חדשות היום
New-Tech Magazine
- מאי 14, 2020

ביטחון ובטיחות עבור התקנים רפואיים מוטמעים – סקירה קצרה

האבטחה והבטיחות של המכשור הרפואי המוטמע הפכה לאחת העדיפויות העיקריות בכל הקשור לתכנון מכשור רפואי מחובר. לעומת זאת, לא יעבור זמן רב לפני שרבים יכירו בצורך לעשות משהו גם בנושא האבטחה בזמן תכנון מכשירים רפואיים.

עם זאת, בגלל מחזורי התכנון הארוכים של מכשירים רפואיים, יישומי אמצעי אבטחה קיבלו עדיפות נמוכה ונאלצו להמתין דור או שניים של מהדורות מוצר. אך חשיבה זו התפוגגה – בהתחשב בפרצות האבטחה הרבות של מכשירי Internet of Things (IoT) האחרונים.

יש זרם בלתי פוסק של חדשות הכוללים התקפות סייבר והתרעות על פגיעות אבטחה בכל סוגי מכשירים מחוברים. לרוע המזל, מכשירים רפואיים אינם פטורים מסוגי התקפות והודעות מהסוג זה.

ככל שמכשירים רפואיים נוספים מתחברים והופכים למה שמכונה כיום האינטרנט של הדברים הרפואיים (IoMT), הפגיעות במכשירים אלה ובנתוני המטופלים ממשיכים לעלות. ישנם חששות אמיתיות בכל הנוגע לחבות משפטית, הגנה על המותג, הקניין הרוחני ורווחי החברה.

ישנם סוגים רבים ושונים של איומי אבטחה שצריך לטפל בהם. סוג אמצעי האבטחה שצריך בזמן תכנון מכשיר רפואי מוטמע תלוי ביישום ובאופן השימוש בו.

הטמעת עיצובים חדשים לניטור מרחוק של מטופלים ותאימות המטופלים הם כמה מהסיבות הגדולות לחיבור מכשירים רפואיים לענן אך לרוע המזל, ברגע שהמכשיר מחובר לענן הוא יכול להפוך למטרה להאקרים. שתי דוגמאות נפוצות לאיומי האקרים על מכשירים רפואיים המחוברים לענן הינן התקפה מסוג “מניעת שירות” או התקפה מסוג “תקיפת המתווך”.

דוגמא להתקפת “מניעת שירות” היא כאשר האקרים משתלטים על מערכת הניטור מרחוק שמציפה את שרת הענן בבקשות מיותרות על מנת להעמיס על השרת ובכך מונעת מעבר הבקשות הלגיטימיות וביצועם. התרחיש הגרוע ביותר הוא מתקפת מניעת שירות מופצת. דוגמא לכך יכולה להיות כאשר כל מערכות ניטור החולים בבית חולים נפרצת ובכך שרת הענן היחידי מקבל זרימה של בקשות מיותרות שגורמות לו לקרוס.

דוגמה להתקפת “מתווך” הינה כאשר האקר מצליח לקבל גישה למשאבת עירוי מחוברת המספקת טפטוף מורפיום לחולה. ההאקר יכול ליירט את התקשורת בין המשאבה לשרת וכן לשלוח תקשורת כוזבת לאחד מהם. בין היתר, ההאקר יוכל לשלוט על המשאבה וגם לא למסור תרופות כלשהן לחולה או להעביר מנת יתר. שני התרחישים עלולים להוות אסון עבור המטופל ולכל המעורבים.

אמצעי נגדי מסורתיים עבור התקפות מסוג זה ואחרות היו פתרונות באמצעות שליטה מלאה דרך תוכנה. עם זאת, אמצעי נגד אלה מיושמים כעת בפתרונות חומרה מהירים יותר וחסכוניים יותר. יישום אידיאלי של אמצעי נגד נגד חומרה יהיה לשלב רבים מפונקציות התוכנה המסורתיים בשבבים.

ישנם הרבה סוגים שונים של שבבי אבטחה. מעצבי מכשירים רפואיים צריכים להחליט כבר בשלב מוקדם מאוד של מחזור התכנון אילו פונקציות ואילו שכבות אבטחה נחוצים לעיצוב. אחר כך המעצב צריך לבחור את שבבי האבטחה המיישמים פונקציות אלה.

כמה דוגמאות לסוגים שונים של שבבי אבטחה הם cryptography-enabled בקרי מיקרו ומעבדי מיקרו וכן אלמנטים מאובטחים. בשילוב עם קושחה מתוכננת היטב יחד עם ענן מנוהל, שבבים אלה מספקים אבטחה ואמצעי נגד המבטיחים סודיות, שלמות נתונים ואימות למכשירים רפואיים מחוברים. מידע נוסף על סוגי השבבים הללו ניתן למצוא במקרא בסוף מאמר זה.

