ПРЕСС-ЦЕНТР

Стандарты безопасности медицинских приборов во встраиваемых платформах с инфозащитой TPM 1.2

Кристин Ван де Грааф (Christine Van De Graaf), Kontron

Технический прогресс и широкое распространение коллективного доступа к информации с помощью компьютеров, программного обеспечения и сетей, вне всякого сомнения, весьма благотворно сказались на медицинской отрасли. Но возможность легко обмениваться оцифрованной информацией продолжает вызывать беспокойства по поводу вероятных рисков и уязвимостей. И легко понять, почему: компьютерная защита в медицинской отрасли – вещь критически важная, поскольку все хотят сохранить медицинскую тайну и целостность персональной информации о здоровье каждого пациента. Мысли о том, что самая приватная часть персональной информации может попасть не в те руки или непредумышленно измениться или исчезнуть, вынуждают разрабатывать и внедрять самые жёсткие стандарты и меры безопасности. Но не следует забывать о том, что покушения на информацию могут происходить в любой встроенной системе, независимо от отрасли или приложения, поэтому забота об информационной безопасности критически важна во всех сферах применения встроенных систем.

Уязвимости медицинских приборов, которые всё шире и шире используются для передачи жизненно важной медицинской информации от датчиков, установленных на теле пациента, к врачам и другому медперсоналу или даже для дистанционного контроля, были проиллюстрированы на недавней конференции по компьютерной безопасности Black Hat в Лас-Вегасе. Один из исследователей компьютерной безопасности, который болен диабетом, рассказал о том, что выявил недоработки в личном инсулиновом насосе, из-за которых заинтересованное лицо могло бы удалённо управлять оборудованием и изменять выводимые на мониторы показатели содержания сахара в крови. В результате пациент мог бы получить неправильную дозу инсулина, с вредными последствиями для его метаболизма и здоровья. По мере того как развитие медицинской отрасли идёт в сторону всё большего объединения медицинского оборудования в сети, вопрос обеспечения информационной безопасности медицинских приборов ставится всё более остро, и решать его надо заблаговременно, не дожидаясь, когда потенциальные атаки станут явью.

В недавнем прошлом оснащение медицинских приборов надёжной информационной защитой было для их разработчиков непростой задачей, поскольку спектр опций прибора зависел от допусков на его габариты, энергопотребление и максимальное время работы без перезарядки питания. Не говоря уж о полной стоимости, пухлой ведомости комплектующих и материалов и сроках вывода готового прибора на рынок. Задача эта становится ещё масштабней, когда видишь длинный и разношёрстный список компьютеризированных приборов, привлечённых к заботе о здоровье нынешних пациентов. Разработчики медицинского оборудования, ИТ-менеджеры и другие специалисты, занимающиеся вопросами информационной безопасности, уже полностью осознают весь спектр сложностей, связанных с технологиями медицинского наблюдения, состоящего из множества компонентов. Реализация эффективной информационной защиты всех приборов, используемых в медицинской отрасли, означает, что их разработчики должны найти решения, которые помогут преодолеть все преграды.

Какова степень риска?

То, что когда-то было обязательным только для встроенных систем военного назначения, теперь на повестке дня в других отраслях, независимо от того, о чём идёт речь – о подключении к локальной сети или Интернету, или просто об ощущениях, что система может быть «взломана». В стационарных медицинских учреждениях широко используются настольные компьютеры, а там, где нужна мобильность, применяются приборы планшетного типа. Но это лишь то, что бросается в глаза широкой публике. Есть множество и другой электроники, такой как серверы, смартфоны, принтеры, сканеры и другие устройства, которые могут подключаться к Интернету. Плюс многочисленные хранилища информации, в которых накапливаются, анализируются и хранятся медицинские данные, количество которых растёт по мере автоматизации всё большего числа медицинских функций (рис.1).

Рис. 1. Разнообразие и количество новых, распределённых по многочисленным рабочим местам медицинских систем – хороший стимул для OEM-производителей создавать надёжные, защищённые, рассчитанные на долгую службу решения

Кроме того, ширится и количество типов угроз, которым может подвергнуться приватная информация. Это передаваемые в электронном виде счета пациентов и «платёжки» страховых компаний, административные данные, информация по обслуживанию «страховок» и медицинских карт, включая доверенности и медицинские направления, результаты анализов и отчёты пациентов, а также электронная переписка врачей между собой и пациентами.

