Témakör:
Beágyazott orvostechnikai eszközök adat- és funkcionális biztonsága
Megjelent: 2021. február 10.
Régebben azt a terméket neveztük „biztonságosnak”, amely még a meghibásodásakor sem veszélyezteti emberek életét vagy testi épségét. Újabban, az elektronikusan kommunikáló termékek „biztonságának” értelmezése kibővült azzal, hogy a termék nem engedi bizalmas információk illetéktelen kezekbe kerülését, és kizárja működésének jogosulatlan befolyásolását. A kommunikáló orvostechnikai eszközökben a „biztonság” követelménye mindkét értelemben elengedhetetlen.
A beágyazott orvostechnikai eszközök adat- és funkcionális biztonsága egyike a legfőbb prioritásoknak a „csatlakoztatott”, kommunikáló készülékek tervezése során. Ezzel szemben nem túl régóta kezdik csak elismerni, hogy kellene valamit tenni az orvostechnikai eszközök adatbiztonsága érdekében. Az ilyen termékek hosszú tervezési ciklusa következtében az adatbiztonsági intézkedések megvalósítása sokáig sajnos alacsonyabb prioritást kapott, és meg kellett várni a bevezetésükkel egy vagy két termékgeneráció kibocsátását. Ez a fajta „ráérős” gondolkodás azonban eltűnőben van, tekintettel a dolgok internetével, az Internet of Things – (IoT) eszközökkel kapcsolatban felmerült számos. közelmúltbeli biztonsági problémára.
A beágyazott orvostechnikai eszközök adatbiztonsága
Van egy soha véget nem érő hírfolyam a létező összes csatlakoztatott eszköz kiberbiztonságát érintő támadásokkal és a biztonsági sebezhetőségek bejelentésével kapcsolatban. Sajnos az orvostechnikai eszközök sem kivételek ez alól. Ahogy egyre nő a kommunikációra képes orvostechnikai eszközök száma, és ahogy egyre inkább nevezhetjük ezeket internethez kapcsolódó orvostechnikai eszközöknek (Internet of Medical Things, IoMT), egyre növekszik az ilyen eszközök és az általuk kezelt páciensadatok sebezhetősége is. Ezzel egyre valóságosabb a jogi felelősség a vállalati márkanevekkel, a szellemi tulajdonnal és az árbevétellel kapcsolatban is. Sok különféle biztonsági fenyegetés igényel figyelmet. Az adatbiztonsági intézkedések fajtái, amelyeket számításba kell venni egy beágyazott orvostechnikai készülék tervezésekor, erősen függnek az alkalmazástól és azoktól a követelményektől, amelyeket a tervezett használati mód határoz meg. A távoli betegfelügyeletre és kiszolgálásra tervezett új eszközök megvalósítása a legnagyobb mértékben indokolja, hogy ezeket az eszközöket a felhőhöz csatlakoztassák. Azzal azonban, hogy egy készülék a felhőhöz csatlakozik, egyben az illetéktelen hozzáférés célpontjává is válik. A felhőhöz csatlakoztatott készülékeket érintő illetéktelen hozzáférések két általános típusa a túlterheléses támadás (denial-of-service) és a közbeékelődő támadás (man-in-the-middle). A túlterheléses támadás példája, amikor a támadó átveszi az irányítást a beteg-távfelügyeleti készülék felett, és felesleges adatigényekkel árasztja el a felhőszervert annak túlterhelése érdekében, aminek következtében az képtelen kielégíteni a legitim forrásból érkező adatigényeket. A legrosszabb forgatókönyv az elosztott túlterheléses támadás. Ennek egy példája lehet, ha a támadó egy kórház összes betegfelügyeleti készülékét ellenőrzése alá vonja, és azokon át olyan sok – a rendeltetésszerű használatban elő nem forduló, indokolatlan – kiszolgáláskérést generál, amely túlterhelheti azt a felhőszervert, amely az összes páciensmonitor kiszolgálásáért felelős.
A közbeékelődéses támadás egy példája az lehet, amikor a támadó hozzáfér egy csatlakoztatott infúzió-adagolópumpa vezérléséhez, amely például morfiumot adagol egy páciens számára. A támadó elfoghatja a pumpa és a szerver közötti kommunikációt, és hamis információt továbbíthat bármelyik felé. Egyebek között a támadó ezen a módon megvonhatja a páciens számára előírt gyógyszeradagot vagy túladagolhatja azt. Mindkét forgatókönyv végzetes lehet a páciens és minden más érintett számára.
