Sécurisation des dispositifs médicaux connectés à Internet

Lions, tigres et ours — Oh mon Dieu !

À l'arrivée dans un paysage inconnu dans Le Magicien d'Oz , Dorothy a observé:"Toto, j'ai le sentiment que nous ne sommes plus au Kansas." Les rencontres avec des singes volants, des compagnons déficients en organes, des munchkins joyeux et une sorcière répugnante à l'eau sont rapidement devenues sa nouvelle norme.

Pour nous, la nouvelle norme implique l'adoption accélérée d'appareils médicaux connectés à Internet et de modèles de soins virtuels - l'« Internet des objets médicaux » ou IoMT, qui est défini par Deloitte comme une « infrastructure connectée d'appareils médicaux, d'applications logicielles et de santé. systèmes et services. »

La demande mondiale de dispositifs médicaux - tant de la part des consommateurs individuels que des prestataires de soins de santé - est énorme. Aux États-Unis, ce marché était estimé à 160,8 milliards de dollars en 2019 et devrait atteindre 176 milliards de dollars en 2020. Pendant ce temps, un rapport publié par la société de recherche Fior Markets prévoyait une croissance du marché mondial de la connectivité des dispositifs médicaux de 1,63 milliard de dollars en 2019 à 8,76 dollars. B en 2027.

C'est vivant !

Dans une autre histoire célèbre, le baron Victor Frankenstein, le médecin fou de Mary Shelley, a utilisé des techniques de couture simples pour reconstituer les différentes parties du corps de sa créature, qu'il a ensuite activées avec la version du XIXe siècle de la thérapie par électrochocs. La technologie du 21e siècle n'a pas encore atteint cette capacité, bien que les greffes, les rattachements, les prothèses et les implants, dont beaucoup sont « intelligents » (c'est-à-dire connectés) ou fabriqués à l'aide d'outils de fabrication additive et d'impression 3D, ne sont pas rares.

Pour cette raison, l'IoMT représente un aspect plus personnel de la convergence cyber-physique que celui observé dans d'autres applications IoT :elles entrent dans notre « zone de confiance » physique intime. La sécurité et la confidentialité des patients peuvent être affectées si un appareil ou le processus de fabrication d'un appareil est compromis. Un tel potentiel a suscité des inquiétudes concernant l'utilisation éthique et la capacité technique à protéger la confidentialité, la cybersécurité et les performances essentielles des appareils.

La gestion efficace de l'infrastructure IoMT nécessite la prise en compte de nombreuses pièces mobiles, souvent autonomes, notamment :

• Contrôle de la qualité dans le processus de fabrication.
• Interopérabilité des informations médicales stockées sur plusieurs appareils.
• Dépendance envers le stockage cloud et la plate-forme logicielle.
• Surveillance des communications réseau.
• Répondre aux attentes des professionnels de la santé.

L'IoMT fait de plus en plus partie de notre tissu vital. Il est essentiel d'intégrer la confidentialité des données, l'intégrité des appareils et la cyber-résilience dans la conception et la fabrication d'appareils et d'équipements médicaux.

Qui allez-vous appeler ?

Les scientifiques excentriques de Ghostbusters utilisé des astuces parapsychologiques pour dénicher des spectres indésirables. Normes et directives ¹ pour les fabricants de dispositifs médicaux abordent la collaboration, les problèmes de qualité, la gestion des risques et de la sécurité, les scénarios de cas d'utilisation et décrivent les pratiques permettant d'identifier et d'éradiquer tout comportement « fantomatique » inattendu dans les dispositifs médicaux. Cela permet d'améliorer le contrôle sur les performances des appareils « tels que conçus » et « tels que construits » (même si le contrôle sur les appareils « tels qu'utilisés » est plus difficile à atteindre).

L'International Medical Device Regulators Forum (IMDRF), une organisation bénévole, a réuni un groupe de travail sur la cybersécurité des dispositifs médicaux, qui a publié ses « Principes et pratiques pour la cybersécurité des dispositifs médicaux » en mars 2020.

