Merci encore d'avoir assisté à notre session sur la sécurité des dispositifs médicaux. Voici les questions qui ont suivi la présentation et leurs réponses. Si vous avez d'autres questions, n'hésitez pas à nous contacter.
Pouvons-nous fournir des mises à jour de sécurité logicielle aux appareils dans les hôpitaux sans violer notre certification de dispositif FDA ?
La FDA déclare que les MDM (Medical Device Manufacturers) peuvent toujours mettre à jour un dispositif médical pour renforcer la cybersécurité, et la FDA n'a généralement pas besoin d'examiner la mise à jour. Vous devez fournir des instructions à l'équipe responsable de la mise à jour de votre dispositif, mettre en œuvre une procédure de mise à jour sécurisée avec une structure de clés publiques/privées, et intégrer un code de sécurité intégrée afin que le dispositif ne soit pas en fonctionnement lors de la mise à jour.
Un mot de passe et un pare-feu hospitalier ne vont-ils pas protéger mon appareil contre le piratage ?
Oui, d'une certaine manière, mais je pense que Robert a bien expliqué qu'il y a un large éventail de choses qui doivent être mises en œuvre. Un mot de passe peut empêcher quelqu'un d'y accéder, mais il peut acheter l'un de vos appareils et commencer à travailler dessus en dehors d'un environnement hospitalier, ou le voler, etc. Vous ne pouvez donc pas compter sur vos utilisateurs et leur faire porter la responsabilité de dire : "Vous devez assurer la sécurité de notre produit." Vous devez intégrer la sécurité dans vos appareils. Je pense que Robert a fait un excellent travail en parlant de la procédure de mise à jour des produits et du maintien de la sécurité dans l'environnement où le produit est déployé.
La FDA teste-t-elle la cybersécurité ?
C'est une excellente question, Rich. Le fait est que la FDA ne réalise pas de tests spécifiques pour tout type d'infection par des logiciels malveillants ou de cybersécurité. Elle émet des recommandations en constante évolution, mais aucun test spécifique n'est effectué, et elle déclare explicitement que c'est la responsabilité du fabricant de dispositifs médicaux.
Compte tenu des différentes philosophies en matière de sécurité, qu'elle soit matérielle ou logicielle, quelle est la meilleure solution ?
Je dirais que, pour une sécurité vraiment optimale, vous avez besoin d'une combinaison de matériel et de logiciels. Le matériel apporte certaines des choses dont nous avons discuté, comme les capacités anti-tamper dans le mélange. Le logiciel commence à vous donner une source logique d'attaques. Donc, si vous considérez l'anti-sabotage comme une contre-mesure physique, lorsque vous combinez à la fois le matériel et le logiciel, vous obtenez le meilleur des deux en matière de vecteurs d'attaque logiques et physiques, en ce qui concerne ce contre quoi vous pouvez vous protéger. L'autre élément à prendre en compte, bien sûr, est la nature des informations que vous essayez de protéger. Ainsi, vous pouvez avoir besoin de différentes fonctionnalités d'un point de vue matériel ou logiciel, en fonction des profils de protection que vous visez avec votre dispositif.
Robert : Ouais. Et je vais juste intervenir. Je veux dire, juste pour prolonger ça, c'est pourquoi j'ai passé du temps dans ma partie de la présentation à parler de tirer profit du matériel. Il y a beaucoup de choses que le matériel est capable de faire ou d'aider le logiciel, mais le logiciel doit être là pour tirer parti de tout cela, vous savez. Et ce n'est qu'avec les deux travaillant de concert que le dispositif peut réellement devenir plus sûr.
Si ce que vous dites est que tout le monde devrait utiliser certains niveaux de sécurité matérielle et logicielle, mais que chaque application est différente, comment puis-je savoir quelle sécurité est la bonne pour moi ?
Dans les cas où vous ne savez pas par où commencer, ou quel niveau de sécurité est nécessaire pour votre application, on nous pose souvent la question suivante : "Je ne suis pas un expert en sécurité. Comment puis-je commencer ?" La chose la plus simple à faire, bien sûr, est de trouver la norme la plus applicable à la classe de votre appareil, et de l'utiliser comme point de départ. Et finalement, si vous n'êtes pas sûr de la norme par laquelle commencer, le NIST est toujours un bon point de départ, par exemple, le National Institute of Standards and Technology. Il dispose d'un cadre de cybersécurité qu'il a publié et qui peut servir de guide aux novices comme aux vétérans dans le domaine de la sécurité. C'est donc un endroit que je vous recommande vivement de consulter si vous n'êtes pas familier avec la sécurité ou si vous êtes nouveau dans ce domaine.
Et puis, certaines de ces autres normes qui ont été discutées tout au long du webinaire également. Ainsi, par exemple, Bob a mentionné FIPS. Il s'agit d'une autre norme du NIST, si vous voulez, que beaucoup de personnes ciblent ou cherchent à concevoir. L'autre chose que vous pouvez faire est de consulter des partenaires qui sont des experts en sécurité, comme les personnes qui sont sur l'appel aujourd'hui, moi-même, Robert et Bob. Ou, si vous avez votre propre expertise interne, bien sûr, utilisez-la aussi.