Угрозы информационной безопасности бывают обычно двух типов – пассивные и активные. Пассивные угрозы отслеживают, как привило, приватную информацию, а активные атаки нацелены на поиск изменяемой информации, с намерением испортить или уничтожить эту информацию или саму сеть. Вот всего лишь несколько типов угроз информационной безопасности, которые делают медицинские системы уязвимыми:

  • «прослушка» (пассивный перехват данных) – когда сетевые коммуникации работают главным образом в незащищённом формате или передаваемая информация представляет собой открытый или слабо зашифрованный текст, который легко доступен для постороннего чтения;
  • модификация данных – когда взломщик сети может не только прочитать данные, но и изменить передаваемую в пакете информацию; при этом отправитель или получатель этой информации ему неизвестны;
  • подмена IP-адреса (IP-спуфинг) – когда возможен вход в Интернет по фальшивым IP-адресам или с помощью специальных программ конструирования IP-пакетов, в результате чего взломанная информация модифицируется, направляется по другому маршруту или уничтожается;
  • атаки через пароли (Password-Based Attacks) – защита большинства операционных систем и сетей строится на основе паролей (коды идентификации); в старых прикладных программах, которые созданы давно, но продолжают использоваться, защита идентификационных данных предусмотрена не всегда, что позволяет взломщику получать доступ в систему или сеть как легальному пользователю и совершать любые пагубные действия: получать списки пользователей и информацию о сети, модифицировать серверную или сетевую конфигурацию, удалять данные или менять их маршрут;
  • DoS-атака (Denial-of-Service Attack/отказ в обслуживании) – как видно из названия, этот тип атаки не позволяет использовать одну из систем или всю сеть; злоумышленник может посылать данные, которые приводят к нетипичному завершению работы приложения, или наводнять сеть запросами на услуги до тех пор, пока трафик ни переполнится и сеть ни «захлебнётся»;
  • атака с подставкой (Man-in-the-Middle Attack) – атака методом перехвата сообщений между связанными устройствами и подмены ключей; этот тип атаки нацелен на внешне незаметный захват системы связи и управление ею;
  • атака с рассекреченным ключом (Compromised-Key Attack) – несмотря на крайнюю сложность, есть вероятность того, что хакер разгадает ключ шифрования защищённой системы; скомпрометированный ключ позволяет взломщику расшифровать или модифицировать данные и получить доступ к другим защищённым системам связи;
  • атака через прикладной уровень (Application-Layer Attack) – нацелена на серверы приложений, заставляя операционную систему сервера или приложения работать неправильно; это приводит к тому, что злоумышленник получает возможность обойти системы управления стандартным доступом и в своих интересах получить контроль над вашим приложением, системой или сетью и творить всё, что угодно: модифицировать прикладную или системную информацию, заражать вирусными или шпионскими программами, ненормально завершать работу вашего приложения или операционной системы, снимать защиты от будущих атак.

Для борьбы с этими угрозами были приняты стандарты безопасности, такие как строгие технические требования, выработанные Американским обществом по информационным системам и технологиям управления в медицинской отрасли, HIMSS (Healthcare Information and Management Systems Society), и Закон США о преемственности страхования и отчётности в области здравоохранения, HIPAA (Healthcare Insurance Portability and Accountability Act). Стандарты безопасности, отражённые, к примеру, в законодательном акте HIPAA, изданном правительством США, разработаны с целью защиты медицинской информации, которая представляет собой все виды хранящейся или передаваемой в электронном виде информации о здоровье пациентов. Всю ответственность за обеспечение защиты этой информации в рамках своих компьютерных систем и сетей акт HIPAA возлагает на организации здравоохранения.

Подобным же образом медицинское профессиональное общество HIMSS обладает широкими правами выявлять и оценивать значимость проблем информационной защиты, угроз и уязвимостей, связанных с медицинскими устройствами и системами, а также имеющийся успешный опыт их решения. Для плодотворного внедрения положительных результатов предлагаемых решений общество HIMSS активно занимается координации усилий в этой области других групп и комитетов.

