FDA pro bezpecnostní informace a hlásení nezádoucích událostí."

Zdravotnictí pracovníci by meli dodrzovat postupy podávání zpráv stanovené jejich zarízeními. Výrobci zdravotnických prostredku musí dodrzovat predpisy MDR (Reporting Medical Device).
Pri hlásení problému / incidentu s pocítacovým zabezpecením s konkrétním zarízením pozádá úrad FDA, aby do zprávy byly zahrnuty následující informace (je-li k dispozici):

• Kdo je vasím kontaktním místem, je treba podrobnejsí informace týkající se incidentu / události vyzadovat?


• Kdy byl poprvé objeven problém v oblasti kybernetické bezpecnosti?


• Jak byl problém poprvé objeven?


• Jaká císla modelu a verze firmwaru jsou ovlivneny?


• Kolik zdravotnických prostredku je / bylo postizeno?


• Byla ohrozena funkcnost zarízení? Pokud ano, jak se to stalo (bylo to vyuzíváno lokálne nebo vzdálene)?


• Jaké je pozorované abnormální chování zdravotnického prostredku? Jaké jsou mozné dusledky?

Výzkumníci z Univerzity v Michiganu, Univerzita Jizní Karolíny, Korejského institutu pro vedu a techniku, University of Minnesota, University of Massachusetts a Harvard Medical School hlásili v kvetnu roku 2013, ze senzory pouzívané v implantovaných srdecních defibrilátorech a kardiostimulátorech jsou citlivé na manipulaci.
Tým ukázal, ze by mohly vytvorit vycerpaný srdecní tep s radiofrekvencními elektromagnetickými vlnami. Teoreticky by falesný signál, jako je ten, který vytvorili, mohl zastavit nefungující kardiostimulátor a mohl by také vyvolat zbytecné defibrilacní otresy.
Profesor Wenyuan Xu z univerzity v Jizní Karolíne uvedl: "Bezpecnost je casto závodem ve zbrojení s protivníky. Jako výzkumní pracovníci je nasí povinností vzdy provokovat beznou praxi a hledat obranu proti zranitelnosti, která by mohla být zneuzita pred neúspesnými událostmi. doufáme, ze nase výzkumné poznatky mohou pomoci zvýsit bezpecnost snímacích systému, které se objeví v nadcházejících letech. "
Napsal Christian Nordqvist