Varnost ugnezdenih medicinskih pripomočkov je postala ena glavnih prioritet pri razvoju povezane medicinske opreme. Nasprotno pa so šele pred kratkim mnogi priznali, da je treba nekaj storiti glede varnosti zasnove medicinskih pripomočkov.
icrochip Technology Inc
Avtor: Marten L. Smith
2021-299-20
Zaradi dolgih ciklov načrtovanja medicinskih pripomočkov pa je bila izvedba varnostnih ukrepov manj pomembna in je morala počakati na izdajo naslednje generacije ali dveh. Takšno razmišljanje je izginilo – glede na številne nedavne varnostne probleme Internet of Things (IoT) naprav.
Obstaja neskončen tok novic, ki vključujejo kibernetske napade in napovedi varnostnih ranljivosti v vseh vrstah povezane opreme. Na žalost medicinski pripomočki niso izvzeti iz tovrstnih napadov in napovedi.
Ko se povečuje število medicinskih pripomočkov, to poznamo pod imenom internet medicinskih stvari (IoMT). Zaradi povezljivosti bo ranljivost teh pripomočkov in podatkov o pacientih še naraščala. Pomisleki glede pravne odgovornosti ter zaščite blagovne znamke podjetja, intelektualne lastnine in tokov prihodkov, so resnični.
Obstaja veliko različnih vrst varnostnih groženj, ki jih je treba obravnavati. Vrsta varnostnih ukrepov, ki jih je treba zasnovati v ugnezdenem medicinskem pripomočku, je odvisna od aplikacije in zahtev glede uporabe.
Uvajanje novih modelov za daljinsko spremljanje bolnikov in upoštevanje pacientov so največji razlogi za povezavo medicinskih naprav z oblakom. Ko je naprava povezana z oblakom, lahko na žalost postane tarča hekerjev. Primer dveh pogostih hekerskih groženj medicinskim napravam, povezanim z oblakom, sta napad na zavrnitev storitve (angl. Denial-of-service oz. DNS) in napad na človeka v sredini (angl. man-in-the-middle attack oz. MITM).
Primer DNS napada je, ko hekerji prevzamejo nadzor nad povezanim sistemom za oddaljeni nadzor bolnika in strežnik v oblaku preplavijo s številnimi odvečnimi zahtevami, da preobremenijo strežnik in preprečijo izpolnjevanje zakonitih zahtev. Najslabši scenarij je porazdeljeni DNS napad. Primer tega bi bil, če bi v bolnišnico vdrli v vse povezane monitorje pacientov in poslali toliko odvečnih zahtev, da bi preobremenili en strežnik v oblaku, ki podpira vse monitorje.
Primer napada človeka v sredini je, ko heker dobi dostop do povezane infuzijske črpalke, ki pacientu dovaja morfij. Heker lahko prestreže komunikacijo med črpalko in strežnikom ter pošlje lažne komunikacije enemu od njih. Med drugim bi heker lahko nadzoroval črpalko in pacientu ne bi dostavil nobenih zdravil ali pa bi pacient dobil prevelik odmerek. Oba scenarija bi lahko bila katastrofalna za bolnika in vse vpletene.
Tradicionalni protiukrepi za te in druge vrste napadov so bile popolnoma programske rešitve. Vendar se ti protiukrepi zdaj izvajajo v hitrejših in stroškovno učinkovitejših strojnih rešitvah. Idealna izvedba protiukrepov strojne opreme bi bila integracija številnih tradicionalnih funkcij programske opreme v čipe.
Obstaja veliko različnih vrst varnostnih čipov. Razvijalci medicinskih pripomočkov se morajo že zelo zgodaj v ciklu razvoja odločiti, katere funkcije in ravni zaščite so potrebne za njihovo zasnovo. Po tem mora razvijalec izbrati varnostne čipe, ki izvajajo te funkcije.
Nekaj primerov različnih vrst varnostnih čipov so mikrokontrolerji in mikroprocesorji, ki podpirajo kriptografijo in varni elementi. Ti čipi v kombinaciji z dobro zasnovano ugnezdeno programsko opremo in upravljano varnostno arhitekturo v oblaku zagotavljajo varnostne funkcije in protiukrepe, ki zagotavljajo zaupnost, celovitost podatkov in preverjanje pristnosti povezanih medicinskih naprav. Več informacij o tovrstnih čipih najdete v referencah na koncu tega članka.
Ena vrsta čipa, ki ublaži tako DOS kot napad človeka v sredini, se na splošno imenuje varen element ali Cryptoauthentication ™ naprava. Običajno gre za majhne čipe (npr. V 8-polnih UFDN ali 8-polnih SOIC ohišjih), ki jih je enostavno dodati v zasnovo povezane medicinske naprave. Čip varnega elementa je zasnovan tako, da deluje kot spremljevalec MCU zasnove medicinskega pripomočka.
