Gracias de nuevo por asistir a nuestra sesión sobre seguridad de los productos sanitarios. Aquí están las preguntas que siguieron a la presentación y sus respuestas. Si tiene más preguntas, no dude en ponerse en contacto con nosotros.
¿Podemos proporcionar actualizaciones de seguridad de software a los dispositivos de los hospitales sin infringir nuestra certificación de dispositivos de la FDA?
La FDA afirma que los MDM (Fabricantes de Dispositivos Médicos) siempre pueden actualizar un dispositivo médico para reforzar la ciberseguridad, y la FDA normalmente no necesita revisar la actualización. Debe proporcionar instrucciones al equipo responsable de actualizar su dispositivo, implementar un procedimiento de actualización seguro con estructura de clave pública/privada e incorporar un código a prueba de fallos para que el dispositivo no esté en funcionamiento cuando se actualice.
¿Una contraseña y un cortafuegos hospitalario no protegerán mi dispositivo de los piratas informáticos?
Sí, en cierto modo, pero creo que Robert ha insistido mucho en que hay una amplia gama de cosas que deben implementarse. Una contraseña puede evitar que alguien llegue a ella, pero pueden comprar uno de tus dispositivos y empezar a trabajar en él fuera de un entorno hospitalario, o robarlo, o lo que sea. Así que no puedes contar con tus usuarios y poner en ellos la responsabilidad de decir: "Tienes que mantener nuestro producto seguro". Hay que integrar la seguridad en los dispositivos. Creo que Robert hizo un gran trabajo hablando sobre el procedimiento para actualizar los productos y mantener la seguridad en el entorno en el que se despliega el producto.
¿Prueba la FDA la ciberseguridad?
Es una gran pregunta, Rich. Y el hecho es que la FDA no realiza pruebas específicas para ningún tipo de infección por malware o ciberseguridad. Están emitiendo recomendaciones en constante evolución, pero no hay pruebas específicas, y afirman explícitamente que es responsabilidad del fabricante de dispositivos médicos.
Dadas algunas filosofías divergentes sobre la seguridad, ya sea basada en hardware o en software, ¿cuál es realmente la mejor solución?
Yo diría que, para conseguir la mejor seguridad posible, se necesita una combinación de hardware y software. El hardware aporta algunas de las cosas de las que hemos hablado, como la capacidad antimanipulación. El software empieza a ofrecerte una fuente lógica de ataques. Por lo tanto, si se piensa en la lucha contra la manipulación como una contramedida física, cuando se combinan el hardware y el software, se obtiene lo mejor de ambos cuando se trata de vectores de ataque lógicos y físicos, en cuanto a contra qué se puede proteger. Pero también hay que tener en cuenta la naturaleza de la información que se intenta proteger. Por lo tanto, es posible que necesites diferentes funcionalidades desde el punto de vista del hardware o del software, en función de los perfiles de protección a los que te dirijas con tu dispositivo.
Sí. Y voy a intervenir. Quiero decir, sólo para extender eso, es por eso que pasé tiempo en mi parte de la presentación hablando de aprovechar el hardware. Hay muchas cosas que el hardware es capaz de hacer o capaz de ayudar con el software, pero el software tiene que estar allí para tomar ventaja de todo eso, ya sabes. Y es sólo con los dos trabajando en concierto que el dispositivo puede llegar a ser más seguro.
Si lo que dices es que todo el mundo debería utilizar algunos niveles de seguridad de hardware y software, pero cada aplicación es diferente, ¿cómo sé qué seguridad es la adecuada para mí?
En los casos en los que no se sabe por dónde empezar, o qué nivel de seguridad es necesario para su aplicación, recibimos a menudo esta pregunta de, ya sabe, "No soy un experto en seguridad. ¿Cómo puedo empezar?" Lo más fácil, por supuesto, es encontrar la norma más aplicable a su clase de dispositivo y utilizarla como punto de partida. Y en última instancia, si no estás seguro de por qué norma empezar, el NIST es siempre un buen lugar para empezar, por ejemplo, el Instituto Nacional de Estándares y Tecnología. Tienen un marco de ciberseguridad que han publicado y que puede servir de guía tanto para novatos como para veteranos en el campo de la seguridad. Así que, ese sería un lugar que definitivamente recomendaría para al menos empezar a echar un vistazo si no estás familiarizado con la seguridad, o si eres nuevo en la seguridad.
Y luego, algunas de estas otras normas que se han discutido a lo largo del seminario también. Así, por ejemplo, Bob había mencionado FIPS. Es otra norma del NIST, si se quiere, que vemos un montón de gente apuntando o buscando diseñar hacia. La otra cosa que puedes hacer es consultar con socios expertos en seguridad, como las personas que están en la llamada de hoy, yo mismo, Robert y Bob. O, si usted tiene su propia experiencia interna, por supuesto, utilizar eso también.
