Барман, сипи едно докато не се е почнало…
…, сипи още едно докато не се е почнало…
сипи още едно докато не се е почнало…
… – Господине вече станаха седем,
платете тази сметка и ще Ви сипя!
… – Айде-е-е почна се…

SEC. 807. Ensuring cybersecurity of medical devices.

 

Нововъведеното законодателство за потребителските такси на Администрацията по храните и лекарствата включва множество изисквания за киберсигурност за производителите на медицински изделия, които ще изискват от разработчиците да измислят процеси за идентифициране и справяне със заплахите и уязвимостите за сигурността.

Интересът на злонамерените актьори към сектора здравеопазване продължава да нараства

Здравните заведения се оказаха в прицела на хакерите поради състоението на киберзащитата им. Често атаките са нископрофилни, тоест не се изискват значителни усилия за изпълнението им, а се извличат се добри печалби. Причините за лесните атаки може да се видят тук.

Сечението с низа “medical” показва 80 записа. Невероятно. Преди години проследих историята на етичен хакер, които поподнал вклиника и видял помпите за инсулин и кръв. Човекът само дето не се поболял вторично, след като си поиграл и разбрал колко са защитени. Сега в интернет има 7 260 000 резултата за “hacking insulin pump”. Личните ми наблюдения показват няколко устройства в страната, които работят с Windows 95… На изложбите на медицинска техника видях демонстрации на устройства с по няколко компютъра и операционни системи в тях, които са свързани директно в облака. На въпроса къде са данните отговор обиkновено няма…

Предложеният закон изисква всеки производител,

който представя на органите за сертифициране и след това на пазара киберустройство (според дефиницията в предложението), да включва информация, която гарантира, че устройството отговаря на изискванията за киберсигурност, считана за „подходяща, за да демонстрира разумна гаранция за безопасност и ефективност“.

Законопроектът предлага редица минимални изисквания за производителите на устройства, които включват план за ефективно наблюдение, идентифициране и справяне с уязвимостите и експлоатации в киберсигурността след пускане на пазара в рамките на разумен срок чрез координирано разкриване на уязвимости и процедури.

От производителите ще се изисква да въведат процеси,

чрез които да гарантират, че устройството и свързаните с него системи са „киберсигурни“, заедно с предоставянето на актуализации и корекции на потребителите през целия жизнен цикъл на устройството за справяне с „известни неприемливи уязвимости“ по обоснован, редовен график.

Законопроектът също така ще изисква от производителите да разкрият недостатъци,

които засягат устройствата след производствения цикъл и може да причинят неконтролирани рискове. Добавеното изискване би могло да отговори на дългогодишното предизвикателство в сигурността на медицинските устройства. Досегашната практика показва, че екипите по сигурността в здравеопазването нямат видимост по въпроса това дали корпоративните устройства съдържат известни уязвимости.

Предложеното законодателство включва изискване към производителите да предоставят софтуерен списък с материали в етикета на устройството, включително търговски, с отворен код и готови софтуерни компоненти.

Двупартийният законопроект, въведен в началото на април, включваше подобни изисквания за SBOM (Software Bill of Materials), като средство за модернизиране и защита на цялостната инфраструктура на САЩ и киберсигурността на новите медицински технологии. Законът наречен Protecting Our Ability to Counter Hacking Act of 2017 or the PATCH Act of 2017  (PATCH Act) беше насочен към необходимите ресурси за подобряване на оперативните практики за сигурност както за нови, така и за наследени устройства.

SBOM определя набор от машинно четими метаданни, които идентифицират софтуерни пакети и съдържание, авторски права и лицензионни данни, за да осигурят прозрачност за компонентите на устройството, тъй като те обисновено се доставят от трети страни, които трябва да имат задължения за съпровод.

Започна се

Кои ще плаща оскъпяването на производството? Представен от председателя на подкомитета по здравеопазване, представител Анна Г. Ешу, D-Калифорния, от името на представителя Брет Гътри, R-Ky., законопроектът за промени в храните и лекарствата от 2022 г. е насочен към таксите за потребителите, веригата за доставки и разнообразието от клинични изпитвания. .

Въпреки че изчерпателният пакет е предназначен да преупълномощава споразуменията за потребителски такси на FDA, насочени към по-ниски разходи, подкрепа на иновациите и подобряване на конкуренцията на генеричните лекарства, законопроектът също така се стреми да засили прозрачността, целостта на програмата и регулаторните подобрения, които биха могли да подобрят прозрачността и да гарантират киберсигурността в цялата страна. включително и тази през жизнен цикъл на медицинските устройства.

В този клас устройства редовно се прилагат ядра на операционната система Linux

Linux Foundation поддържа следните отворени програми (open source) по темата SBOM: Open Source Security Foundation (OpenSSF), SPDX (ISO/IEC 5962), sigstore, Let’s Encrypt, in-toto, The Update Framework (TUF), Uptane и  OpenChain (ISO 5230).