Cómo diseñar dispositivos de acuerdo con las directrices de ciberseguridad de la FDA

El pasado mes de octubre, la Food and Drug Administration (FDA) publicó una actualización de la Guía sobre el contenido de la presentación previa a la comercialización para la gestión de la ciberseguridad en los dispositivos médicos, redactada inicialmente en 2014. Las directrices se aplican a los fabricantes de productos sanitarios y subrayan la importancia de incorporar prácticas de seguridad en el diseño de los nuevos dispositivos médicos conectados.

El borrador de las directrices se envió a las partes interesadas del sector, incluidos organismos federales, fabricantes, investigadores y líderes en ciberseguridad, para que formularan sus comentarios. Durante este periodo, Keyfactor colaboró con la FDA para perfeccionar las directrices basándose en nuestra amplia experiencia de trabajo en ciberseguridad y dispositivos médicos.

Aunque aún no se han publicado las directrices definitivas, existen medidas prácticas que los fabricantes y desarrolladores de software pueden adoptar hoy mismo. Estas medidas son importantes tanto para el cumplimiento de la FDA como para proteger la seguridad de los pacientes que dependen de estos dispositivos.

Los piratas informáticos no esperan a las normas, sino que intentan adelantarse a ellas. Es probable que pasen varios meses hasta que se finalicen y publiquen las directrices de ciberseguridad de la FDA, pero no cabe duda de que determinadas medidas de seguridad seguirán formando parte esencial del documento, como el cifrado y la autenticación. A menos que se apliquen estos controles de seguridad, los puntos débiles seguirán siendo explotados por piratas informáticos e investigadores de seguridad.

Los fabricantes de dispositivos deben incorporar las disposiciones de ciberseguridad del borrador de la guía en sus dispositivos médicos ahora. Estos pasos proactivos ayudarán a los MDM a garantizar una revisión eficiente previa a la comercialización, evitar costes indebidos o retrasos en el tiempo de comercialización y proteger las inversiones en dispositivos de nueva generación.

La ciberseguridad de los productos sanitarios empieza en el diseño: las directrices de ciberseguridad de la FDA son claras al respecto. Para crear dispositivos "seguros desde el diseño", es fundamental que los fabricantes de productos sanitarios:

1. Integrar una identidad de confianza en cada dispositivo.
2. Verifique software y las actualizaciones de firmware, y
3. Utilizar técnicas criptográficas sólidas.

Afortunadamente, todos estos objetivos pueden alcanzarse con una tecnología de eficacia probada: los certificados digitales.

La infraestructura de clave pública (PKI) y el uso de certificados digitales han demostrado que pueden ampliarse con el uso generalizado y el éxito de SSL/TLS en Internet. La mayoría de los dispositivos IoT utilizan protocolos comunes que admiten el uso de certificados digitales para el cifrado y la autenticación TLS , lo que convierte a la PKI en una opción ideal para que los fabricantes de dispositivos aseguren la identidad a escala.

PKI y el uso adecuado de certificados digitales permiten a los fabricantes imponer una autenticación fuerte, cifrado de datos y firma de actualizaciones de firmware y software , todo ello con una huella mínima en el propio dispositivo.

El propio dispositivo puede incluir un certificado de autenticación de cliente, que le permite identificarse de forma segura y única ante otras entidades y dispositivos del ecosistema sanitario. Los dispositivos, las pasarelas y las aplicaciones pueden configurarse para que confíen en el dispositivo basándose en el certificado de autenticación. Al vincular una identidad digital única a cada dispositivo, los fabricantes pueden garantizar que los dispositivos ilegítimos no puedan comunicarse con sus sistemas. El certificado digital y las claves privadas distinguen firmemente todos los dispositivos legítimos que se están comunicando.

Una vez desplegado un dispositivo, los fabricantes deben ser capaces de proporcionar actualizaciones seguras. Aquí es donde entra en juego la firma de código.

Cuando un dispositivo recibe una actualización de software o del firmware, ese código puede firmarse con una firma digital. El dispositivo puede verificar esta firma mediante un certificado digital, lo que garantiza que solo puedan instalarse actualizaciones fiables del fabricante.

Durante la vida útil de un dispositivo, el volumen de datos recopilados, analizados y compartidos es inmenso. Los certificados digitales garantizan que todos los datos generados en el dispositivo puedan cifrarse de forma segura: ni siquiera alguien con pleno acceso puede leerlos o descifrarlos. Sólo cuando los datos se transmiten a un servidor de confianza con la clave de descifrado correspondiente pueden leerse.

Con estos patrones comunes de flujo de datos y gestión de la confianza, el uso de certificados digitales puede responder eficazmente a muchos de los requisitos normativos de la FDA. Y lo que es más importante, ofrece una verdadera ventaja de seguridad al fabricante y garantiza a los usuarios que los piratas informáticos no pueden acceder a los dispositivos médicos vestibles o implantables.

Cuando se utilizan certificados digitales para proteger dispositivos médicos, es importante planificar el futuro. Los algoritmos criptográficos y las claves se debilitan inevitablemente con el tiempo. Los dispositivos de los que se espera que mantengan la integridad durante los próximos años deben fabricarse partiendo de la base de que la criptografía utilizada hoy no será eficaz durante toda su vida útil.

Incluso hoy en día existen retos: todos los certificados caducan, las claves privadas pueden verse comprometidas y las claves pierden fuerza. Para los dispositivos que se espera que duren más de uno o dos años, esto significa inevitablemente que hay que apoyar la sustitución de claves y certificados (lo que se conoce como "criptoagilidad").

¿Quiere saber más? Descubra 6 medidas prácticas que puede tomar hoy mismo para cumplir las directrices de la FDA previas a la comercialización para la seguridad de los productos sanitarios.