Кен Хойм, давній керівник безпеки пристроїв, про критичні міркування
Маріанна Колбасук МакГі (HealthInfoSec) • 9 серпня 2022 12 хвилин
Посилання на інтерв'ю:
https://www.healthcareinfosecurity.com/interviews/medical-device-sboms-attention-to-details-matter-i-5122#.YvLKDsMRRAg.linkedin
Згадка Health-ISAC:
«Мене надихає Координаційна рада галузі охорони здоров'я (HSCC) і Рада з обміну інформацією щодо безпеки медичних пристроїв Health-ISAC (MDSISC), справжні форуми, на яких люди, які працюють у мережах з боку медичних організацій (HDO) і виробники медичного обладнання (MDM), обговорюють і розуміють проблеми обох сторін, і я думаю, що це те, що продовжуватиме зростати в майбутньому ”, – каже Кен Хойм щодо багатообіцяючих нещодавніх досягнень у сфері кібербезпеки медичних пристроїв.
Виробникам медичних пристроїв недостатньо надати перелік матеріалів для програмного забезпечення – необхідно також звернути особливу увагу на те, як повідомляється про вразливості в компонентах і як керувати ними, каже Кен Хойм, колишній керівник безпеки продуктів у виробнику медичних пристроїв Boston Scientific.
«Список матеріалів програмного забезпечення принаймні розкриває, що таке стороннє програмне забезпечення [пристрою], а також кінцевим користувачам і виробникам зрозуміти, коли вони можуть мати вразливий програмний компонент в одному зі своїх пристроїв», — каже Хойм, який нещодавно приєднався до консультативна рада охоронної фірми MedCrypt.
Галузь стикається з низкою важливих питань, які впливають на те, наскільки ці SBOM корисні для організацій, що надають медичну допомогу, каже він. Залежно від свого розміру організація охорони здоров’я може мати у своєму середовищі сотні тисяч пристроїв різних типів і версій із сотень різних постачальники, він каже.
«Очевидно, що у великій системі охорони здоров’я може знадобитися кілька місяців, щоб розгорнути виправлення. І у вас можуть бути пристрої кількох версій. Їх може бути кілька SBOM наприклад, версії для відповідних 2,500 пристроїв від 500 постачальників», — каже Хойм.
«Обсяг даних і те, як ми як галузь ефективно цим керуємо, є критично важливими».
Більшість медичних організацій не мають достатньої пропускної здатності, щоб відвідувати сотні веб-сайтів і завантажувати тисячі SBOM щотижня, щоб побачити, що оновлюється, додає він.
За його словами, інші міркування ще більше ускладнюють ситуацію. Наприклад, навіть якщо в пристрої використовується програмне забезпечення, у якому пізніше буде виявлено певні вразливості, це не обов’язково означає, що функція програмного забезпечення навіть увімкнена на пристрої, каже Хойм.
"Коли WannaCry хітом 2017 року вимагачів використовував мережевий стандарт Microsoft... але багато пристроїв не використовували цей мережевий стандарт. Отже, якщо у вас не ввімкнено цю мережеву функцію, ви не були вразливі до WannaCry, і все ж був патч, який назавжди це виправив», – каже він.
«Сказання, що у вас є вразлива версія операційної системи Windows, не означає, чи використовується цей конкретний протокол і чи буде пристрій уразливим».
В інтерв’ю (посилання на аудіо під фото) Хойм також обговорює:
Hoyme має майже 40-річний досвід у розробці регульованих безпечних систем, важливих для безпеки. Нещодавно він пішов на пенсію з Boston Scientific, де створив загальнокомпанійну програму безпеки продукту, включивши вимоги безпеки до всієї системи якості. Хойм брав активну участь у багатьох міжгалузевих ініціативах, у тому числі в Центрі обміну та аналізу інформації про здоров’я, Асоціації вдосконалення медичного приладобудування та Консорціумі інновацій у сфері медичного обладнання.
