Protéger les dispositifs médicaux des cyberattaques, demande instamment la FDA

La FDA exhorte les fabricants d'appareils médicaux et les établissements de soins de santé à s'assurer que des mesures de protection adéquates sont en place pour protéger leurs dispositifs médicaux contre les cybermenaces.
La FDA (Food and Drug Administration) a déclaré jeudi que son avertissement s'adressait spécifiquement aux ingénieurs biomédicaux, au personnel des services de santé et des achats, aux établissements utilisateurs de dispositifs médicaux, aux hôpitaux et aux fabricants de dispositifs médicaux.
Une cyber-attaque peut être provoquée par l'introduction de * logiciels malveillants dans les équipements médicaux, ainsi que par l'accès de personnes non autorisées aux paramètres de configuration des réseaux et équipements hospitaliers.
* Un logiciel malveillant est un logiciel créé pour désactiver ou endommager les ordinateurs et les systèmes informatiques, c’est-à-dire les logiciels malveillants.
La plupart des dispositifs médicaux contiennent aujourd'hui des systèmes informatiques intégrés configurables, ce qui signifie qu'ils peuvent être modifiés ou modifiés. les rendant vulnérables aux violations de la cybersécurité.

La menace est devenue plus grave au cours des quinze dernières années, à mesure qu'un nombre croissant d'appareils médicaux sont interconnectés par le biais des réseaux hospitaliers, d'Internet, des smartphones et d'autres dispositifs médicaux. Chaque nouveau type de connexion augmente leur vulnérabilité aux attaques malveillantes.
La FDA indique qu'elle a pris conscience des vulnérabilités et des incidents de cybersécurité suivants concernant les opérations du réseau hospitalier et les dispositifs médicaux:

• Dispositifs médicaux configurés et / ou connectés à un réseau désactivé par un logiciel malveillant


• Les logiciels malveillants pénètrent dans les smartphones, les tablettes et les autres appareils mobiles des hôpitaux qui utilisent la technologie Wi-Fi pour accéder aux informations sur les patients, aux dispositifs de patients implantés et aux ordinateurs des hôpitaux


• Absence de sécurité en ce qui concerne les mots de passe, les mots de passe désactivés et les mots de passe codés en dur pour les logiciels destinés à des membres sélectionnés du personnel tels que le personnel de maintenance, technique ou administratif


• Ne met pas régulièrement à jour les appareils médicaux et les logiciels réseau


• Ne pas aborder les vulnérabilités des périphériques hérités (dispositifs médicaux plus anciens)


• Faiblesses de sécurité dans les logiciels standard, censées empêcher tout accès non autorisé à un réseau ou à un périphérique, tels que mots de passe codés en dur, authentification en texte clair ou sans authentification

Jusqu'à présent, la FDA n'a reçu aucun rapport indiquant que des systèmes ou dispositifs spécifiques à usage clinique étaient délibérément ciblés, et elle n'était pas non plus au courant de blessures ou de décès de patients causés par ces incidents.
Selon la FDA, les autorités américaines de santé et autres, les fabricants de dispositifs médicaux et de logiciels ont étroitement collaboré pour minimiser les risques de cyberattaques.

Quelles sont les actions recommandées par la FDA?

Un pourcentage élevé d'appareils médicaux contient des systèmes informatiques intégrés configurables qui constituent des cibles potentielles pour les cybermenaces. Recommandations pour les fabricants d'appareils
Les fabricants de dispositifs médicaux ont la responsabilité de surveiller les risques et les dangers potentiels liés à leurs produits, y compris les risques de cybersécurité. Ils sont également chargés de veiller à ce que des mesures d'atténuation appropriées soient mises en place pour garantir la sécurité des patients et garantir le bon fonctionnement de l'appareil.

Les fabricants d'appareils médicaux doivent s'assurer que l'accès non autorisé à leurs produits n'est pas possible. La FDA a écrit dans un communiqué en ligne "Plus précisément, nous recommandons aux fabricants de revoir leurs pratiques et leurs politiques de sécurité informatique pour s’assurer que les mesures de protection appropriées empêchent tout accès ou modification non autorisé La mesure dans laquelle les contrôles de sécurité sont nécessaires dépend du dispositif médical, de son environnement d'utilisation, du type et de la probabilité des risques auxquels il est exposé et des risques probables pour les patients d'une violation de la sécurité. . "
Lors de l'évaluation du périphérique, les éléments suivants doivent être pris en compte:

• Des mesures doivent être prises pour s'assurer que seuls les utilisateurs de confiance ont accès à l'appareil et à personne d'autre, en particulier les appareils qui maintiennent les patients en vie ou peuvent être connectés directement aux réseaux des hôpitaux.


• Prendre des mesures pour protéger chaque composant de l'exploitation. Développer des stratégies de protection active de la sécurité adaptées à l'environnement d'utilisation du périphérique. Ces stratégies doivent inclure un déploiement rapide des routines de sécurité, des correctifs de sécurité validés et des systèmes nécessitant un code authentifié pour les mises à jour logicielles et micrologicielles.


