Защищенность встраиваемых медицинских устройств
Новости о компьютерных атаках злоумышленников на подключенное оборудование давно перестали быть редкими. К сожалению, медицинские устройства – не исключение: с тех пор как они получили возможность подключаться к информационным сетям, появился т.н. интернет медицинских вещей (IoMT) для сбора данных и их передачи для дальнейшего анализа, возросла уязвимость этих устройств и информации о пациентах. В связи с этим возникают проблемы правовой ответственности, защиты репутации компаний, их доходов и интеллектуальной собственности.
Необходимо предотвратить немалое количество угроз безопасности. Выбор соответствующих мер в отношении встраиваемого медицинского устройства зависит от нужд конкретного приложения. Реализация новых проектов для удаленного мониторинга пациентов, соблюдения ими режима и схемы лечения объясняют необходимость подключения медицинских устройств к облакам. К несчастью, подключенное к облаку устройство становится уязвимым к хакерским атакам. К двум видам наиболее распространенных хакерских угроз для подключенных к облаку медицинских устройств относятся атаки типа «отказ в обслуживании» (DoS) и атаки через посредника.
С помощью DoS-атаки хакеры получают контроль над подключенной удаленной системой мониторинга пациента. В результате этих атак, сопровождающихся большим количеством запросов, которые перегружают серверы, пользователи теряют возможность получить доступ к веб-ресурсам. Наиболее разрушительной является распределенная DoS-атака, в результате которой, например, все подключенные системы мониторинга пациентов в больнице становятся источниками избыточного числа запросов, которые перегружают один облачный сервер.
При атаке через посредника хакер получает доступ, например, к подключенной инфузионной помпе, которая осуществляет капельное внутривенное вливание лекарственных препаратов. Хакер может прервать связь между помпой и сервером, а также установить с ними ложную связь. Кроме того, у хакера имеется возможность управлять помпой – полностью прекратить подачу лекарства или увеличить отпускаемую дозу, что может губительно отразиться на состоянии пациента.
Традиционные меры противодействия подобным атакам предусматривают использование решений на базе программного обеспечения (ПО). Однако в настоящее время эти меры быстрее и экономически эффективнее реализуются с помощью аппаратных решений. В идеальном случае в кристаллы интегрируются традиционные программные функции.
Немалое количество полупроводниковых кристаллов оснащается защитными функциями. При проектировании медицинских устройств необходимо с самого начала определить, какие защитные функции и на каком уровне требуется реализовать в каждом отдельном случае. Далее следует выбрать кристаллы с заданными функциями безопасности.
К таким кристаллам относятся, например, криптографические микроконтроллеры и микропроцессоры, а также элементы безопасности. В сочетании с хорошо разработанной прошивкой и управляемой архитектурой безопасности облака эти кристаллы обеспечивают конфиденциальность, целостность данных и аутентификацию подключаемых медицинских устройств.
DoS-атаки и атаки через посредника, как правило, позволяют предотвратить т.н. элементы безопасности – кристаллы CryptoAuthentication. Как правило, они имеют небольшой размер и выполнены в корпусах UFDN или SOIC, что позволяет легко интегрировать их в подключаемое медицинское устройство. Эти кристаллы работают в паре с микроконтроллерами, используемыми в медицинских устройствах.
Элементы безопасности CryptoAuthentication оснащены высококачественным генератором случайных чисел, аппаратными криптографическими средствами, хранилищем для безопасных ключей и средствами безопасной загрузки для микроконтроллеров. Кроме того, они имеют защиту от атаки по сторонним каналам и активную функцию противодействия взлому, что сокращает уязвимость программного обеспечения медицинского устройства.
Напрашивается прямая аналогия между кристаллом элемента безопасности и сейфом, в котором хранятся документы с грифом «Секретно». Секретные ключи закладываются в кристалл на этапе производства. Они используются как идентификационные данные в элементе безопасности, который обеспечивает подключение сервера к медицинскому устройству в процессе аутентификации.
Процесс оснащения кристалла ключами называется регистрацией ключей. Ее можно рассматривать в качестве процесса, предшествующего программированию. Он выполняется на защищенном оборудовании производителя полупроводников. Поскольку доступ к этим ключам закрыт, их никто не знает. Благодаря такому подходу медицинские устройства физически защищены при эксплуатации в медицинских учреждениях или в домах пациентов. Защищенная загрузка исключает также возможность кражи ключей из элемента безопасности независимыми производителями печатных плат.
При подключении эксплуатируемого устройства к облаку происходит аутентификация, в процессе которой облачный сервер отправляет сигнал элементу безопасности. Для ответа кристалл использует секретный ключ. В случае корректного ответа кристаллу предоставляется доступ к серверу.