Ti čipi z varnimi elementi ponujajo funkcije, kot so visokokakovostni generator naključnih števil, strojno zasnovana kriptografija, varno shranjevanje ključev in varne zagonske funkcije za mikrokontrolerje. Ponujajo tudi protiukrepe, kot sta zaščita pred napadi na stranski kanal in aktivno preprečevanje nedovoljenega spreminjanja, ki lahko zmanjšata morebitne zakritosti, povezane s pomanjkljivostmi programske opreme medicinskih naprav.
Preprosta analogija čipa z varnim elementom bi bila primerjava s trezorjem, ki ščiti skrivnosti. Te skrivnosti se med proizvodnim postopkom vstavijo v trezor.
V smislu čipa varnega elementa se skrivnosti imenujejo ključi. Ključe lahko obravnavamo kot poverilnice v čipu varnega elementa zasnove, ki pooblasti sever ali mu pove, naj odobri povezavo z medicinskim pripomočkom. Ta odobritev postopka povezave se imenuje preverjanje pristnosti.
Postopek vstavljanja teh ključev v čip se imenuje zagotavljanje ključev. Dobavo lahko obravnavamo kot postopek predprogramiranja. Izvaja se v varnem obratu proizvajalca čipov. Ta varen postopek nobenemu človeku ne omogoča, da bi videl ključe, zato jih nikoli ne izpostavi.
Rezultat tega je, da je medicinski pripomoček fizično varen, kadar je zunaj in se uporablja v bolnišnicah, klinikah ali bolnikovem domu. Varno zagotavljanje lahko tudi odpravi grožnjo, da bi proizvajalci plošč neodvisnih proizvajalcev ukradli ključe, shranjene v čipu varnega elementa.
Ko je medicinski pripomoček v uporabi in se želi povezati z oblakom, bo šel skozi postopek preverjanja pristnosti s strežnikom. Med tem postopkom strežnik v oblaku pošlje čipu z varnimi elementi sporočilo, ki ponuja odziv, pridobljen s pomočjo skrivnega ključa. Če je odgovor varnega elementa pravilen, mu je odobren dostop do strežnika.
Varno preverjanje pristnosti strežnika v oblaku je zapleten in včasih neobičajen postopek, ki ga lahko razvijalci medicinskih pripomočkov uvedejo sami. Za reševanje tega izziva je čip varnega elementa mogoče vnaprej konfigurirati in vnaprej pripraviti v tovarni prodajalca čipov s poverilnicami za preverjanje pristnosti v priljubljenih storitvah v oblaku, kot so Amazon Web Services (AWS) IoT Core, Microsoft Azure IoT Hub ali Google IoT Jedro. Uporaba storitve zagotavljanja storitev lahko odpravi zapletenost, zamude pri načrtovanju in visoke stroške, ki so običajno povezani z razvijalci medicinskih pripomočkov, ki to poskušajo narediti sami.
Ob tolikšnih varnostnih pomislekih so danes na voljo rešitve za izboljšanje zaščite medicinskih pripomočkov. Varni elementi ali CryptoAuthentication čipi so lahko razmeroma enostavnejši in stroškovno učinkovitejši način za izvajanje funkcij preverjanja pristnosti v oblaku in splošne varnosti današnjih povezanih medicinskih naprav.
V mnogih panogah so se varnostne zahteve razširile. Za svoje namene lahko uporabimo definicijo, da varnostni procesi in funkcije odkrivajo napačno delovanje v električnem in / ali elektronskem sistemu ali izdelkih ter preprečujejo poškodbe, škodo ali možne življenjsko nevarne dogodke. Nova varnostna vprašanja in zahteve se pojavljajo na številnih različnih področjih uporabe, kot so avtomobili, industrijski elektronski sistemi, gospodinjski aparati in medicinski pripomočki.
V industriji je bilo že veliko narejenega za oblikovanje varnih in robustnih medicinskih pripomočkov, ker pa elektronski sistemi lahko odpovedo, mora obstajati način za varno obvladovanje teh napak.
Preprosto povedano, cilj funkcionalne varnosti je odkrivanje napak in ustrezen odziv, da se ljudje ne poškodujejo. To se doseže na dva načina. Prvi način je zmanjšanje sistematičnih napak med postopkom načrtovanja. Drugi je namenjen zasnovi, da lahko zazna naključne napake in preklopi v varen način.
