Ciberseguridad para dispositivos médicos

¿Qué es la ciberseguridad de los dispositivos médicos?

La ciberseguridad para dispositivos médicos es vital para proteger tanto los datos como las vidas de los pacientes, así como para salvaguardar las instituciones médicas de los ataques de ransomware. Con la evolución de los dispositivos médicos y su conectividad, las ciberamenazas han seguido evolucionando a la par, creando nuevos riesgos.

¿Por qué es tan importante la ciberseguridad de los dispositivos médicos?

Los riesgos de la ciberseguridad de los dispositivos médicos son polifacéticos, y ponen de relieve la necesidad de contar con certificaciones y normas actualizadas, así como de someterse a exhaustivas evaluaciones de ciberseguridad. Una gestión eficaz de los riesgos implica mejorar los procesos del ciclo de vida para identificar vulnerabilidades y reforzar la seguridad mediante rigurosas pruebas de penetración.

Riesgos y requisitos de ciberseguridad para los dispositivos médicos

• Requisitos normativos:
  Los dispositivos médicos están sujetos a estrictas normativas de organismos como la FDA en Estados Unidos, la EMA en Europa, la NMPA en China y otras agencias reguladoras regionales. Estas normativas exigen el cumplimiento de normas y directrices específicas de ciberseguridad para garantizar que los dispositivos estén a salvo de la piratería informática y otras ciberamenazas. El incumplimiento puede dar lugar a sanciones graves, retiradas del mercado o prohibiciones.
• Seguridad del paciente:
  Los fallos de ciberseguridad en los dispositivos médicos pueden poner en peligro directamente la seguridad del paciente. Si se vulnera un dispositivo como un marcapasos o una bomba de insulina, podría funcionar mal, suministrando dosis de tratamiento incorrectas o fallando en momentos críticos.
• Privacidad e interrupciones:
  Dado que los dispositivos médicos suelen almacenar y transmitir información sanitaria delicada, una brecha de seguridad puede exponer los historiales médicos personales, lo que lleva al robo de identidad y a la pérdida de confidencialidad del paciente. Este es un riesgo típico en los ataques de ransomware, en los que actores maliciosos cifran datos críticos y exigen un rescate para desbloquearlos. Estos ataques no sólo comprometen la privacidad de los pacientes, sino que también interrumpen las operaciones esenciales de los sistemas sanitarios, lo que subraya la necesidad crítica de medidas sólidas de ciberseguridad.

Normas y directrices de ciberseguridad para dispositivos médicos

Dados los riesgos que entraña, la ciberseguridad de los dispositivos médicos se somete a rigurosas normas internacionales y nacionales. Los organismos reguladores de todo el mundo han publicado directrices relativas a la regulación de la ciberseguridad de los dispositivos médicos y describen los ensayos a los que deben someterse para llegar a los mercados. En Applus+ Laboratories, podemos ayudarte con las siguientes normas:

• UE MDR / MDCG 2019-16 Directriz de la UE sobre ciberseguridad de los dispositivos médicos: Garantizar la integridad y confidencialidad de los datos de los dispositivos médicos en el mercado europeo.
• EE.UU. / FDA Directrices de sobre ciberseguridad en dispositivos médicos - Consideraciones sobre el sistema de calidad y el contenido de las presentaciones previas a la comercialización: Directrices para incorporar medidas de ciberseguridad desde el diseño hasta la implantación en el marco normativo estadounidense.
• Norma CEI TR 60601-4-5 sobre ciberseguridad de los dispositivos médicos: Una hoja de ruta técnica para implantar normas mundiales de ciberseguridad en dispositivos médicos.
• Norma IEC 81001-5-1 para las actividades de seguridad del software sanitario y los sistemas informáticos sanitarios en el ciclo de vida del producto: Estrategias para mantener la ciberseguridad a lo largo de la vida operativa del dispositivo, aplicables en todo el mundo.

¿Necesita cumplir la regulación MDR de la UE y los requisitos de ciberseguridad de la FDA?

Si su producto cumple alguna de las siguientes afirmaciones, debe someterse a un proceso de pruebas de ciberseguridad:

• Admite descargas de software o firmware (por ejemplo, actualizaciones o parches).
• Proporciona acceso a almacenamiento en la nube o servicios en la nube.
• Puede tener puertos no utilizados para conectividad de red.
• Utiliza cualquier tipo de comunicación inalámbrica (por ejemplo, Bluetooth, Wi-Fi, celular, RF, inductiva).
• Puede interactuar con otros dispositivos o sistemas.
• Contiene un puerto USB o acceso a medios físicos (por ejemplo, tarjeta de memoria, IAG).

En la UE, el acceso al mercado de los productos médicos está regulado por el Reglamento de Productos Sanitarios de la UE (MDR), que pasó a ser obligatorio para los nuevos productos en 2021, sustituyendo a la antigua Directiva de Productos Sanitarios (MDD). El MDR no solo incluye requisitos relacionados con la seguridad.

En Estados Unidos, la FDA regula el acceso al mercado de los productos médicos. Los fabricantes deben someterse a un proceso de presentación previa a la comercialización antes de vender los productos. La FDA revisa esta presentación y concede la aprobación para la entrada en el mercado.

Tanto la normativa sobre MDR de la FDA como la de la UE tienen requisitos similares. Entre las principales expectativas de los reguladores se incluyen:

• Documentación exhaustiva sobre gestión de riesgos, que incluya análisis de amenazas (activos, vulnerabilidades, amenazas) y controles de seguridad «de última generación» para mitigar los riesgos.
• Documentación de orientación y etiquetado de seguridad, que aclare los riesgos de seguridad y las configuraciones, el refuerzo y la mitigación previstos.
• Pruebas de seguridad, como revisiones de código y análisis de vulnerabilidades.

