Merci encore d'avoir participé à notre session sur la sécurité des dispositifs médicaux. Voici les questions qui ont suivi la présentation et leurs réponses. Si vous avez d'autres questions, n'hésitez pas à nous contacter.
Pouvons-nous fournir des mises à jour de sécurité logicielle aux appareils dans les hôpitaux sans enfreindre la certification de l'appareil par la FDA ?
La FDA déclare que les fabricants de dispositifs médicaux peuvent toujours mettre à jour un dispositif médical pour renforcer la cybersécurité, et la FDA n'a généralement pas besoin d'examiner la mise à jour. Vous devez fournir des instructions à l'équipe chargée de la mise à jour de votre dispositif, mettre en œuvre une procédure de mise à jour sécurisée avec une structure de clés publiques/privées et intégrer un code de sécurité afin que le dispositif ne soit pas en fonctionnement lorsque vous effectuez la mise à jour.
Un mot de passe et un pare-feu d'hôpital ne protègent-ils pas mon appareil contre le piratage ?
Oui, d'une certaine manière, mais je pense que Robert a très bien expliqué qu'il y a un large éventail de choses à mettre en œuvre. Un mot de passe peut empêcher quelqu'un d'y accéder, mais il peut acheter l'un de vos appareils et commencer à travailler dessus en dehors d'un environnement hospitalier, ou le voler, ou quoi que ce soit d'autre. Vous ne pouvez donc pas compter sur vos utilisateurs et leur dire : "Vous devez assurer la sécurité de notre produit." Vous devez intégrer la sécurité dans vos appareils. Vous devez intégrer la sécurité dans vos appareils. Je pense que Robert a fait un excellent travail en parlant de la procédure de mise à jour des produits et du maintien de la sécurité dans l'environnement où le produit est déployé.
La FDA procède-t-elle à des tests de cybersécurité ?
C'est une excellente question, Rich. Le fait est que la FDA n'effectue pas de tests spécifiques pour tout type d'infection par logiciel malveillant ou de cybersécurité. Elle émet des recommandations en constante évolution, mais il n'y a pas de tests spécifiques, et elle déclare explicitement que c'est la responsabilité du fabricant de dispositifs médicaux.
Compte tenu des différentes philosophies en matière de sécurité, qu'elle soit matérielle ou logicielle, quelle est la meilleure solution ?
Je dirais que, pour une sécurité vraiment optimale, vous avez besoin d'une combinaison de matériel et de logiciel. Le matériel apporte certains des éléments dont nous avons parlé, tels que les capacités de lutte contre la fraude. Les logiciels commencent à fournir des sources logiques d'attaques. Donc, si vous considérez l'anti-sabotage comme une contre-mesure physique, lorsque vous combinez à la fois le matériel et le logiciel, vous obtenez le meilleur des deux en ce qui concerne les vecteurs d'attaque logiques et physiques, pour ce qui est de ce contre quoi vous pouvez vous protéger. L'autre élément à prendre en compte, bien sûr, est la nature des informations que vous essayez de protéger. Il se peut donc que vous ayez besoin de fonctionnalités différentes du point de vue matériel ou logiciel, en fonction des profils de protection que vous visez avec votre appareil.
Robert : Oui. Et je vais juste intervenir. Je veux dire, juste pour prolonger cela, c'est pourquoi j'ai passé du temps dans ma partie de la présentation à parler de tirer parti du matériel. Il y a beaucoup de choses que le matériel est capable de faire ou d'aider le logiciel, mais le logiciel doit être là pour tirer parti de tout cela, vous savez. Et ce n'est que lorsque les deux travaillent de concert que l'appareil peut devenir plus sûr.
Si vous dites que tout le monde devrait utiliser certains niveaux de sécurité matérielle et logicielle, mais que chaque application est différente, comment puis-je savoir quelle est la sécurité qui me convient ?
Lorsque vous ne savez pas par où commencer, ou quel niveau de sécurité est nécessaire pour votre application, nous recevons souvent la question suivante : "Je ne suis pas un expert en sécurité. Comment puis-je commencer ?" La chose la plus simple à faire, bien sûr, est de trouver la norme qui s'applique le mieux à votre classe d'appareil, et de l'utiliser comme point de départ. Enfin, si vous ne savez pas par quelle norme commencer, le NIST est toujours un bon point de départ, par exemple l'Institut national des normes et de la technologie. Il a publié un cadre de cybersécurité qui peut servir de guide aux novices comme aux vétérans dans le domaine de la sécurité. C'est donc un endroit que je recommanderais certainement de commencer à consulter si vous n'êtes pas familier avec la sécurité, ou si vous êtes novice en la matière.
Et puis, certaines de ces autres normes qui ont été discutées tout au long du webinaire également. Ainsi, par exemple, Bob a mentionné FIPS. Il s'agit d'une autre norme du NIST, si vous voulez, que beaucoup de personnes ciblent ou cherchent à concevoir. L'autre chose que vous pouvez faire est de consulter des partenaires qui sont des experts en sécurité, comme les personnes qui sont sur l'appel aujourd'hui, moi-même, Robert et Bob. Ou, si vous avez votre propre expertise interne, bien sûr, utilisez-la aussi.