Эффективная защита, претворяемая в жизнь Trusted Computing Group

Консорциум Trusted Computing Group (TCG) – это некоммерческая организация, которая создана для разработки, описания и продвижения открытых, независимых от поставщика промышленных стандартов на «доверяемые» компьютерные аппаратные компоненты и программные интерфейсы для связи разнообразных платформ. Для преодоления растущих проблем, связанных с информационной безопасностью, которые касаются и отрасли встраиваемых компьютеров, консорциум TCG разработал аппаратные методы решения задач информационной защиты. Используя эти технологии в «модуле обеспечения информационной безопасности», реализующем спецификацию TCG TMP 1.2, компьютер или систему можно заставить вести себя определённым образом, и это поведение может задаваться аппаратно и программно, когда эти технологии будут реализованы OEM-производителями в своих чипах. Участник консорциума TCG компания AMD, разработчик и производитель процессоров, имеет интегрированную поддержку «модуля безопасности» согласно спецификации TCG TMP 1.2 в качестве одной из опций своих процессоров серии G. Позволяя создавать системы c высокой степенью информационной защиты, процессоры AMD серии G (рис.2) используются теперь в стандартных малогабаритных компьютерных платформах, таких как PC/104, COM Express и Pico-ITX, которые широко применяются при создании медицинских приборов.

Рис. 2. Процессоры компании AMD серии G с поддержкой TMP 1.2

Если говорить о проприетарных («доморощенных») решениях, которые создаются без применения стандартных компонентов, то они могут избыточно нагружать систему ненужными функциями и лишены гибкости. Их использование ставит владельцев в зависимость от конкретных поставщиков и увеличивает расходы на обслуживание. Кроме того проприетарные подходы к решению задач информационной защиты не могут гарантировать интероперабельность приборов в глобальном масштабе и не способны обеспечивать адекватный уровень медицинского страхования. Причина в том, что проприетарные методы защиты информации, в силу их происхождения, создаются на основе ограниченной компетенции в области криптографии и информационной безопасности и, как правило, не могут досконально анализировать процессы с целью поддержания и восстановления их целостности. «Доверяемые» и защищённые информационные технологии требуют криптографических алгоритмов, которые гарантируют интероперабельность элементов внутри платформы, элементов разных платформ и элементов всей системной архитектуры. Использование «модулей» на базе спецификации TMP 1.2 предоставляет OEM-производителям медицинского оборудования дополнительную гарантию того, что создаваемые ими приборы будут соответствовать стандартам информационной защиты HIPAA и HIMSS.

Ввод TPM 1.2 в работу

Использование в схемотехнике прибора «модуля» TPM 1.2 позволяет пользователям прибора безопасно хранить пароли, цифровые ключи и сертификаты, которые обеспечивают уникальную защищённую идентификацию. Используя стандартные программные интерфейсы, «модуль» работает в сочетании с другими методиками информационной защиты, на аппаратном уровне давая возможность управлять авторизацией пользователей, доступом к сети, защитой данных и многими другими функциями. Эти методы обеспечения информационной безопасности включают такие операции шифрования, как генерация асимметричного шифра при шифровании/дешифровании с открытым ключом, хэширование (стандартный алгоритм шифрования SHA-1) и генерация последовательности случайных чисел (RNG). Среди критически важных действий в рамках TPM, которые помогают создавать встраиваемые информационно защищённые компьютерные системы, есть и такие, как аутентификация и аттестация, направленные на выявление «доверяемых» платформ.

Посмотреть, как TPM 1.2 обеспечивает дополнительную защиту данных, можно на процессе начальной загрузки системы. Перед загрузкой всех критически важных программных компонентов (прошитых и непрошитых), включая БИОС, начальный загрузчик и ядро операционной системы, «модуль» TPM 1.2 их «свёртывает» (хэширует). Таким образом, до того, как это ПО будет запущено к исполнению, будут созданы и сохранены соответствующие хэш-коды, а информация в итоге может быть изолирована и защищена от последующих попыток её модификации. Когда система подключается к сети, сохранённые хэш-коды посылаются в сервер, сравниваются с хранимым на сервере списком допустимых конфигураций и в случае несовпадения система получает статус «инфицированной» и подвергается «карантину».

Показателем того, что спецификация TMP 1.2 имеет право на жизнь в качестве стандартного инструмента обеспечения информационной безопасности, является её утверждение межведомственным комитетом JTC1 (ISO/IEC Joint Committee 1) Международной Организации по стандартизации (ИСО) как стандарта ИСО/МЭК (ISO/IEC) под шифром ISO/IEC 11889.