Qu'est-ce qui est spécifique au marché médical en matière de sécurité par rapport au marché général ?
Eh bien, je peux répondre en un mot à cette question, c'est-à-dire rien. Vous savez, les techniques dont nous avons parlé tous les trois aujourd'hui ne sont pas vraiment spécifiques au marché médical. Ce sont des choses plus générales auxquelles il faut penser si vous faites de la conduite autonome, non ? Les exigences et les techniques de sécurité sont essentiellement les mêmes.
La différence est vraiment dans l'accentuation, vous savez. Si je m'occupe d'un appareil grand public, et que mon appareil grand public est compromis, et que des données personnelles sont transmises aux méchants, ou à une application web, ou autre, c'est embarrassant, et c'est coûteux. Mais les lois sont complètement différentes.
L'examen effectué par les régulateurs est totalement différent. La plupart des autres industries considèrent la sécurité comme ce qui se passe lorsque la porte de la grange est ouverte et que les chevaux se sont tous échappés. Alors que les régulateurs médicaux essaient vraiment de s'assurer que vous fermez la porte de la grange avant que les chevaux ne s'échappent. Et c'est là que réside toute l'importance. Il ne s'agit pas seulement de vous et de la façon dont vous gérez la situation après coup. Ce sont les régulateurs qui disent : "Hé, comment allez-vous empêcher que cela se produise ?" Et donc, même s'il serait juste de considérer tous ces éléments dès le départ pour n'importe quel type de dispositif, l'industrie médicale l'exige.
Patrick : Robert, une dernière chose que je voudrais ajouter à cela aussi. Je reçois souvent la comparaison, les gens disent que la sécurité est un peu comme une assurance. Et c'est vrai. Mais lorsque vous parlez de l'industrie médicale, en particulier, je dirais que oui, c'est comme une assurance, et la responsabilité est beaucoup plus élevée aussi dans les applications médicales.
Comment les éléments dont nous avons discuté peuvent-ils aider à faire face aux types d'attaques médicales qui font la une de l'actualité (compromission de réseaux hospitaliers, ransomware, etc.) ?
Eh bien, comme je l'ai dit dans ma présentation, rien n'est parfait. Mais les mesures dont nous avons tous parlé dans nos présentations individuelles sont vraiment utiles. S'il est difficile ou impossible pour un pirate de s'emparer d'un appareil afin de le sonder et de découvrir ses faiblesses, ou si l'appareil est invalidé d'une manière ou d'une autre lorsque cela se produit, il lui est alors beaucoup plus difficile de trouver comment attaquer l'appareil.
Si votre logiciel est développé à l'aide de techniques préventives et utilise les meilleures pratiques de sécurité, même s'ils ont accès à l'appareil, il leur sera beaucoup plus difficile d'y injecter, par exemple, un logiciel malveillant, d'où proviennent les ransomwares et autres attaques contre le réseau hospitalier. Ainsi, vous pouvez au moins protéger l'appareil dans toute la mesure du possible, et vous espérez que les autres fournisseurs du réseau hospitalier feront de même, de sorte que le réseau hospitalier sera au moins plus sûr.
Rich : Et je sais que tu as dit que ça rend les choses plus difficiles, mais pas impossibles.
Robert : Ouais, ça remonte à, vous savez, les gardes armés et le dispositif encastré dans le béton.
Quels sont les problèmes de sécurité liés à l'utilisation de matériel open source, comme le BeagleBone et le Raspberry Pi, dans les produits médicaux ? Bob, tu veux essayer celle-là ?
Bien sûr. Nos clients nous le disent aussi. Et le défi est le compromis en termes de temps. Je veux dire que les choses que Siemens a mises en œuvre, que Digi a mises en œuvre, qu'Infineon a mises en œuvre et/ou qu'elle mettra à la disposition de nos clients, peuvent toutes être faites en utilisant des logiciels libres. Mais c'est une énorme quantité de travail et de temps, et vous êtes essentiellement livré à vous-même, rassemblant vos propres outils, vos propres pièces, et les intégrant au dessus du matériel open source. Et vous devez le faire correctement ! C'est donc beaucoup de temps, et puis vous avez la question de la certification, passer par les différentes certifications mondiales et montrer ce que vous avez fait, alors que, encore une fois, vous n'aurez tout simplement pas le soutien de vos fournisseurs pour cela. Donc, je suppose que la réponse courte est, oui, c'est possible, mais vraiment, extrêmement difficile.
Comment détecter une infection par un logiciel malveillant ?
Il est important de concevoir des fonctions de détection dans un appareil connecté. Cela peut inclure l'enregistrement des tentatives d'attaque et l'examen des journaux pour détecter toute activité inattendue sur un appareil. Il est également possible de détecter l'activité du réseau vers des adresses IP inattendues ou l'activité d'un appareil. Si un appareil tombe en panne ou commence à mal fonctionner, vous devez le retirer du réseau et rechercher un logiciel malveillant ou un code qui n'a pas sa place sur l'appareil. Il existe des entreprises et des laboratoires qui peuvent tester les appareils pour détecter la présence de logiciels malveillants.