Ce document ne traite pas de la cybersécurité au sein de l'entreprise elle-même, mais traite de la responsabilité des fabricants de dispositifs médicaux d'améliorer la résilience de la cybersécurité des produits, de corriger les vulnérabilités et d'atténuer les risques à travers les étapes de conception/développement, fabrication, test et support/surveillance post-commercialisation de le cycle de vie total du produit (TPLC). Ses recommandations pour les fabricants incluent l'élaboration d'un plan de gestion de la cybersécurité TPLC pour traiter les éléments suivants :

• Conscience de la situation.
• Divulgation de vulnérabilité.
• Mises à jour et correction.
• Récupération.
• Preuve que le fabricant reste informé des vulnérabilités divulguées et partage celles qu'il a identifiées.

Une technique de gestion des risques en particulier qui peut être utile est la modélisation des menaces. L'Open Web Application Security Project (OWASP) recommande aux fabricants de poser les quatre questions suivantes lors de la conception et du développement :

1. Que construisons-nous ?
2. Qu'est-ce qui peut mal tourner (par exemple, comment pourrait-il être attaqué) ?
3. Qu'allons-nous faire à ce sujet ?
4. Avons-nous fait du bon travail ?

La planification et le renforcement de la résilience de la cybersécurité dans les dispositifs médicaux dans l'ensemble du TPLC, de la définition des exigences de performance à la livraison et au retrait du service, se traduiront par des produits qui méritent notre confiance.

Ils sont Heeeeeere !

Poltergeist explore les perturbations créées lorsque les activités commerciales à but lucratif ignorent les préoccupations éthiques et humanistes et prennent des raccourcis qui entraînent des conséquences imprévues et des dommages collatéraux. La communauté des parties prenantes a collaboré à une initiative visant à prévenir de telles perturbations dans le secteur de la fabrication de dispositifs médicaux, qui relève de deux des 16 secteurs d'infrastructures critiques identifiés dans la directive présidentielle 21 (PPD-21) :les soins de santé et la santé publique, et la fabrication critique. . De plus, en 2015, le Congrès américain a adopté la Cybersecurity Act of 2015 (CSA), qui inclut des exigences pour aligner les approches de sécurité du secteur des soins de santé.

Le groupe de travail conjoint sur la cybersécurité du Conseil de coordination des soins de santé et du secteur public, un partenariat public-privé avec le département américain de la Santé et des Services sociaux, répertorie les meilleures pratiques techniques pour les fabricants de dispositifs médicaux, notamment :

• Réduire les surfaces d'attaque.
• Établir des paramètres par défaut et une configuration sécurisés.
• Maintenir l'audit et la responsabilité.
• Suivez les principes de moindre privilège, de séparation des tâches et de défense en profondeur.
• Échec en toute sécurité.
• Simplifiez la sécurité et corrigez correctement les problèmes de sécurité.

Quiconque a suivi les exigences de contrôle de sécurité NIST SP 800-171 reconnaîtra les éléments de ses 14 familles de contrôles capturés dans le résumé ci-dessus des meilleures pratiques. Ils sont éprouvés et vrais - et fondamentaux pour une confiance informée plutôt qu'aveugle.

Qu'il s'agisse d'empêcher des raccourcis désastreux, de contenir des fantômes malveillants (ou des écureuils) ou d'assembler une solution d'appareils multi-nœuds, en ce qui concerne les appareils médicaux, nous sommes dans une nouvelle normalité. Heureusement, nous pouvons passer à une relation plus sûre et plus consciente avec la technologie. Nous avons juste besoin d'approfondir le script du film IoMT pour comprendre les composants, comment ils interagissent et comment éviter les incidents.

Ce blog fait partie d'une série publiée pour le Mois national de sensibilisation à la cybersécurité (NCSAM). D'autres blogs de la série incluent Créer une culture de la sécurité de Celia Paulsen, If You Connect It, Protect It de Zane Patalive, Suspicious Minds:Non-Technical Signs Your Business Might Have Been Hacked par Pat Toth et The Future of Connected Devices d'Erik Fogleman et Jeff Orszak.

---

^{1 Exemples :Association pour l'avancement de l'information médicale (AAMI) - https://www.aami.org/medical-device-manufacturer ; Food and Drug Administration - https://www.fda.gov/medical-devices/digital-health-center-excellence/cybersecurity#guidance ; Commission électrotechnique internationale (CEI) - https://www.iec.ch/perspectives/government/sectors/medical_devices.htm ; Organisation internationale de normalisation (ISO) - https://www.iso.org/iso-13485-medical-devices.html ; Underwriters Laboratories (UL) - https://www.ul.com/resources/healthcare-standards-directory}