Аутентификация

В медицинских приложениях, которые используют встраиваемые компьютерные платформы с поддержкой TPM 1.2, предусмотрены усовершенствованные, по сравнению с традиционными токенами или смарт-картами, методы защиты безопасности. Основное различие заключается в том, что спецификация TPM 1.2 уникальным образом поддерживает модернизированную аутентификацию с помощью одного токена как пользователя, так и прибора, что гарантирует доступ к сети только авторизованных пользователей и авторизованных систем. Технология TPM предусматривает создание высокозащищённого репозитария (базы данных) защищённых цифровых сертификатов, паролей и других важных пользовательских мандатов. Технология TPM 1.2 помогает также управлять верификацией и идентификацией системы методами шифрования/дешифрования файлов и скрепления их защищённой цифровой подписью.

Предусмотренная технологией TPM защита ключей обеспечивает поддержку всех видов шифрования на основе сертификата X.509, повышая, таким образом, информационную безопасность электронной почты. В ней также предусмотрены технологии «полностью аппаратного шифрования» жёсткого диска (full-drive encryption), многофакторная аутентификация (multi-factor authentication) и средства по усовершенствованию оценки уровня безопасности хост-системы.

Многофакторная аутентификация и аутентификация мобильных подключений

Поскольку криптопроцессор TPM 1.2 – это единственный токен, который поддерживает аутентификацию и пользователя, и устройства, существует возможность предоставлять однофакторную аутентификацию, с потенциалом добавления второго фактора, такого как PIN-код или пароль. Технология TPM 1.2 отвечает также требованиям многофакторной аутентификации для удалённого доступа к сетям предприятий и предлагает более сложные механизмы обеспечения инфозащиты системы, чем программные сертификаты и токены. Кроме того, технология TPM позволяет рассматривать задачи развёртывания системы и управления системой в комплексе, как единую проблему, избегая их разделения на две отдельные части.

Для обеспечения большей защиты данных, передаваемых по беспроводных сетям, технология TPM предполагает ввод в действие более развитой защиты, чем просто шифрования данных. Она позволяет безопасно идентифицировать систему или устройство и автоматически интегрируется со структурой аутентификации протоколов 802.1х.

Встраиваемые компьютерные платформы с поддержкой технологии TPM 1.2 обладают следующими характеристиками и преимуществами информационной защиты:

Безопасность за пределами ПК

Первоначальный фокус внимания консорциума TCG был направлен на разработку аппаратно-реализуемой защиты для персональных компьютеров, но технология TPM 1.2 расширяет сферу своего действия и на обеспечение защиты вычислительных процессов в «доверенных» серверах, а также усиления безопасности всех взаимодействий между клиентскими и серверными программами. Практически все встроенные системы могут успешно использовать все усовершенствования в области информационной безопасности. Это поможет защитить хранимые или передаваемые данные и продемонстрировать совместимость с многочисленными нормативами обеспечения их безопасности. Технология TPM 1.2 работает настолько хорошо, что недавний отчёт независимой аналитической компании Forrester Research рекомендует предприятиям и организациям использовать в приложениях, которые должны управлять данными и транзакциями, серверы на базе технологии TPM.

Безопасность через виртуализацию

Информационную безопасность медицинских систем, с полной защитой данных от момента начальной загрузки до момента выключения системы, проще обеспечить используя сочетание инфозащиты, предусмотренной в процессорах AMD (например TPM), и AMD-виртуализации. Это открытые стандартные технологии, которые интегрированы в процессорные архитектуры AMD следующего поколения. С использованием возможностей виртуализации системы можно конфигурировать таким образом, что защищённые системы реального времени могут безопасно работать во время безопасных сеансов виртуализации.

Технология виртуализации позволяет реализовывать виртуализацию клиентского ПО таким образом, что функции приложений и операционной системы могут быть абсолютно отделены от единой процессорной платформы. К примеру, одна операционная система может быть предназначена для запуска и исполнения пользовательского интерфейса, в то время как в другой операционной системе выполняются защищённые коммуникационные протоколы и приложения хранения данных, при этом обе операционные системы работают абсолютно изолированно друг от друга. Это даёт более высокий уровень безопасности и надёжности для требующих «деликатного обращения» коммуникаций и хранилищ информации, что как раз характерно для отрасли здравоохранения. Причём архитектура таких системы проще, они дешевле, требуют меньше энергоресурсов, и их легче проектировать.