סוג אחד של שבב שמפחית גם את פגיעת “מניעת שירות” וגם את פגיעת ה”מתווך” שנקרא בדרך כלל אלמנט מאובטח או מכשיר Cryptoauthentication™ . בדרך כלל מדובר בשבבים קטנים (למשל בחבילות UFDN עם 8 כריות או חבילות SOIC עם 8 פינים) שניתן להוסיף בקלות לעיצוב של מכשיר רפואי מחובר. שבב אלמנטים מאובטח נועד לעבוד כמתלווה ל- MCU בעיצוב המכשור הרפואי.

שבבי אלמנטים מאובטחים אלה מציעים תכונות כגון מחולל מספרים אקראי באיכות גבוהה, קריפטוגרפיה מבוססת חומרה, אחסון קוד מאובטח ויכולות אתחול מאובטחות למיקרו-בקרים. הם מציעים גם אמצעי נגד כגון הגנה מפני התקפות ערוץ צדדי ואנטי פעימות שיכולים להפחית דלתות אחוריות פוטנציאליות הקשורות לחולשות תוכנת מכשירים רפואיים.

אנלוגיה פשוטה לשבב אלמנטים מאובטח תהיה להשוות אותו לכספת המגנה על סודות. סודות אלה מוכנסים לכספת במהלך תהליך הייצור.

מבחינת שבב האלמנטים המאובטח, הסודות נקראים מפתחות. ניתן לראות במפתחות את האישור בשבב האלמנטים המאובטח של העיצוב המאשר את הניתוק או אומר לו להעניק חיבור למכשיר הרפואי. מתן תהליך חיבור זה נקרא אימות.

תהליך הזנת המפתחות הללו לשבב נקרא הקצאת מפתחות. ניתן לראות בהקצאות כאפשרות של תכנות מראש. זה נעשה במתקן המאובטח של יצרן השבבים. תהליך הקצאה מאובטח זה אינו מאפשר לאף אדם לראות את המפתחות כך שהם לעולם לא נחשפים.

התוצאה היא שהמכשיר הרפואי מאובטח פיזית כאשר הוא אינו בשימוש בבתי חולים, מרפאות או בבית המטופל. הקצאה מאובטחת יכולה גם לחסל את האיום של יצרני לוחות צד שלישי לחשש שיוכלו לגנוב את המפתחות המאוחסנים בשבב האלמנטים המאובטח.

כאשר המכשיר הרפואי נמצא בשימוש ורוצה להתחבר לענן הוא יעבור תהליך אימות עם השרת. במהלך תהליך זה שרת הענן שולח אתגר לשבב האלמנטים המאובטח המציע תגובה הנגזרת באמצעות מפתח סודי. אם תגובת האלמנט המאובטח נכונה, ניתנת גישה לשרת.

אימות מאובטח לשרת ענן הוא תהליך מורכב ולעיתים אינו מוכר למעצבי מכשירים רפואיים ליישום עצמי. כדי להתמודד עם אתגר זה, ניתן להגדיר מראש את שבב האלמנטים המאובטח ולהקצות אותו מראש במפעל ספק השבבים עם אישורים לאימות לשירותי ענן נפוצים כמוAmazon Web Services (AWS) IoT Core, Microsoft Azure IoT Hub או Google IoT Core. שימוש בשירות הקצאות יכול לבטל את המורכבות, עיכובים בעיצוב ועלויות גבוהות הקשורות בדרך כלל למעצבי מכשירים רפואיים המנסים לעשות זאת בעצמם.

עם כל כך הרבה חששות אבטחה כיום, הפתרונות הזמינים לשיפור ההגנה על המכשור הרפואי זמינים בקלות. שבבי רכיב מאובטח או CryptoAuthentication יכולים להיות דרך פשוטה יחסית וחסכונית יותר ליישום פונקציונליות של אימות ענן ואבטחה כוללת במכשירים רפואיים מחוברים של ימינו.

נושאי בטיחות בזמן עיצוב מכשירים רפואיים מוטמעים

דרישות הבטיחות התרחבו בענפים רבים. לענייננו אנו יכולים להשתמש בהגדרה כי תהליכי בטיחות ותפקודים מגלים כשלים במערכת או מוצרים חשמליים או אלקטרוניים ובכך מונעים פגיעה, נזק או אירועים מסכני חיים. סוגיות ודרישות חדשות בנושא בטיחות מופיעים בתחומי יישומים רבים ומגוונים כגון רכבים, מערכות אלקטרוניות תעשייתיות, מכשירי חשמל ביתיים – ומכשור רפואי.

הרבה נעשה כבר בתעשייה כדי לתכנן מכשירים רפואיים בטוחים וחזקים, אולם מכיוון שמערכות אלקטרוניות יכולות להיכשל צריכה להיות דרך להתמודד בבטחה עם תקלות אלה.

במילים פשוטות, מטרת הבטיחות התפקודית היא לגלות כשלים ולהגיב כראוי, כך שאנשים לא ייפגעו. זה מושג בשני אופנים. הדרך הראשונה היא להפחית טעויות שיטתיות במהלך תהליך העיצוב. השנייה היא שהתכנון יוכל לגלות כשלים אקראיים ולעבור למצב בטוח.