Az ilyen támadások kivédésére szolgáló ellenintézkedések hagyományos megvalósítása teljesen szoftveralapú. Jelenleg azonban ezeket az ellenintézkedéseket gyorsabb és költséghatékonyabb megoldás hardverre bízni. Ideális megvalósításnak tűnik a hagyományos szoftvermegoldások csipekbe történő integrálása. Számos fajta adatbiztonsági csip létezik. Az orvostechnikai készülékek tervezőinek a tervezési folyamat nagyon korai szakaszában kell eldönteniük, hogy az adatvédelemnek mely funkciói és rétegei szükségesek a termék megvalósításához. Ezt követően kell a tervezőnek kiválasztania azokat az adatvédelmi csipeket, amelyek képesek megvalósítani ezeket a funkciókat. A biztonsági csipek különböző fajtáinak példái a kriptográfiai funkciókkal ellátott mikrovezérlők és mikroprocesszorok, valamint az adatbiztonsági céleszközök. Ha ezeket jól felépített firmware-rel és egy felügyelt felhőkommunikációs adatbiztonsági architektúrával kombináljuk, ez garantálhatja az adatok bizalmas kezelését és integritását, valamint a csatlakoztatott orvostechnikai eszközhöz való hozzáférés jogosultságának ellenőrzését. Az e célra használható eszközökről a cikk végén olvasható hivatkozásokban talál további információkat az érdeklődő.
A túlterheléses és a beékelődéses támadások megakadályozására alkalmas eszközök egy tipikus példáját gyakran nevezik „biztonsági elemnek” (secure element), vagy Cryptoauthentication™ alkatrésznek. Ezek jellemzően kis méretű, például 8 kivezetéses UFDN- vagy SOIC-tokozású eszközök, amelyeket könnyű beépíteni egy csatlakoztatott orvostechnikai eszközbe. Az ilyen biztonságielem-csipeket úgy tervezik, hogy az orvostechnikai eszközt vezérlő mikrokontroller „társcsipjeként” legyenek használhatók.
A biztonsági elemek olyan szolgáltatásokat kínálnak, mint a jóminőségű véletlenszám-generátor, a hardveralapú titkosítás, a biztonságos kulcstárolás és a mikrovezérlők biztonságos programindításának (boot) támogatása. Védelmet jelenthetnek ezenkívül például az oldalsávi támadások ellen, aktív fizikai beavatkozásvédelmet is megvalósíthatnak, amely csökkenti a „hátsóajtós” támadások lehetőségét, amelyek az orvostechnikai készülék gyenge szoftvervédettségét igyekeznek kihasználni.
A biztonságielem-csipek egyszerű analógiája egy olyan – titkokat tároló – páncélszekrény lehetne, amelybe azonban ezeket a titkos információkat a gyártás során építik be. A biztonságielem-csipek fogalmai szerint ezeket a titkos információkat kulcsoknak nevezzük. A kulcsokat a termék biztonsági elemében tárolt „meghatalmazásoknak” tekinthetjük, amelyek a szerverhez való hozzáférésre jogosítanak, vagy engedélyt adnak az orvostechnikai eszközzel történő kommunikációra.
A kommunikáció engedélyezési eljárását autentikációnak nevezzük. Azt a folyamatot pedig, amely során a kulcsok a csipbe kerülnek, kulcstelepítésnek hívjuk.
Ezt egyfajta előre programozási eljárásként képzelhetjük el, amely a csipgyártó biztonságos gyártási területén történik. Ez a biztonságos előtelepítés kizárja, hogy a kulcsokat akár csak kiolvashassa is bárki, ezért ezek soha nem válhatnak láthatóvá. Ennek eredményeképpen az orvostechnikai eszköz fizikailag válik biztonságossá, akár kórházban vagy klinikán, akár a páciens otthonában kerül is alkalmazásra. Az előtelepített biztonsági kulcsok kiküszöbölik azt a fenyegetést is, hogy harmadik fél a biztonságielem-csipben tárolt kulcsokat megszerezhesse.
