Cinco agências dos EUA emitiram orientações conjuntas de segurança cibernética de TO esta semana, sem nenhuma menção a dispositivos médicos, cabendo aos CISOs do sistema de saúde traduzi-las eles próprios.
Os federais divulgaram 28 páginas de credibilidade zero consultivo esta semana está focada em ambientes de tecnologia operacional, e o documento nunca menciona hospitais, pacientes ou dispositivos médicos. Cada limitação descrita, no entanto, parecerá familiar a qualquer líder de segurança do sistema de saúde.
A recomendação foi publicada em 29 de abril pela Agência de Segurança Cibernética e de Infraestruturaao qual se juntaram o Departamento de Guerra, o Departamento de Energia, o FBI e o Departamento de Estado. Especificamente, seus exemplos visam redes de energia, sistemas de água, transporte e sistemas de controle industrial. Os cuidados de saúde não são mencionados uma única vez em todo o documento. No entanto, as limitações da tecnologia operacional descritas nas primeiras sete páginas correspondem quase exatamente ao problema dos dispositivos médicos que os CISOs dos hospitais enfrentam há anos.
A frota de dispositivos médicos
A recomendação identifica quatro características que limitam a forma como a confiança zero pode ser aplicada à TO. A primeira é a disponibilidade, uma vez que os sistemas em tempo real concebidos para operação contínua são pouco tolerantes a interrupções. A segunda é a infraestrutura herdada e insegura, com ciclos de vida de décadas, protocolos proprietários e suporte limitado para varredura ativa ou testes de penetração. O terceiro é o registro mínimo, que enfraquece os métodos tradicionais de detecção. Por fim, os fluxos de trabalho de TO exigem colaboração multifuncional entre engenheiros, arquitetos de TI e equipes de segurança. Cada uma dessas restrições descreve bombas de infusão, equipamentos de imagem, analisadores de laboratório e os sistemas de automação predial e de acesso físico que os cercam.
Controles que traduzem diretamente
Para CISOs de saúde, a orientação técnica é algo a ser explorado. O Conselho trata a segmentação e a microssegmentação como a base da proteção do AT. Especificamente, ele defende o isolamento granular baseado em recursos que separa os sistemas de controle dos sistemas de segurança e impõe permissões de leitura/gravação em tags de dados individuais. Especificamente, estas diretrizes são mapeadas diretamente para o projeto da rede de dispositivos médicos, onde limitar o raio da explosão é tão importante quanto em qualquer ambiente de assistência.
Quando se trata de gerenciamento de identidade, credenciais e acesso, o conselho é intransigente. Ele orienta as organizações a manterem os sistemas de identidade de TI e TO desconectados, segmentarem totalmente o Active Directory e exigirem autenticação multifator no nível do host para passar. Traduzido para hospitais, isso significa explorar como as redes biomédicas conectam a empresa. O gerenciamento de acesso remoto do provedor recebe atenção semelhante. Além disso, o documento recomenda fortemente o registro de sessões, credenciais arquivadas e acesso just-in-time para qualquer conta capaz de alterar configurações.
A seção de detecção e resposta de endpoint pode repercutir mais fortemente nas equipes de segurança hospitalar. A recomendação reconhece que os agentes EDR muitas vezes não podem ser executados em sistemas incorporados, citando sistemas operacionais legados, limitações de garantia do fornecedor e requisitos de hermeticidade que bloqueiam ferramentas de segurança baseadas em nuvem. Esta descrição corresponde ao problema de EDR do dispositivo médico. Como solução alternativa, as agências recomendam monitoramento de telemetria leve, cobrindo uso de CPU e memória, novos processos e alterações de configuração. Os servidores intermediários na DMZ lidam com todas as atualizações exigidas pela nuvem.
Além disso, a seção de fornecimento impõe requisitos de segurança de projeto para seleção de fornecedores. Os proprietários de ativos são incentivados a avaliar a maturidade do fornecedor através da disponibilidade do SBOM, do status da autoridade de numeração CVE e das decisões de aquisição do país de origem. Essa conversa lentamente percorreu as equipes da cadeia de suprimentos do hospital. Agora há apoio federal para aceleração.
A ausência de cuidados de saúde no documento faz sentido por si só. As Diretrizes Federais Conjuntas de TO tratam consistentemente a infraestrutura crítica como uma categoria indiferenciada. Enquanto isso, Conselho Coordenador do Setor de Saúde e a FDA produzem material paralelo específico para dispositivos médicos em uma trilha separada. Como resultado, o aconselhamento liderado pela CISA não chegará naturalmente às mesas da maioria dos líderes de segurança do sistema de saúde. A tradução terá que ser feita em cada sistema de saúde.
Leve embora
- Leia os conselhos da CISA sobre o AT como um exercício de tradução; qualquer referência a sistemas de controle industrial refere-se a dispositivos médicos, automação predial, RTLS e sistemas de acesso físico.
- Use diretrizes de segmentação para avaliar se um projeto de rede biomédica separa o controle das funções de segurança e limita as permissões de leitura/gravação no nível da etiqueta de dados.
- Promova aos fornecedores arquitetura de host hop-over, registro de sessão, credenciais ocultas e acesso just-in-time para cada conexão de suporte remoto.
- Implemente a abordagem leve de telemetria EDR (CPU, memória, processos, alterações de configuração) onde agentes completos não podem ser executados em dispositivos médicos incorporados.
- Incluir a disponibilidade do SBOM, o status da Autoridade de Numeração CVE e a aquisição do país de origem nos critérios de aquisição de novos equipamentos relacionados.
A recomendação não afirma que a confiança zero eliminará o risco de TO. O resultado final é que a implementação bem-sucedida depende da colaboração multifuncional, da adaptação às restrições de cada ambiente e da aceitação de que a exposição pode ser reduzida sem ser eliminada.