דבר אחד שכדאי לזכור הוא שהבטיחות התפקודית לא מפחיתה את שיעורי הכישלון הכוללים. זהו מטופל בכך בזמן תהליכי אבחון איכות בזמן התכנון והייצור של החלקים הנפרדים המשמשים לעיצוב וגם עבור המכשור הרפואי עצמו. מטרת תכנון לפי תקני בטיחות תפקודית היא להמיר כשלים לא בטוחים לכשלים בטוחים. זהו גם תהליך שבאמצעותו המעצב יכול להגדיר רמה מותרת של כשלים לא בטוחים.

לא חסר פרסום שלילי בכל הנוגע לחדשות הקשורות לבטיחות במכשירים רפואיים. הקפדה על בטיחות המכשור הרפואי הינה קריטית למעצבים כיוון שמכשירים רפואיים יכולים להשפיע על בריאותם של החולים המסתמכים עליהם. בדומה לאבטחה, יש לקחת בחשבון את הבטיחות לפני התחלת כל עיצוב למכשור רפואי.

ישנם תקני בטיחות פונקציונליים לסוגים רבים של תעשיות שונות. הבטיחות בעיצוב מכשירים רפואיים מוטמעים עשויה להיות תלויה בתכנון לפי יותר מרק סטדנטרט אחד. לדוגמה, מעצבי מכשירים רפואיים גילו שהם לא רק צריכים לבצע את העיצובים שלהם על פי תקן IEC 62304 לתהליכי מחזור חיי תוכנה – אלא שהם צריכים גם לשלב את תקן הבטיחות התפקודי IEC 61508 בתהליך העיצוב. למעשה, תקן IEC 62304 מעודד את המתכננים לתקן זה להשתמש גם ב- IEC 61508 כמקור לשיטות, טכניקות וכלים טובים לעיצוב תוכנה.

חשוב לזכור כי בטיחות פונקציונלית אינה קשורה רק לחומרה או לתוכנה במכשירים רפואיים אלא כוללת תהליך עיצוב שלם ומערכות אקולוגיות למען בטיחות התכנון. לדוגמה, חלקי MCU המיועדים ליישומי בטיחות פונקציונלית נתמכים על ידי פונקציות משולבות בחומרה, ספריות בדיקות לאבחון תוכנה, מדריכי בטיחות ודוחות FMEDA, בהתאם לתקן ולרמת הבטיחות בה הם תומכים.

התכונות של מערכת אקולוגית זו לא רק מסייעות לעמוד בתקני הבטיחות, אלא גם יכולות לשחק תפקיד משמעותי באיתור כשלים במהלך פעולת זמן ההפעלה של העיצוב. שיקולי בטיחות פונקציונליים צריכים למלא חלק משמעותי בבחירת ה- MCUs המשמשים מעצבים לצורך תכנונים רפואיים בטוחים.

להלן מספר דוגמאות למוצרי MCU לבטיחות תפקודית ותכונות תמיכה שיכולות להיות חשובות לגילוי כשלים בעיצוב מכשירים רפואיים:

  • ספריות אבחון הפועלות הן באיפוס והן בזמן ההפעלה על מנת להבטיח שאין כשלים במערכת.
  • כלי פיתוח של MCU צריכים להיות מוגדרים כבטוחים כדי שלא יכניסו כשלים במערכת. הכשרה בכלי פיתוח לפיתוח תקני בטיחות תפקודיים היא חלק חשוב בכך.
  • תכנון בעזרת MCUs הכוללים ציוד היקפי משולב חכם מסייע להגדיל את האמינות והניטור ביישומים קריטיים לבטיחות.

מבחינת מכשירים רפואיים, אסור להתפשר בבטיחות. יחד, תכונות חומרה ותוכנה אלה עוזרות להבטיח כי מכשירים רפואיים פועלים כמתוכנן, עם כיבוי בטוח במידה שצצה חריגה או בעיה כלשהי.

בטוח ומאובטח

בעבר, גם אבטחת וגם בטיחות המכשור הרפואי המוטמע היו מחשבות לוואי בתהליך התכנון. כבר לא ניתן שלא להתחשב בפונקציות אבטחה ובטיחות כאשר מעצבים מכשירים רפואיים. בטיחות הציבור כמו גם מוניטין החברה בהפחתת האחריות המשפטית ויחד עם הצלחה פיננסית תלויים בעיצובים בטוחים ובטיחותיים יותר.

מקורות

אלמנט מאובטח / הצפנה מאומתת

אבטחת עיצוב מוטמע

בטיחות תפעולית

עיצוב מכשיר רפואי מוטמע

תמונת כותרת: אבטחה עבור עיצובים במכשור רפואי מוטמע

מרטן ל. סמית Microchip Technology Inc.

כתבות קשורות

תגובות סגורות