Amikor egy orvostechnikai készülék használat közben csatlakozni kíván a felhőhöz, egy autentikációs folyamatot kell végrehajtania a felhőszerverrel együttműködve. E folyamat során a felhőszerver egy kihívást küld a biztonságielem-csipnek, amelyre az a benne tárolt egyik titkos kulcs felhasználásával állítja elő a választ. Ha a biztonsági elem válasza kielégíti a szervert, az engedélyezi, hogy az orvostechnikai eszköz hozzáférhessen. Egy felhőszolgáltatóhoz való hozzáférés biztonságos autentikációja bonyolult és gyakran túlságosan szokatlan folyamat az orvostechnikai eszközök fejlesztőinek ahhoz, hogy megvalósíthassák a saját változatukat. Annak érdekében, hogy erre megoldást kínáljon, a biztonságielem-csip gyártójának biztonságos területén előre telepítik az ehhez szükséges protokollokat és kulcsokat az olyan közismert felhőszolgáltatókhoz történő autentikációhoz, mint az Amazon Web Services (AWS) IoT-magszolgáltatása, a Microsoft Azure IoT Hub vagy a Google IoT Core. Az előtelepítési szolgáltatás igénybevétele kiküszöböl számos bonyolult tervezési lépést, az ennek megvalósításával járó időveszteséget és a magas tervezési költséget, amellyel – ha mindezt saját erőforrásokkal kívánják megvalósítani – az orvostechnikai eszközök fejlesztőinek számolniuk kell. A jelenkor számos adatbiztonsági kockázatára nézve készen elérhetők tehát azok a megoldások, amelyekkel az orvostechnikai készülékek biztonsága megnövelhető. A biztonsági elemek vagy a CryptoAuthentication csipek használata jelentősen egyszerűbb és költséghatékonyabb módot kínál a felhőszolgáltatásokhoz szükséges jogosultság-ellenőrzésre, és általában a jelenkor csatlakoztatott orvostechnikai eszközeinek biztonságosabb használatára.
A beágyazott orvostechnikai eszközök funkcionális biztonsága
A funkcionális biztonsági követelmények számos iparágban egyre nagyobb jelentőségre tesznek szert. Ezeknek a mi szempontunkból az a definíció felel meg a legjobban, hogy a funkcionális biztonságot szolgáló folyamatok és funkciók felderítik az elektromos, illetve elektronikus rendszerek vagy termékek meghibásodásait, és ezáltal megelőzik a sérülések, ártalmak vagy akár az emberi életet fenyegető szituációk kialakulását. Új funkcionális biztonsági problémák és követelmények merülnek fel az olyan alkalmazások széles körében, mint az autók, ipari elektronikai rendszerek, háztartási készülékek – és nem utolsósorban az orvostechnikai eszközök.
Az iparban már eddig is sokat tettek a biztonságos és robusztus orvostechnikai eszközök megtervezéséért, amióta azonban az elektronikus rendszerek meghibásodásai is előfordulhatnak, gondoskodni kell e hibák biztonságos kezeléséről is. Egyszerűen szólva, a funkcionális biztonság célja a hibák felderítése és a megfelelő reagálás, amelyekkel megelőzhető, hogy embereket érjen sérülés vagy más ártalom. Ez kétféleképpen valósulhat meg. Az első módszer a szisztematikus hibák csökkentése a tervezés folyamatában. A második az, hogy a megtervezett rendszer vagy készülék képes legyen észlelni a véletlenszerű hibákat, és áttérni egy biztonságos üzemmódra.
Fontos szem előtt tartani, hogy a funkcionális biztonság nem csökkenti a teljes meghibásodási arányt. Ezzel a termékhez felhasznált különálló alkatrészek tervezése és a gyártás minőségi folyamatainak biztosítása során foglalkoznak az alkatrészeknek és magának az orvostechnikai eszköznek a gyártása folyamán. A funkcionális biztonsági szabványok szerinti tervezés célja a funcionális biztonságot nem garantáló hibák „átalakítása” olyan meghibásodásokká, amelyek nem sértik a funkcionális biztonságot. Ez egyben egy olyan folyamat is, amelynek során a tervező meghatározhatja a funcionális biztonságot nem garantáló meghibásodásoknak egy még megengedhető szintjét.
Az orvostechnikai eszközökkel kapcsolatos biztonsági kérdéseket meglehetősen nagy figyelem kíséri a média negatív híreiben. Az orvostechnikai eszközök biztonsága kritikus a tervezők számára, mivel az orvostechnikai eszközök befolyásolhatják az azokat bizalommal használó betegek egészségét. Az adatbiztonsághoz hasonlóan minden orvostechnikai eszköz tervezésének már a legelején figyelembe kell venni a funkcionális biztonság szempontjait is.
