Ez a poszt a 2016.12.31-én megjelent, Egészségügyi folyamatvezérlő rendszerek kiberbiztonsága című írásom második része.

2013-14 során az FDA útmutatókat jelentetett meg az egészségügyi rendszerek biztonságával kapcsolatban, a végleges útmutató végül 2014 októberben vált elérhetővé. Az FDA útmutatója elsősorban az egészségügyi folyamatvezérlő eszközök biztonsági funkcióonak tervezési és fejlesztési fázisban történő alkalmazását hangsúlyozza. Részletesen az alábbi intézkedéseket nevesítik (nem meglepő módon ezek sokszor egybevágnak az ICS rendszerek biztonsága kapcsán már megismert intézkedésekkel):

- Eszközök, fenyegetések és sérülékenységek azonosítása;
- Az egészségügyi eszközök funkcionalitását és/vagy a pácienseket/végfelhasználókat érintő fenyegetések és sérülékenységek értékelése;
- A fenyegetések és a sérülékenységek kihasználásának valószínűségeinek értékelése;
- A kockázati szintek és a megfelelő kockázatcsökkentési stratégiák meghatározása;
- A maradványkockázatok és a kockázat elfogadási feltételek értékelése.

Az egészségügyi rendszerek biztonsági helyzete a jelenben

Napjainkra már megkezdődött az a folyamat, aminek során biztonsági szakértők bevonásával és egy átfogó megközelítés alkalmazásával probálják javítani az egészségügyi eszközök biztonsági szintjét. A problémák sokrétűek, hardver és szoftverhibák, a rádiós kommunikációs csatornák elleni támadások, malware-ek és a különböző sérülékenységek kihasználása egyaránt ide tartoznak. Egy, a témában 2014-ben készített felmérés az mutatta ki, hogy az egészségügyi eszközök biztonságával kapcsolatos fejlesztések elsősorban a telemetriai interfészek elleni támadásokra koncentráltak. Ezek a telemetriai interfészek döntő részben a rádiós kommunikációhoz kapcsolódnak. A felmérésből tisztán látszik, hogy a vezeték nélküli telemetriai adatforgalmazásnak öt fontos területe van: a biometrikus authentikáció, a rádióhullámokon keresztül távolról végrehajtott authentikáció, a többfaktoros authentikáció, a külső eszközök és az anomáliák észlelése.

Az egészségügyi rendszerek jövője

A ma hozott intézkedések nagy mértékben meghatározzák az egészségügyi rendszerek biztonságának jövőjét is. A biztonság mindig a kompromisszumokról szól és a tét az egészségügyi rendszerek esetén az egyik legnagyobb. Azonban így sem szabad hagyni, hogy az egészségügyi eszközök biztonságával kapcsolatos esetekből szenzációt kreáljanak, ehelyett józan, racionális és szisztematikus megközelítéssel meg kell érteni és csökkenteni kell a biztonsági kockázatokat. Az FDA javaslatai az NIST kiberbiztonsági keretrendszere alapján a következők:

- Azonosítani kell a védelemre szoruló folyamatokat és eszközöket;
- Definiálni kell az elérhető védelmi intézkedéseket;
- Incidens-felismerési technikákat kell kidolgozni;
- Intézkedési terveket kell kialakítani az incidensek kezelésére;
- Formalizált helyreállítási tervet kell készíteni.

Az egészségügyi rendszerekre leselkedő fenyegetések kiemelkedőek és az elkerülhetetlennek látszó nulladik napi támadásokkal is az egészségügyi eszközök teljes életciklusa alatt foglalkozni kell. Ez egy olyan feladat, amin az egészségügyi szolgáltatóknak, az eszközök gyártóinak, a szoftverek fejlesztőinek és a biztonsági szakembereknek együttműködve kell dolgozniuk - gyakran a páciensek bevonásával.