Upoštevati je treba, da funkcionalna varnost ne zmanjša skupnih stopenj okvar. To obravnavajo postopki oblikovanja in izdelave kakovosti tako ločenih delov, ki se uporabljajo za oblikovanje, kot tudi samega medicinskega pripomočka. Cilj oblikovanja po standardih funkcionalne varnosti je pretvoriti nevarne okvare v varne. To je tudi postopek, s katerim lahko oblikovalec opredeli dovoljeno stopnjo nevarnih napak.
Težave z varnostjo medicinskih pripomočkov so imele precejšen delež negativnih novic. Zagotavljanje varnosti medicinskih pripomočkov je za oblikovalce ključnega pomena, saj lahko medicinski pripomočki vplivajo na zdravje pacientov, ki se nanje zanašajo. Tako kot zaščito, je treba tudi na začetku vsakega oblikovanja medicinskih pripomočkov upoštevati tudi varnost.
Obstaja veliko standardov funkcionalne varnosti za različne industrijske panoge. Varnost zasnove ugnezdenega medicinskega pripomočka je lahko odvisna od zasnove več kot enega od teh standardov. Na primer, oblikovalci medicinskih pripomočkov so ugotovili, da svojih načrtov ne smejo oblikovati samo na podlagi standarda IEC 62304 za procese življenjskega cikla programske opreme, temveč morajo v svoj postopek oblikovanja vključiti tudi industrijski standard funkcionalne zaščite IEC 61508. Dejansko standard IEC 62304 spodbuja tiste, ki načrtujejo glede na ta standard, da uporabljajo tudi IEC 61508 kot vir dobrih programskih metod, tehnik in orodij.
Pomembno je vedeti, da funkcionalna varnost ni le strojna ali programska oprema v medicinskem pripomočku, temveč vključuje celoten postopek načrtovanja in ekosistem za varno zasnovo. Na primer, MCU deli, zasnovani za funkcije funkcionalne varnosti, podpirajo vgrajene funkcije strojne opreme, knjižnice za preskus diagnostične programske opreme, varnostni priročniki in FMEDA poročila, odvisno od standarda in stopnje varnosti, ki jo podpirajo.
Značilnosti tega ekosistema ne pomagajo le pri izpolnjevanju varnostnih standardov, temveč lahko igrajo tudi pomembno vlogo pri odkrivanju napak med delovanjem zasnove. Premisleki o funkcionalni varnosti bi morali igrati pomembno vlogo pri izbiri MCU-jev, ki jih oblikovalci uporabljajo za varne zasnove medicinskih pripomočkov.
Tu je nekaj primerov funkcionalnih podpornih varnostnih MCU izdelkov in funkcij, ki so lahko pomembne pri odkrivanju napak pri zasnovi medicinske naprave:
- Diagnostične knjižnice, ki se zaženejo tako pri ponastavitvi kot tudi med izvajanjem, da se zagotovi, da v sistemu ni napak.
- Orodja za razvoj MCU je treba šteti za varna, da ne bi povzročala napak v sistemu. Pomemben del tega je usposobljenost razvojnega orodja za funkcionalne varnostne standarde.
- Oblikovanje z MCU-ji, ki imajo integrirano in inteligentno zunanjo opremo, pomaga povečati zanesljivost in spremljanje za varnostne aplikacije.
Kar zadeva medicinske pripomočke, varnost nikoli ne sme biti ogrožena. Te funkcije strojne in programske opreme skupaj pomagajo zagotoviti, da medicinske naprave delujejo, kot je predvideno, z varnim izklopom, če pride do kakršne koli izjeme ali težave.
Tako zaščitno kot varno
V preteklosti sta bili tako zaščita kot varnost ugnezdenih medicinskih pripomočkov v postopku načrtovanja običajno obravnavani na koncu procesa. Neupoštevanje in oblikovanje zaščitnih in varnostnih funkcij pri zasnovi medicinskih pripomočkov ni več sprejemljivo. Javna varnost, pa tudi ugled podjetja ter ublažitev pravne odgovornosti in finančnega uspeha sta zelo odvisni od tega, ali so modeli zaščitni in varni.
Viri:
Varen element/Kripto-Avthentikacija: https://www.microchip.com/design-centers/security-ics/trust-platform
Ugnezdena varnost pri razvoju: https://www.microchip.com/design-centers/embedded-security
Funkcionalna varnost: https://www.microchip.com/design-centers/functional-safety
Razvoj ugnezdenih medicinskih naprav: https://www.microchip.com/design-centers/medical
Opomba: Ime in logotip Microchip sta registrirani blagovni znamki podjetja Microchip Technology Incorporated v ZDA in drugih državah. Vse druge blagovne znamke, ki so morda tu omenjene, so last njihovih podjetij.