Számos funkcionális biztonsági szabvány létezik sokféle iparág számára.
A beágyazott orvostechnikai eszközök biztonsága függhet attól, hogy ezek közül a szabványok közül többet is figyelembe vesznek-e a tervezés során. Például az orvostechnikai eszközök tervezői azt tapasztalták, hogy nemcsak az IEC 62304 szabvány alapján kell megtervezniük a szoftverek életciklus-folyamatait, hanem tervezési folyamatukba be kell építeniük az ipari IEC 61508 funkcionális biztonsági szabványt is. Valójában az IEC 62304 szabvány arra ösztönzi az e szabvány szerint tervezőket, hogy az IEC 61508 szabványt is felhasználják a jó szoftveres módszerek, technikák és eszközök forrásaként. Fontos szem előtt tartani, hogy a funkcionális biztonságnak nemcsak az orvostechnikai eszközök hardverére vagy szoftverére, hanem a teljes tervezési folyamatra és ökoszisztémára is ki kell terjednie a biztonságos tervezés és termék érdekében. Például a funkcionálisan biztonságos alkalmazásokhoz tervezett mikrovezérlőket hardverbe épített funkciók, szoftverdiagnosztikai tesztkönyvtárak, biztonsági kézikönyvek és FMEDA jelentések (Failure Modes, Effects, and Diagnostic Analysis – a hibalehetőségek, azok hatásai és diagnosztikai elemzésük szisztematikus végrehajtására szolgáló módszerek összefoglaló jelölése) támogatják a szabványtól és az általuk támogatott biztonsági szinttől függően.
Ennek az ökoszisztémának a képességei nemcsak a funkcionális biztonsági szabványok betartásához nyújtanak segítséget, de jelentős szerepet játszhatnak a termék működése közben jelentkező hibák felismerésében is. A funkcionális biztonsági megfontolások fontos szempontként szolgálnak a biztonságos orvostechnikai eszközök tervezéséhez alkalmazni kívánt mikrovezérlő kiválasztásakor.
Álljon itt néhány példa funkcionálisan biztonságos mikrokontroller-termékek azon jellemzőire, amelyek fontosak lehetnek az orvostechnikai termékek hibadetektálása során:
-
Diagnosztikai könyvtárak, amelyek mind a rendszer újraindulásakor, mind futásidőben tudják garantálni, hogy nincs hiba a rendszerben.
-
Olyan MCU fejlesztőeszközök, amelyek biztonságosnak tekinthetők abból a szempontból is, hogy nem vezetnek be további hibákat a rendszerbe. A fejlesztőeszközök funkcionális biztonsági előírások szerinti minősítése ennek fontos része.
Az integrált és intelligens perifériákkal felszerelt MCU-kkal történő tervezés növeli a funkcionális biztonság szempontjából kritikus alkalmazások megbízhatóságát és hatékonyabbá teszi azok felügyeletét. Az orvostechnikai eszközök tekintetében a biztonságot soha nem szabad veszélyeztetni. Ezek a hardver- és szoftverfunkciók együttesen segítenek abban, hogy az orvostechnikai eszközök rendeltetésszerűen működjenek, biztonságos leállítással, ha bármilyen kivételes szituáció vagy eldöntendő kérdés merül fel.
Adat- és funkcionális biztonság egyszerre
Korábban a beágyazott orvostechnikai eszközök adat- és funkcionális biztonsági szempontjai általában utólag merültek fel a tervezés során. Az orvostechnikai eszközök tervezésénél az adat- és funkcionális biztonság igényének figyelmen kívül hagyása és megtervezése ma már nem elfogadható. A használati biztonság, a gyártóvállalat hírneve, jogi feddhetetlensége és pénzügyi eredményessége nagymértékben függ attól, hogy a megtervezett eszközök biztonságosak-e.
Hivatkozások
-
Biztonsági elemek, titkosított autentikáció:
https://www.microchip.com/design-centers/security-ics/trust-platform
-
Beágyazott eszközök adatbiztonsága:
https://www.microchip.com/design-centers/embedded-security
-
Funkcionális biztonság:
https://www.microchip.com/design-centers/functional-safety
-
Beágyazott orvostechnikai termékek tervezése:
https://www.microchip.com/design-centers/medical
Szerző: Marten L. Smith, üzletfejlesztési igazgató – Orvostechnikai termékek, Microchip Technology
www.microchip.com
még több Microchip