FDA утверждает стандарты кибербезопасности для медицинских устройств

Управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) контролирует всю продукцию, используемую в пищевых и медицинских целях на территории Соединенных Штатов Америки. Последние несколько лет к интересам ведомства добавилась регистрация потребительских электронных устройств, которые используются для диагностики и лечения различных заболеваний. По этой причине Apple Watch так и не были зарегистрированы в качестве медицинского устройства, поскольку получение необходимого сертификата — достаточно длительный и трудоёмкий процесс. В конце декабря стало известно, что отныне FDA будет контролировать не только качество работы электронных медицинских устройств, но и их защищённость с точки зрения кибербезопасности.

Проблема кибербезопасности в настоящее время стоит довольно остро, поскольку с развитием технического прогресса в мире появилось множество устройств с интегрированными беспроводными модулями и сложным программным обеспечением, которые непосредственно влияют на работу отдельных органов, в том числе жизненно важных. Конечно, FDA не так сильно волнует сохранность персональных данных на смарт-часах или точность измерения пульса фитнес-трекером. Речь идёт прежде всего об электрокардиостимуляторах, инсулиновых помпах и имплантатах внутреннего уха («искусственная улитка»).

Электрокардиостимулятор обеспечивает нормальное сокращение сердечной мышцы, не допуская развитие патологического ритма сердца, который может привести к нарушению кровообращения и смерти человека. Одна из известных уязвимостей кардиостимуляторов — переход в асинхронный режим работы при воздействии внешнего электромагнитного поля, а потому в большинстве крупных учреждений сегодня существуют специальные помещения для обслуживания людей с искусственными водителями ритма. В FDA также озабочены появлением современных моделей кардиостимуляторов с возможностью дистанционного изменения настроек работы. Технологически этот процесс крайне затруднителен и требует от злоумышленника наличия высокотехнологичного оборудования и исходных кодов программатора, но возросшая популярность таких моделей кардиостимуляторов потребовала от FDA принятия нового стандарта безопасности.

Согласно новым стандартам FDA медицинские девайсы должны быть полностью защищены от всевозможных киберугроз самим производителем, который теперь несет личную ответственность за киберуязвимость программного кода. Компании должны своевременно обновлять программное обеспечение своих устройств, быстро закрывая все обнаруженные уязвимости. Кроме того, информация обо всех обнаруженных угрозах должна поступать в FDA для оценки специалистами потенциальной угрозы. По словам специалистов FDA, финальная версия изданных рекомендаций соответствует реалиям и опасностям сегодняшнего времени, признавая постоянное присутствие и изменчивость кибератак.

Принятие стандарта было форсировано событиями, связанными с рядом крупных производителей медицинских устройств. В конце лета исследователи опубликовали доклад о низкой защищённости программного кода кардиостимуляторов St. Jude Medical. Месяцем позднее Johnson & Johnson признала наличие бреши в прошивке одной из своих инсулиновых помп. Утверждалось, что несанкционированный доступ к помпе позволил бы преступнику подать огромную дозу инсулина, вызвав гипогликемическую кому и смерть носителя помпы.

Цифровые интерфейсы связи — это огромное достижение, однако кибербезопасность медицинских устройств должна идти в ногу с этим инновациями. Те же новшества и особенности, которые улучшают медицинское обслуживание, могут увеличить риски. Именно поэтому все заинтересованные стороны в экосистеме медицинских устройств должны работать совместно для параллельной работы над инновациями и безопасностью. Мы уже добились больших успехов, но всё еще знаем, что угрозы безопасности способны развиваться в том же темпе, как инновации, а значит мы должны работать в этом направлении ещё усерднее.

Источник: engadget.com