Quelles sont les spécificités du marché médical en matière de sécurité par rapport au marché général ?
Eh bien, je peux répondre en un mot à cette question, c'est-à-dire rien du tout. Vous savez, les techniques dont je pense que nous avons tous les trois parlé aujourd'hui ne sont pas du tout spécifiques au marché médical. Ce sont des choses plus générales auxquelles il faut penser si vous faites de la conduite autonome, n'est-ce pas ? Les exigences et les techniques de sécurité sont essentiellement les mêmes.
La différence se situe vraiment au niveau de l'importance, vous savez. Si je me sers d'un appareil grand public et que mon appareil grand public est compromis et que des données personnelles sont transmises à des malfaiteurs, ou à une application web, ou autre, c'est embarrassant et c'est coûteux. Mais les lois sont totalement différentes.
L'examen effectué par les régulateurs est totalement différent. La plupart des autres secteurs considèrent la sécurité comme ce qui se passe lorsque la porte de la grange est ouverte et que tous les chevaux se sont échappés. Les régulateurs médicaux, quant à eux, s'efforcent de verrouiller la porte de la grange avant que les chevaux ne s'échappent. C'est sur ce point que l'accent est mis. Il ne s'agit pas seulement de vous, mais aussi de savoir comment gérer la situation une fois qu'elle s'est produite. Il s'agit pour les régulateurs de dire : "Comment allez-vous faire pour éviter que cela ne se produise ?" Ainsi, même s'il serait bon de prendre en compte tous ces éléments dès le départ pour n'importe quel type d'appareil, l'industrie médicale l'exige.
Patrick : Robert, j'aimerais ajouter une chose à cela. On me compare souvent à des gens qui disent que la sécurité est un peu comme une assurance. Et c'est vrai. Mais quand on parle de l'industrie médicale, en particulier, je dirais que oui, c'est comme une assurance, et la responsabilité est beaucoup plus élevée dans les applications médicales.
Comment les éléments dont nous avons discuté peuvent-ils aider à lutter contre les types d'attaques médicales qui font la une des journaux (réseaux hospitaliers compromis, ransomware, etc.) ?
Comme je l'ai dit dans mon exposé, rien n'est parfait. Mais les mesures dont nous avons tous parlé dans nos présentations individuelles sont vraiment utiles. S'il est difficile ou impossible pour un pirate d'obtenir un appareil afin de le sonder et d'en découvrir les faiblesses, ou si l'appareil est invalidé d'une manière ou d'une autre lorsque cela se produit, il est alors beaucoup plus difficile pour lui de trouver comment attaquer l'appareil.
Si votre logiciel est développé à l'aide de techniques préventives et qu'il utilise les meilleures pratiques de sécurité de haute qualité, même s'ils accèdent à l'appareil, il leur sera beaucoup plus difficile d'y injecter, par exemple, des logiciels malveillants, d'où proviennent les ransomwares et les autres attaques contre le réseau hospitalier. Ainsi, vous pouvez au moins protéger l'appareil dans toute la mesure du possible, et vous espérez que les autres fournisseurs du réseau hospitalier feront de même, ce qui permettra au réseau hospitalier d'être au moins plus sûr.
Rich : Et je sais que tu as dit que cela rendait les choses plus difficiles, mais pas impossibles.
Robert : Oui, cela remonte à, vous savez, les gardes armés et l'appareil en béton.
Quels sont les problèmes de sécurité liés à l'utilisation de matériel open source, comme BeagleBone et Raspberry Pi, dans les produits médicaux ? Bob, voulez-vous essayer cette question ?
Bien sûr, c'est aussi ce que nous disent nos clients. Et le défi est le compromis en termes de temps. Je veux dire que les choses que Siemens a mises en œuvre, que Digi a mises en œuvre, qu'Infineon a mises en œuvre et/ou qu'elle mettra à la disposition de ses clients, peuvent toutes être réalisées à l'aide de logiciels libres. Mais c'est une énorme quantité de travail et de temps, et vous devez essentiellement vous débrouiller seul, rassembler vos propres outils, vos propres pièces, et les intégrer au-dessus du matériel open source. Et il faut que tout se passe bien ! C'est donc beaucoup de temps, et puis il y a la question de la certification, de passer par les différentes certifications mondiales et de montrer ce que vous avez fait, alors que, encore une fois, vous n'aurez aucun soutien de la part de vos vendeurs pour cela. La réponse la plus courte est donc : oui, c'est possible, mais c'est extrêmement difficile.
Comment détecter une infection par un logiciel malveillant ?
Il est important de concevoir des fonctions de détection dans un appareil connecté. Il peut s'agir d'enregistrer les tentatives d'attaque et d'examiner les journaux pour y déceler une activité inattendue sur un appareil. Il est également possible de détecter l'activité du réseau vers des adresses IP inattendues ou l'activité d'un appareil. Si un appareil tombe en panne ou commence à mal fonctionner, vous devez le retirer du réseau et vérifier qu'il n'y a pas de logiciels malveillants ou de code qui n'appartient pas à l'appareil. Il existe des entreprises et des laboratoires qui peuvent tester les appareils pour détecter la présence de logiciels malveillants.