Ensayos de ciberseguridad de la FDA

Los Ensayos de Ciberseguridad exigidos por la FDA están diseñados para garantizar la seguridad y eficacia de los dispositivos médicos. Incluyen varias fases:

1. Requisitos de seguridad (que debe realizar el fabricante):
   • El fabricante debe aportar pruebas de que, durante la fase de diseño de su producto, se han implementado los requisitos de seguridad definidos durante la modelización de amenazas.
   • El fabricante debe aportar pruebas de cómo se han implementado correctamente estos requisitos de seguridad, así como un análisis y una justificación de los supuestos de los límites.
2. Mitigación de amenazas (a cargo del fabricante):
   • El fabricante debe aportar pruebas que demuestren la eficacia de las medidas de control de riesgos basadas en los modelos de amenazas proporcionados.
   • El fabricante debe aportar pruebas sobre cómo verificar que cada control de riesgos de ciberseguridad es adecuado (por ejemplo, la eficacia de la seguridad en la aplicación de la política de seguridad especificada, el rendimiento en condiciones de tráfico máximo, la estabilidad y la fiabilidad).
3. Pruebas de vulnerabilidad (a cargo del fabricante o de un tercero independiente):
   • El fabricante o un tercero deben proporcionar detalles y pruebas de los siguientes ensayos y análisis:
     • Robustez.
     • Fuzz testing.
     • Análisis de código estático y dinámico.
     • Análisis de superficie de ataque.
     • Pruebas en caja cerrada de exploración de vulnerabilidades conocidas.
     • Análisis de composición de software de archivos binarios ejecutables.
4. Ensayos de penetración (a cargo de un tercero independiente):
   • Una 3ª parte independiente debe proporcionar la identificación y caracterización de los problemas de seguridad mediante pruebas centradas en descubrir y explotar las vulnerabilidades de seguridad.
   • Los informes de las pruebas de penetración deben incluir los siguientes elementos:
     • Independencia y experiencia técnica de los probadores.
     • Alcance y duración de las pruebas.
     • Métodos de Ensayo.
     • Resultados.
     • Observaciones de los resultados.

Proceso de certificación de dispositivos médicos

¿Por qué elegir a Applus+ Laboratories para la ciberseguridad de los dispositivos médicos?

Applus+ Laboratories ofrece servicios integrales de ensayos de ciberseguridad para la evaluación de dispositivos médicos. Tenemos muchos años de experiencia realizando evaluaciones de ciberseguridad y llevando a cabo ensayos de penetración en todo tipo de Objetivos de Evaluación (TOEs). Podemos dar soporte durante todo el proceso de conformidad con los estandares de la UE MDR y la FDA.

Ensayos de Penetración

Applus+ Laboratories ofrece amplios servicios de ensayos de penetración para evaluar la resistencia de los sistemas frente a ataques y accesos no autorizados. Mediante la realización de simulaciones de ciberataques, evaluamos las vulnerabilidades de los dispositivos médicos en varios componentes:

En hardware

Ataques de última generación y herramientas ad hoc realizadas por expertos de laboratorio:

• Ingeniería inversa
• Revisión del diseño
• Ataques lógicos
• Extracción de almacenamiento y análisis externo

Sobre software y firmware

Sólida formación en sistemas embebidos, arranque seguro, TEE y criptografía de caja blanca:

• Ingeniería inversa binaria
• Ataques estáticos
• Auditorías de Código Fuente
• Depuración
• Fuzzing
• Manipulación Dinámica / Hooking

Sobre Protocolos de Comunicación

Para protocolos de pila IP, sistemas industriales y protocolos propietarios:

• Ataque a todas las capas (Modelo OSI), incluido HW personalizado para estimular en capas inferiores (cableado & protocolos inalámbricos)
• Fuzzing

Nuestra experiencia en ciberseguridad mejora aún más las medidas de seguridad que recomendamos. Las actividades de pruebas de penetración realizadas en nuestro laboratorio experto no sólo ayudan a reforzar la ciberresiliencia de los productos, sino que también sirven como prueba del cumplimiento de los requisitos de ciberseguridad exigidos por los organismos reguladores de todo el mundo, como la FDA en EEUU.

Análisis de brechas

Nuestros equipos también pueden ayudar a los fabricantes de todo el mundo a verificar si sus productos cumplen las normas o directrices específicas solicitadas por los organismos reguladores.

En Applus+ Laboratories, revisamos la documentación generada por el fabricante para determinar si cumple la norma específica, identificando cualquier laguna o posible problema. Durante esta fase, el equipo de Applus+ Laboratories analizará, guiará y apoyará al fabricante en la preparación de la documentación requerida antes de su presentación al organismo regulador.

Ejemplo: Para los Ensayos de Ciberseguridad de la FDA, el equipo de Applus+ Laboratories ofrece un servicio opcional para revisar la documentación del fabricante antes de la presentación previa a la comercialización, centrándose en 1) Requisitos de Seguridad, 2) Mitigación de Amenazas y 3) Ensayos de Vulnerabilidad, analizando, entre otras cosas, los requisitos de seguridad definidos y si se alinean con los problemas de seguridad identificados en el modelado de amenazas, así como las hipótesis definidas, la idoneidad de los ensayos de vulnerabilidad, etc.

Experciencia en Productos y Proyectos