• La fonctionnalité essentielle d'un dispositif médical est une priorité absolue, assurez-vous que les approches de conception en tiennent compte. Même si le périphérique a été compromis, des modes de sécurité doivent être inclus pour conserver cette fonctionnalité critique.


• Il devrait y avoir des méthodes de rétention et de récupération après un incident qui affecte la sécurité. "Les incidents de cybersécurité sont de plus en plus fréquents et les fabricants devraient envisager des plans de réponse aux incidents qui traitent de la possibilité d'opérations dégradées et d'une restauration et d'une récupération efficaces."

Recommandations pour les hôpitaux et autres établissements de santé
Les établissements de santé doivent prendre des mesures pour évaluer la sécurité de leur réseau et protéger leurs systèmes hospitaliers. Les points suivants doivent être pris en compte lors de l'évaluation de la sécurité du réseau:

• L'accès aux dispositifs médicaux et aux réseaux en réseau en général devrait être limité au personnel autorisé et à personne d'autre.


• Les pare-feu et les logiciels antivirus doivent être mis à jour régulièrement.


• L'activité du réseau doit être surveillée en permanence pour détecter toute utilisation non autorisée.


• Les composants de réseau individuels doivent être évalués périodiquement de manière routinière. Cela inclut la mise à jour des correctifs de sécurité et la désactivation de tous les ports et services inutiles.


• Si un hôpital ou un établissement de soins de santé a ou soupçonne un problème de cybersécurité avec un appareil médical, contactez le fabricant immédiatement.La FDA et le DHA ICS-CERT pourraient être en mesure d’aider à la création de rapports et à la résolution de vulnérabilités s’il est impossible de déterminer qui est le fabricant ou si le fabricant ne peut pas être contacté.


• Dans des conditions défavorables il est important que l'équipement conserve une fonctionnalité critique. Les établissements de soins de santé doivent élaborer et évaluer des stratégies d'urgence.

La FDA dit qu'elle a publié un projet de directives sur la manière dont les fabricants d'appareils médicaux devraient aborder la cybersécurité lors de la soumission de leurs produits pour approbation (pré-commercialisation). Il fournit également des conseils sur la manière dont les fabricants devraient traiter les problèmes de cybersécurité concernant les appareils qui utilisent des logiciels standard.

La FDA demande aux fabricants et aux établissements de santé de signaler les problèmes

Afin de mieux comprendre les risques liés aux dispositifs médicaux, la FDA exhorte les utilisateurs et les fabricants d’appareils à signaler rapidement tout événement indésirable à l’Agence. "Si vous pensez qu'un événement de cybersécurité a eu un impact sur les performances d'un appareil médical ou sur un système de réseau hospitalier, nous vous encourageons à soumettre un rapport volontaire via MedWatch, le programme FDA Safety Information et Adverse Event Reporting."

Le personnel de santé doit suivre les procédures de signalement prévues par ses installations. Les fabricants de dispositifs médicaux doivent se conformer aux réglementations MDR (Medical Device Reporting).
Lorsque vous signalez un problème / incident de cybersécurité avec un périphérique spécifique, la FDA demande que les informations suivantes soient incluses dans le rapport (si disponible):

• Qui est votre point de contact si plus de détails concernant l'incident ou l'événement sont requis?


• Quand le problème de la cybersécurité a-t-il été découvert pour la première fois?


• Comment le problème a-t-il été découvert pour la première fois?


• Quels numéros de modèle et versions de firmware sont concernés?


• Combien d'appareils médicaux sont / ont été touchés?


• La fonctionnalité de l'appareil a-t-elle été compromise? Si oui, comment cela s'est-il passé (a-t-il été exploité via un accès local ou à distance)?


• Quel est le comportement anormal observé du dispositif médical? Quelles sont les conséquences potentielles?

Des chercheurs de l'Université du Michigan, de l'Université de Caroline du Sud, de l'Institut coréen de sciences et de technologie, de l'Université du Minnesota, de l'Université du Massachusetts et de la Harvard Medical School ont déclaré en mai 2013 que les capteurs utilisés dans les défibrillateurs cardiaques
L’équipe a montré qu’ils pouvaient créer un rythme cardiaque irrégulier avec des ondes électromagnétiques à radiofréquence. En théorie, un faux signal comme celui qu’il créait pourrait empêcher le stimulateur de fonctionner correctement et provoquer des chocs de défibrillation inutiles.
Le professeur Wenyuan Xu, de l’Université de Caroline du Sud, a déclaré: "La sécurité est souvent une course aux armements avec des adversaires. En tant que chercheurs, il est de notre responsabilité de toujours remettre en question les pratiques qui pourraient être exploitées avant que des incidents fâcheux ne se produisent." espérons que nos résultats de recherche pourront contribuer à renforcer la sécurité des systèmes de détection qui émergeront dans les années à venir. "
Ecrit par Christian Nordqvist