Microchip Technology Inc.安全與計算業務部
產品營銷經理
Xavier Bignalet
深入探討美國食品藥品監督管理局(FDA)關于醫療物聯網(IoMT)的醫療及保健指南。
醫療行業對連接設備的日益依賴使其易受網絡攻擊,排名僅次于小型企業。為了防止潛在的災難,美國食品藥品監督管理局(FDA)已經制定了可供醫療設備制造商遵循的嵌入式設備安全實現指南。這份指南涵蓋了設計、開發、產品發布、售后支持和停產等各個階段。盡管FDA指南中的信息對于設計人員來說是必讀的,但它通常以高層級角度編寫,最常見的是闡述應當實現哪些功能,而沒有說明如何實現。為了幫助醫療設備設計人員深入研究,本文提供了一些缺失的細節。
自2014年以來,FDA一直在發布關于醫療行業網絡安全的建議,每一項都在更新之前的要求以應對快速演變的威脅態勢。最新指南包含在2022年4月發布的“醫療設備中的網絡安全:質量體系考慮因素和售前提交內容:行業和食品藥品監督管理局員工的草案指南”中。它主要有三個部分:
一般原則:
如何以及為什么網絡安全應該是設備安全、質量體系規定的一部分,如何為安全進行設計,為什么提供透明度至關重要,以及提交文檔。
安全產品開發框架:
如何使用威脅模型和包含安全控制、全局系統和多模式傷害視圖的安全架構來管理和評估安全風險,以及更新和補丁的需要。這部分還提供了關于網絡安全測試的詳細信息。
網絡安全透明度:
通過貼標簽和建立漏洞管理計劃來傳達,它承認用戶具有不同的緩解能力,并且解決方案應適合每一個人。
不過,對于嵌入式系統設計人員來說,最有用的信息在最后的附錄1中,包括關于身份驗證、授權、加密技術、執行完整性、事件檢測、記錄彈性、固件和軟件更新的信息。
有必要單獨涵蓋每個主題,以填補FDA廣泛指南中缺失的細節。
首先,身份驗證對于安全模型而言必不可少。公鑰/私鑰對和關聯的證書鏈將醫療設備連接到網絡。需要將私鑰與可能包含漏洞并使密鑰容易獲取的設備固件隔離。FDA建議將加密密鑰置于類似于Microchip的CryptoAuthentication?安全IC的防篡改安全密鑰存儲中。
必須通過信任彼此的設備和云來驗證到云服務器的連接。雖然可以對每個會話都進行驗證,但這可能會在電池供電的物聯網(IoT)設備中消耗大量電能。硬件加密加速器和安全密鑰存儲的組合顯著緩解了這個問題,因為它可在休眠模式下保持納安級的極低電流。
用戶身份驗證允許管理員、技術人員和其他人員進行特權設備訪問,這引入了密鑰認證的概念。這類用例是通過預定義的CryptoAuthentication集成電路(IC)配置利用Trust Platform Design Suite(TPDS)開發工具提供的。
信息真實性對于在嵌入式系統中為消息簽名并驗證其可信度必不可少。雖然密碼認證IC本質上處理加密或未加密的消息驗證,但也可以使用采用對稱的相關加密加速器的消息驗證代碼(MAC)。
授權是FDA指南的另一個重要貢獻,因為它建立了最小特權原則,即在可信執行區和應用區之間設置權限和許可來管理關鍵代碼。每個模塊只能訪問實現其目的所需的信息和資源。
加密技術顯然是確保安全的另一個關鍵因素。FDA明智地建議使用標準加密算法,因為在大量社區用戶輸入的幫助下,公共組織不斷對它們進行測試和更新。加密密鑰將驗證數據的完整性,但不會驗證有效性,因此設計人員必須驗證所有來自外部源的數據是否結構良好并符合相應的規范或協議。
機密性與身份驗證和授權有關,如果加密密鑰在硬件中未被保密,則可能發生未經授權的使用。制造商應確保對所有可能被黑客利用,從而對患者造成傷害的數據的機密性提供支持。在處理和存儲用于身份驗證的加密密鑰時,必須確保機密性,因為披露可能導致對設備功能的未經授權使用或濫用。
FDA文件提供了正確實現授權和身份驗證方案的信息,這些方案通常會確保機密性。不過,設計人員應當在威脅建模期間評估是否為這種情況,并對系統進行必要的更改以確保采取適當的控制措施。
此外,FDA還說明了事件檢測和記錄,同時建議將它們存儲下來以供取證發現使用。這涉及保留和恢復可信的默認設備配置,設計人員必須確定如何使用安全密鑰存儲來實現這一點。
可以合理地假設,現在所有物聯網(IoT)設備都允許進行無線(OTA)固件和軟件更新,但事實是許多這樣的設備沒有這種能力。沒有適當的固件,便無法快速部署系統更新來應對最新的威脅。代碼更新也應符合已建立的用戶權限,因為擁有公鑰的人員可以控制OTA更新并注入有害代碼。
幸運的是,CryptoAuthentication IC讓這個過程變得既簡單又自動化,并且可以確保更新得到執行。單個CryptoAuthentication IC可以安全地存儲FDA提到的大部分(如果不是全部)用例的加密密鑰。
總結
對于醫療設備制造商而言,FDA的最新指南涵蓋的范圍十分全面,目的是推動醫療系統網絡安全領域的發展。這些指南以可納入立法的形式編寫,而不是作為嵌入式系統設計人員的“操作指南”,這就是為什么基準級別的討論只包含在附錄中。
Microchip花費多年時間開發出一套安全設備和工具的可信生態系統,在開始開發將包含在下一代醫療產品中的系統之前,它是一個很好的起點。