Conferência RSA: especialistas dizem que a segurança de dispositivos médicos está na direção certa
8 de junho de 2022Especialistas ainda apontam para a proeminência de dispositivos legados como um gargalo para melhorar a segurança de dispositivos médicos em maior escala
Na Conferência RSA, atualmente realizada em São Francisco e virtualmente, os palestrantes se reuniram para uma sessão para discutir os desafios de segurança de dispositivos médicos.
Os membros do público fizeram perguntas sobre o cenário atual de ameaças e os especialistas abordaram preocupações comuns de segurança.
Os membros do painel discutiram a segurança de dispositivos médicos
O consenso entre os participantes do painel foi relativamente positivo – todos os três concordaram que a segurança de dispositivos médicos está indo na direção certa. Mas, conforme discutido anteriormente em HealthITSecurity , a falta de padrões e responsabilidade compartilhada no espaço pode estar sufocando os esforços bem-intencionados para melhorar a segurança dos dispositivos médicos em grande escala.
“Temos que encontrar uma maneira de nos conectar e trabalhar em algo de forma colaborativa para que possamos identificar soluções mais práticas em vez de falar conceitualmente”, disse Ankit Patel, palestrante e oficial de segurança da informação empresarial (BISO) da Humana, durante o painel.
“Todos nós conhecemos os problemas que estão por aí, mas precisamos encontrar uma maneira de avançar em direção a uma solução.”
Especialistas identificaram repetidamente três problemas principais que tornam a segurança de dispositivos médicos um desafio: dispositivos e sistemas legados, falta de visibilidade e o cenário de ameaças em constante mudança.
Os participantes do painel também observaram o aumento nas divulgações de vulnerabilidades de dispositivos médicos.
Máquinas de ressonância magnética, máquinas de ultrassom e similares podem gerar custos elevados para as organizações de saúde, observou Patel. Organizações menores não podem se dar ao luxo de substituir dispositivos médicos a cada cinco anos, e muitos dispositivos podem funcionar efetivamente por quase 20 anos.
Mas os dispositivos legados apresentam riscos de segurança, e cada dispositivo na rede de uma organização pode representar um ponto de entrada, explicou ao público Errol Weiss, palestrante e CSO do Health-ISAC.
“Quando se trata de dispositivos legados, é aí que ainda temos alguns ajustes a fazer”, disse Patel.
Os participantes do painel concordaram que, embora tenham sido feitos progressos significativos, ainda há pontos de pintura notáveis que impedem que os esforços de segurança de dispositivos médicos sejam totalmente implementados. Os especialistas incentivaram os profissionais de segurança a priorizar a visibilidade de todos os dispositivos conectados na rede de sua organização.
“Se você está citando na presidência do CISO, você precisa conhecer o risco em toda a sua organização. O primeiro passo é a visibilidade”, afirmou Weiss.
“Você precisa começar a iluminar os cantos escuros desses ambientes.”
A indústria está avançando, mas ainda há trabalho a fazer
“Acho que o setor fez avanços significativos nos últimos 10 a 20 anos”, disse Marty Edwards, vice-presidente de segurança de OT da Tenable, durante a sessão.
“Começamos a ver mais recursos de segurança integrados aos dispositivos, e a cultura na indústria de manufatura está melhorando.”
A comunicação entre fabricantes, fornecedores e outras partes interessadas de dispositivos médicos deve ser central para as iniciativas de segurança de dispositivos médicos. Esforços recentes de grupos industriais e agências governamentais sugeriram que a responsabilidade compartilhada se tornou uma prioridade.
Os Conselhos de Coordenação do Setor de Saúde e Saúde Pública (HSCC) publicaram recentemente uma linguagem de contrato modelo para ajudar as organizações de saúde a garantir a segurança de dispositivos médicos ao elaborar contratos com fabricantes de dispositivos.
No final de 2021, a FDA divulgou as melhores práticas para comunicar vulnerabilidades de segurança cibernética a pacientes e cuidadores. O documento forneceu dicas práticas para as partes interessadas comunicarem os riscos dos dispositivos médicos conectados de forma adequada e eficiente.
Além disso, a MITRE e o Medical Device Innovation Consortium (MDIC) fizeram uma parceria para lançar um manual para monitoramento de ameaças a dispositivos médicos. MDCI e HSCC também se uniram recentemente para criar uma pesquisa para fabricantes de dispositivos médicos com o objetivo de estabelecer benchmarks de segurança de dispositivos médicos.
Obviamente, não existe uma solução única para um problema tão sutil quanto a segurança de dispositivos médicos. Mas os participantes do painel concordaram que, para progredir ainda mais, a indústria deve enfrentar os problemas associados aos dispositivos legados e priorizar a visibilidade de quais dispositivos estão na rede de uma organização. Idealmente, os novos dispositivos médicos serão projetados com a segurança em mente desde o início.
Fonte: Healthitsecurity, por Jill McKeon
RSAC 2022 de 6 a 9 de junho de 2022 – São Francisco
RSA Conference | São Francisco
Você encontra no Crypto ID os principais eventos Nacionais e Internacionais sobre de Segurança da Informação. Confira aqui.