Améliorer la sécurité des dispositifs médicaux grâce aux SBOM

Découvrez l'interview mené par Deb Radcliff, analyste du secteur et rédactrice en chef des blogs et podcasts éducatifs TalkSecure de CodeSecure.

Elle interview Phil Englert qui a géré la santé et la sécurité de 380 000 dispositifs médicaux fabriqués par 500 sociétés de produits différentes. À l'époque, il n'existait aucun moyen automatisé d'évaluer et d'inventorier ces appareils, et les nomenclatures logicielles (SBOM) n'étaient pas encore concernées.

Dans cette entrevue, Phil Englert, propose une vision tridimensionnelle des dispositifs médicaux : 

• Les appareils eux-mêmes
• Les environnements dans lesquels ils évoluent 
• Les personnes qui les utilisent (médecins, infirmières, personnel clinique et patients à domicile et connectant des dispositifs médicaux implantés et portables à leurs smartphones) 

Tout au long de l'interview, il souligne à quel point il est émerveillé par l'innovation et la connectivité des dispositifs médicaux d'aujourd'hui et par leur potentiel à améliorer considérablement les soins aux patients. Il explique également comment une telle innovation peut ouvrir de nouveaux vecteurs d'attaque et fournit des conseils aux équipes de développement de produits.

Aujourd’hui, en partie grâce à l’établissement par la Food and Drug Administration d’ exigences minimales de la FDA en matière de sécurité des appareils en 2023, la sécurité des produits et les SBOM suscitent davantage d’intérêt de la part des fabricants. Cela est dû en partie au fait que la FDA a intégré la sécurité des produits logiciels dans ses directives de sécurité des produits, affirme Englert. 

Alors que de nouvelles technologies de soins aux patients sont mises sur le marché et que les réglementations concernant la sécurité des logiciels dans les appareils de santé se multiplient, le Health-ISAC (centre d'analyse de l'information et du partage) a récemment créé un Conseil de partage d'informations sur la sécurité des dispositifs médicaux (MDSISC). ) en mettant l'accent sur la sécurité de la fabrication des dispositifs médicaux . 

Phil Englert est actuellement vice-président de la division des dispositifs intégrés de Health-ISAC et est expert en la matière et contributeur au MDSISC, qui rassemble plus de 300 personnes d'organisations de soins de santé et de fabricants de dispositifs médicaux pour développer des solutions, identifier les meilleures pratiques et faciliter l'échange d'informations. contribuer à sécuriser les dispositifs médicaux et les pratiques associées. 

Avec son expérience unique en tant que responsable de produit pour les fabricants de dispositifs médicaux et en tant que responsable de la cybersécurité axé sur les dispositifs médicaux pour les systèmes hospitaliers, il constitue un bon pont entre les acheteurs et les constructeurs de ces produits. " Au fond, je suis ingénieur clinicien et c'est ce que je fais ici [au Health-ISAC]. J'ai commencé comme ingénieur de services sur le terrain et j'ai découvert les nombreuses technologies qui soutiennent les soins de santé et la variété des environnements cliniques qui font des systèmes de santé un espace complexe dans lequel fonctionner." 

De son point de vue, d'énormes progrès ont été réalisés de la part des organisations de développement, notamment en intégrant les tests de sécurité dans leur flux de travail de développement, en améliorant la capacité de journalisation et en produisant des SBOM. Ils ont désormais besoin de meilleurs moyens de gérer et de suivre les données SBOM et de prioriser les vulnérabilités.

« Considérez que les 380 000 appareils que je supervisais contenaient au moins un millier de composants logiciels. Pensez maintenant à la vulnérabilité Log4j. Sans SBOM, nous devrions nous adresser à chacun de ces 500 fabricants pour déterminer quel pourcentage de notre environnement pourrait être impacté, puis effectuer manuellement une analyse des zones à exploiter, quel impact cela aurait sur notre activité de prestation de soins de santé et comment cela pourrait-il se produire. nous récupérons rapidement et gracieusement. Ce sont tous des éléments dans lesquels la SBOM pourrait gagner en efficacité et réduire le niveau d’effort.

Les scans d'analyse binaire qui publient la sortie SBOM sur du code tiers aideront également les équipes d'ingénierie à gérer leurs risques liés au code source et offriront une visibilité aux organisations consommatrices qui n'ont pas accès au code source. 

« La SBOM n'est qu'un outil actif », explique Phil. « Mais gérer les vulnérabilités, les reconnaître et obtenir des réponses, c'est là où nous allons avec les SBOM. Ce travail n’est pas encore complètement défini, mais l’industrie attend d’y arriver.