سازمان غذا و دارو‌ی آمریکا در صدد تأمین امنیت دستگاه‌های پزشکی

سازمان غذا و داروی آمریکا، FDA، مجموعه‌ی جدیدی از پیش‌نویس دستورالعمل‌ها را در روز جمعه منتشر کرده است، به امید این‌که تولیدکنندگان تجهیزات پزشکی، نه تنها به خطرات امنیت سایبری قبل از طراحی محصولات خود رسیدگی کنند، بلکه در هنگام پشتیبانی و نگهداری آن‌ها نیز این کار را انجام دهند.
یک سند ۲۵ صفحه‌ای به تولیدکنندگان توصیه می‌کند که برنامه‌ی مدیریت خطرات امنیت سایبری را مطابق با مجموعه نیازهای تجویز شده به کار ببرند.
این آژانس به عنوان یکی از نیازمندی‌های کار، تولیدکنندگان را تشویق می‌کند که معیارهای نشان داده شده در چارچوب بهبود امنیت سایبری زیربنایی را در گزارش سال ۲۰۱۴ اعمال کنند. این گزارش به وسیله‌ی مؤسسه‌ی ملی استاندارد و فن‌آوری NIST منتشر شده است و نتیجه‌ی آن دستورالعمل اجرایی شماره‌ی ۱۳۶۳۶ است، از یک مجموعه از چهارچوب‌ها برای مدیریت و کنترل خطرات امنیت سایبری حمایت می‌کند، این مجموعه شامل این موارد هستند: شناسایی، حفاظت، تشخیص، پاسخ و بازیابی.
سازمان غذا و دارو نیز تأکید می‌کند که تولیدکنندگان باید مطمئن باشند که آن‌ها می‌توانند به درک، ارزیابی و تشخیص آسیب‌پذیری‌های حاضر پرداخته و بازده فرآیندهای ارتباطی پیرامون آن‌ها را افزایش دهند.
علاوه بر این، این برنامه یک سیاست و شیوه افشای آسیب‌پذیری‌ها را اجرا کرده و با توجه به مجموعه دستورالعمل‌های ارائه شده خطرات را قبل از این‌که مورد بهره‌برداری قرار گیرند، کاهش دهد.
علاوه بر این همکاری، بخش اصلی برنامه‌ی FDA است. در سراسر این گزارش FDA به فواید اشتراک‌گذاری اطلاعات و تجزیه و تحلیل سازما‌ن‌ها می‌پردازد و به شدت توصیه می‌کند که تولیدکنندگان به موضوعات امنیت سایبری، به اشتراک‌گذاری اطلاعات و تحلیل سازمآن‌ها یا ISAO وارد شوند.
در این پیش‌نویس عنوان شده است: «به اشتراک‌گذاری و انتشار اطلاعات و داده‌های امنیت سایبری مربوط به آسیب‌پذیری‌ها و تهدیدات در بخش‌های مختلف، برای موفقیت نظارت بر ۳۳۰ برنامه قبل از ورود به بازار ضروری است.»
دکتر سوزان شوارتز دستیار مدیر مرکز سلامت دستگاه‌های FDA می‌گوید: «سازمان FDA تولیدکنندگان دستگاه‌های پزشکی را تشویق می‌کند تا روی‌کردی پیش‌گیرانه برای مدیریت امنیت سایبری در دستگاه‌های پزشکی در پیش گیرند. تنها در صورتی که ما به صورت مشترک و آشکارا در محیطی قابل اعتماد کار کنیم، قادر خواهیم بود تا به بهترین شیوه از بیماران خود در برابر تهدیدات امنیت سایبری حفاظت کنیم.»
با توجه به این دستورالعمل، اغلب اقداماتی که به وسیله تولیدکنندگان برای رسیدگی به مشکلات انجام خواهد شد باید بر اساس امنیت سایبری به وسیله‌ی به‌روزرسانی‌ها و اصلاحیه‌های معمول‌ صورت گیرد، به نحوی که FDA نیازی به این نداشته باشد که در این مورد گزارش یا اطلاع‌رسانی مفصل و پیشرفته‌ای را ارائه دهد. سازمان FDA برای هر نوع آسیب‌پذیری که عمل‌کرد بالینی یک دستگاه را در معرض خطر قرار می‌دهد و‌ یا پیامدهای احتمالی منطقی و عوارض جانبی تا حد مرگ را در پی داشته باشد‌ باید اطلاع پیدا کند.
این سازمان در نظر دارد که در مورد این توصیه‌‌ها که ۹۰ روز در معرض دید عموم قرار خواهند گرفت، در کارگاه آموزشی امنیت سایبری خود در روزهای چهارشنبه و پنج‌شنبه این هفته به بحث و تبادل نظر بپردازد.
بر اساس گزارش این سازمان، در صدر همه‌ی این مباحث، به علاوه‌ی توصیه‌های ارائه شده، شکاف‌ها و چالش‌های حل‌نشده‌ای قرار دارند که مانع از پیشرفت امنیت سایبری دستگاه‌های پزشکی می‌شود و در این بحث‌ها راه‌حل‌های خاص در این موارد شناسایی شده تا به پیشرفت در حل این مسائل دست پیدا کنند.
این سند به تشریح مواضع این سازمان در مورد چگونگی رسیدگی به امنیت این دستگاه‌ها بعد از آن‌که با چراغ سبز این سازمان وارد بازار شدند، می‌پردازد. این سند در پی دستورالعمل‌های ارائه شده در اکتبر سال ۲۰۱۴ برای تولیدکنندگان دستگاه‌ها که در مرحله توسعه و قبل از ارسال به بازار قرار دارند، اعلام می‌شود.
گزارشی که در روز جمعه منتشر شد، چندین بار به تحقیقات اکتبر گذشته اشاره می‌کند، و اذغان می‌کند که هنگامی که تولیدکنندگان به رسیدگی به امنیت سایبری در طی طراحی و توسعه‌ی دستگاه‌های پزشکی می‌پردازند، حاصل کار کاهش بیشتر و مؤثرتر خطرات امنیت سایبری خواهد بود.
هر دو مجموعه از این دستورالعمل‌ها به دنبال دستورالعمل‌هایی انتشار یافتند که در ابتدا توسط این سازمان در سال ۲۰۱۳ و هنگامی که برای اولین بار مسائل مربوط به امنیت جدی شده بود منتشر شده بودند. سازمان غذا و دارو در آن زمان هشدار داده بود که دستگاه‌هایی که فن‌آوری‌های بی‌سیم RF را به هر شکلی درون خود قرار داده‌اند، باید انتقال داده‌های پزشکی را با امنیت کامل انجام دهند. این هشدارها در پی چندین ماجرا داده شده بود که در آن‌ها تشریح شده بود چگونه دستگاه‌های تنظیم تپش قلب، پمپ‌های انسولین و ضربان‌ساز قلب، مورد نفوذ قرار گرفته بودند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.