Разработчикам медицинским устройств в некоторых случаях трудно самостоятельно реализовать функцию защищенной аутентификации с помощью облачного сервера. Чтобы облегчить этот процесс, элемент безопасности предварительно конфигурируется, после чего на производстве в него предварительно загружаются идентификационные данные для аутентификации при подключении к таким облачным сервисам как Amazon Web Services (AWS) IoT Core, Microsoft Azure IoT Hub, Google IoT Core. Сервис по загрузке ключей позволяет разработчикам медицинской техники упростить проектирование, исключить задержки и уменьшить его стоимость.
Таким образом, у разработчиков появилась возможность получить готовые решения, позволяющие повысить защищенность устройств на фоне растущих требований по ее обеспечению. Элементы безопасности CryptoAuthentication предоставляют сравнительно простой и экономически более эффективный способ реализовать облачную аутентификации и общую защиту современных подключаемых медицинских устройств.
Вопросы безопасность встраиваемых медицинских устройств
Во многих областях применения, к которым также относятся автомобильная индустрия, промышленное электронное оборудование и бытовые электроприборы, появляются новые угрозы безопасности и соответствующие новые требования. Функции безопасности позволяют обнаружить отказы в электрических и электронных системах или изделиях, а также предотвратить возможность повреждения, ущерб или случаи, потенциально опасные для жизни людей.
Несмотря на то, что немало сделано для создания безопасных и надежных медицинских устройств, имеется необходимость в принятии мер по безопасному устранению отказов электронных систем.
Меры функциональной безопасности предусматривают обнаружение отказов и соответствующую реакцию на угрозы. Эти меры реализуются двумя способами. Первый из них заключается в сокращении систематических ошибок на этапе проектирования. Второй состоит в оснащении проектируемой системы функцией обнаружения случайных отказов и перехода в безопасный режим.
Меры по обеспечению функциональной безопасности не сводятся к тому, чтобы уменьшить их частоту, – эта задача решается путем высококачественного проектирования и производства компонентов. Цель проектирования в соответствии со стандартами функциональной безопасности состоит в том, чтобы сделать безопасными рискованные отказы. Эти меры также позволяют установить допустимый уровень безопасных отказов.
Эксплуатация медицинских устройств должна быть безопасной потому, что они могут оказать неблагоприятное влияние на здоровье пациентов. Меры безопасности, как и защитные меры, должны приниматься в самом начале проектирования медицинских приборов.
Существует немало стандартов функциональной безопасности, разработанных для разных отраслей. При проектировании встраиваемого медицинского устройства может потребоваться не один стандарт безопасности. Например, во многих случаях разработки встраиваемых медицинских устройств применяется не только стандарт IEC 62304, определяющий основыпроцессов жизненного цикла программного обеспечения, но и стандарт IEC 61508, который охватывает вопросы, учитываемые при разработке электрических, электронных и программируемых электронных систем для осуществления функций безопасности. По сути, стандарт IEC 62304 в какой-то мере побуждает использовать также IEC 61508 в качестве источника алгоритмов, инструментов и методов проектирования ПО.
Следует учитывать, что требования функциональной безопасности медицинского устройства касаются не только оборудования или ПО, но и всего процесса проектирования, а также экосистемы. Например, для проектирования микроконтроллеров, предназначенных для функционально безопасных приложений, используются встроенные аппаратные функции, библиотеки диагностических испытаний, руководства по технике безопасности и методология анализа видов, последствий и диагностируемости отказов(FMEDA). Применение этих средств зависит от выбранного стандарта и поддерживаемого уровня безопасности.
Экосистемные средства помогают не только выполнить требования стандартов безопасности, но и обнаружить отказы при выполнении проекта. Требования к функциональной безопасности должны играть существенную роль при выборе микроконтроллеров, которые разработчики используют в безопасных медицинских устройствах. Для обнаружения отказов в проектируемом медицинском устройстве применяются функционально безопасные микроконтроллеры и средства поддержки. Например, диагностические библиотеки используются при сбросе и во время выполнения программного кода для предотвращения отказов в системе. Средства проектирования микроконтроллеров должны быть безопасными во избежание отказов в системе и соответствовать требованиям стандартов функциональной безопасности. Проектирование с использованием МК со встроенной интеллектуальной периферией повышает надежность и уровень контроля над критически важными для безопасности приложениями.
Выводы
В прошлом вопросам обеспечения безопасности и защищенности проектируемых встраиваемых медицинских устройств внимание уделялось с некоторым запозданием, но такое отношение в наше время недопустимо. Безопасностью никогда нельзя пренебрегать. Защита, реализованная с помощью аппаратных и программных функций, обеспечивает требуемое функционирование медицинских устройств, которые безопасно отключаются при возникновении любых угроз.
Необходимо понимать, что от решения этих вопросов в большой мере зависит общественная безопасность, репутация компании, ее правовая ответственность и финансовый успех.
Ссылки:
Шифр статьи: МСА825
Читать стат ью в оригинале на английском
Дополнительную информацию и опытные образцы можно получить в ООО «Компонента»
8(495) 150-2-150
info@komponenta.ru