В целях виртуализации клиентского ПО клиентское устройство подразделяется на несколько сред, которые называются виртуальными машинами – VM (virtual machines). Это делается с помощью гипервизора или монитора виртуальной машины – VMM (virtual machine monitor). Каждая виртуальная машина (VM) может загружаться вместе со своей собственной операционной системой, позволяя разработчикам разносить различные задачи, такие как защищённые коммуникации, хранение данных и пользовательский интерфейс, по разным виртуальным машинам (VM).

Также компания AMD интегрировала в свои процессоры следующего поколения усовершенствованную защиту от вирусов – Enhanced Virus Protection. Блок Enhanced Virus Protection процессоров AMD работает вместе с Windows Vista или Windows XP SP2 и выделяет изолированные участки системной памяти как «память только для чтения». Таким образом, любой код, находящийся в этих областях, не может быть исполняемым, – он может только читаться или записываться. Этот блок разработан как превентивное средство защиты, которое гарантирует, что конкретный вирус будет локализован, быстро уничтожен и не заразит систему, то есть системная память будет «вылечена».

Решения для защищённых систем

OEM-производителям медицинского оборудования требуется получить от провайдеров встраиваемых компьютеров не только информационную защищённость. К медицинским системам и приборам предъявляются также требования высокой производительности, большой пропускной способности и развитого набора функций. При этом у OEM-производителей должны быть возможности для сокращения времени выхода на рынок и снижения общей стоимости владения выпускаемого оборудования. Необходимы рентабельные встраиваемые компьютерные платформы, которые предоставляют опции информационной безопасности вместе с развитой защитой данных на основе шифрования, не налагая при этом ограничений на характеристики производительности. Как уже было показано, эффективным по затратам решением могут служить встраиваемые компьютерные платформы с поддержкой «модуля безопасности» TPM 1.2. Общая стоимость владения создаваемого на их основе медицинского оборудования будет ниже, чем у приборов, в которых для аутентификации используются смарт-карты и аппаратные решения на базе токенов.

Благодаря открытым, не зависимым от конкретных поставщиков спецификациям, информационная защита, реализованная на аппаратном уровне, может дать OEM-производителям медицинского оборудования гибкие возможности его создания, а конечным пользователям – быстрые варианты его внедрения. Копания Kontron помогает разработчикам медицинских приборов решать стоящие перед ними задачи обеспечения информационной безопасности с помощью своих платформ на базе AMD-процессоров серии G. Используя, к примеру, COM-модуль Kontron COMe-cOH# (рис.3) OEM-производители медицинских систем получают возможность полной поддержки «модуля безопасности» TMP 1.2, предложенного консорциумом Trusted Computing Group. Эта дополнительная защита информации не ухудшит характеристики производительности системы и не внесёт дополнительных сложностей в её управление. Эта методология поможет OEM-производителям медицинского оборудования создавать приборы, отвечающие стандартам безопасности HIPAA и HIMSS.

Рис. 3. COM-модуль COMe-cOH# на базе энергоэффективного высокоинтегрированного процессора AMD Embedded G-Series хорошо подходит для создания малогабаритных мобильных устройств, таких как портативные ультразвуковые 3D-сканеры или диагностические системы

Кроме превосходной инфозащиты, в малоформатном модулеKontron COMe-cOH# интегрированы отличные возможности обработки графической информации и оптимальная процессорная производительность. Разработчики медицинских систем могут использовать графические и инфозащитные возможности, заложенные COMe-cOH#, для создания широкого спектра приложений, требующих интенсивной обработки графической информации, таких как мобильные системы мониторинга состояния пациентов и ультразвуковые диагностические системы.

Характеристики

Преимущества

Аутентификация

Обеспечивает доступ к конкретной сети только авторизованным системам.

Шифрование

Защита хранимых и передаваемых данных

Управление доступом к сети

Обеспечивает доступ к конкретной сети только авторизованным пользователям или системам

Защищённая начальная загрузка

До начала использования проверяет целостность прошивки ПЗУ, операционной системы и приложений