¿Qué particularidades presenta el mercado médico en materia de seguridad frente al mercado general?
Bueno, puedo hacer la respuesta de una sola palabra para eso, que es nada. Ya sabes, las técnicas que creo que los tres de nosotros hablamos hoy no son realmente específicas para el mercado médico en absoluto. Son cosas más generales en las que pensar si estás haciendo conducción autónoma, ¿verdad? Los requisitos de seguridad y las técnicas son esencialmente las mismas.
La diferencia está en el énfasis. Si estoy haciendo un dispositivo de consumo, y mi dispositivo de consumo se ve comprometida, y los datos personales se transmite a los malos, o una aplicación web, o lo que sea, eso es vergonzoso, y es costoso. Pero las leyes son completamente diferentes.
El escrutinio que hacen los reguladores es totalmente distinto. La mayoría de los demás sectores ven la seguridad básicamente como lo que ocurre cuando se abre la puerta del establo y se escapan todos los caballos. Mientras que los reguladores médicos intentan asegurarse de que se cierra la puerta del establo antes de que se escapen los caballos. Y ahí es donde está todo el énfasis. No se trata sólo de ti, y luego de cómo lidiar con ello después de que suceda. Son los reguladores diciendo: "Oye, ¿cómo vas a evitar que esto suceda?" Y así, a pesar de que sería correcto considerar todas estas cosas por adelantado para cualquier tipo de dispositivo, la industria médica lo requiere.
Patrick: Robert, una cosa más que me gustaría añadir a eso también. A menudo me hacen la comparación, la gente dice que la seguridad es un poco como los seguros. Y lo es. Pero cuando se habla de la industria médica, en particular, yo diría que sí, que es como un seguro, y la responsabilidad es mucho mayor también en las aplicaciones médicas.
¿Cómo ayudan las cosas que hemos discutido con los tipos de ataques médicos que aparecen en las noticias (redes de hospitales comprometidas, ransomware, etc.)?
Como dije en mi presentación, nada es perfecto. Pero el tipo de medidas de las que todos hemos hablado en nuestras presentaciones individuales realmente ayudan. Si es difícil o imposible para un hacker conseguir un dispositivo para que pueda sondearlo y averiguar sus puntos débiles, o el dispositivo se invalida de alguna manera cuando eso sucede, entonces se hace mucho más difícil para ellos averiguar cómo atacar el dispositivo.
Si tu software está desarrollado con técnicas preventivas y utiliza las mejores prácticas de seguridad de alta calidad, incluso si consiguen acceder al dispositivo, les resultará mucho más difícil inyectar, por ejemplo, malware en el dispositivo, que es de donde proceden el ransomware y otros ataques a la red del hospital. Así que, al menos, puedes proteger el dispositivo en la mayor medida posible, y luego esperas que los otros proveedores de la red del hospital hagan lo mismo, y por lo tanto, la red del hospital será al menos más segura.
Rich: Y sé que has dicho que lo hace más difícil, pero no imposible.
Sí, todo se remonta a, ya sabes, los guardias armados y el dispositivo encerrado en hormigón.
¿Qué problemas de seguridad plantea el uso de hardware de código abierto, como BeagleBone y Raspberry Pi, en productos de dispositivos médicos? Bob, ¿quieres intentarlo?
Claro, también nos lo dicen nuestros clientes. Y el reto es la compensación en tiempo. Es decir, las cosas que Siemens ha implementado, y Digi ha implementado, e Infineon había implementado y/o pondrá a disposición de nuestros clientes, todo se puede hacer usando software de código abierto. Pero requiere mucho trabajo y tiempo, y, básicamente, uno está solo, reuniendo sus propias herramientas, sus propias piezas, e integrándolas en el hardware de código abierto. Y tienes que hacerlo bien. Así que es mucho tiempo, y luego está el tema de la certificación, pasar por las diferentes certificaciones globales y mostrar lo que has hecho, cuando, de nuevo, no tendrás ningún apoyo de tus proveedores para eso. Así que supongo que la respuesta más breve es: sí, es posible, pero muy difícil.
¿Cómo se detecta una infección por malware?
Es importante diseñar funciones de detección en un dispositivo conectado. Esto puede incluir el registro de intentos de ataque y el examen de los registros para detectar actividad inesperada en un dispositivo. También es posible detectar la actividad de la red a direcciones IP inesperadas o la actividad de un dispositivo. Si un dispositivo falla o empieza a funcionar mal, debe retirarlo de la red y comprobar si hay malware o código que no pertenezca al dispositivo. Hay empresas y laboratorios que pueden comprobar la presencia de malware en los dispositivos.