Модули безопасности TPM 1.2 для защиты медицинских приборов


PDF версия

Компьютерная защита в медицинской отрасли обеспечивает конфиденциальность профессиональной и персональной информации. Использование во встраиваемых компьютерных платформах модулей на базе спецификации TMP 1.2 гарантирует OEM-производителям медицинского оборудования, что создаваемые ими приборы будут соответствовать стандартам информационной защиты HIPAA и HIMSS.

Технический прогресс и широкое распространение коллективного доступа к информации с помощью компьютеров, программного обеспечения (ПО) и сетей благотворно повлияли и на развитие медицинской отрасли. Вместе с тем возможность легкого обмена оцифрованной информацией сопряжена с определенными рисками. Компьютерная защита в медицинской отрасли — задача критически важная, поскольку все хотят сохранить медицинскую тайну и целостность персональной информации о здоровье пациентов. Опасения по поводу возможных нарушений конфиденциальности информации вынуждают разрабатывать и внедрять самые жесткие стандарты и меры безопасности. Но не следует забывать о том, что покушения на информацию могут происходить и в любой встроенной системе, поэтому забота об информационной безопасности важна во всех сферах применения встроенных систем.
На конференции по компьютерной безопасности Black Hat в Лас-Вегасе один из исследователей, который болен диабетом, рассказал, что выявил недоработки в личном инсулиновом насосе, из-за которых можно удаленно управлять оборудованием и изменять выводимые на мониторы показатели содержания сахара в крови. В результате пациент мог бы получить неправильную дозу инсулина, с вредными последствиями для здоровья. По мере того как развитие медицинской отрасли идет в сторону все большего объединения медицинского оборудования в сéти, вопрос обеспечения информационной безопасности медицинских приборов ставится все более остро, и решать его надо заблаговременно, не дожидаясь, когда потенциальные атаки станут явью.
В недавнем прошлом оснащение медицинских приборов надежной информационной защитой было для разработчиков непростой задачей, поскольку спектр опций прибора зависел от допусков на габариты, энергопотребления и максимального времени работы без перезарядки питания. Не говоря о полной стоимости комплектующих и материалов, «пухлой» ведомости на них и сроках вывода прибора на рынок. Задача эта становится еще масштабней, когда видишь длинный и разношерстный список компьютеризованных приборов, предназначенных для применения в медицинской практике. Эффективная информационная защита всех приборов, используемых в медицинской отрасли, означает, что их разработчики должны найти решения, которые будут отвечать самым жестким требованиям по безопасности.

Какова степень риска?

То, что когда-то было обязательным только для встроенных систем военного назначения, теперь актуально и для других отраслей. В стационарных медицинских учреждениях широко используются настольные компьютеры, а там, где нужна мобильность, применяются приборы планшетного типа. Есть и множество другой электроники: серверы, смартфоны, принтеры, сканеры и другие устройства, которые могут подключаться к интернету. Плюс многочисленные хранилища информации, в которых накапливаются, анализируются и хранятся медицинские данные, количество которых растет по мере автоматизации медицинских функций (см. рис.1).

 

Рис. 1. Разнообразие и количество новых медицинских систем — хороший стимул для OEM-производителей создавать надежные, рассчитанные на долгий срок службы, решения

Кроме того, растет и количество типов угроз, которым может подвергнуться приватная информация. Это передаваемые в электронном виде счета пациентов и «платежки» страховых компаний, административные данные, информация по обслуживанию «страховок» и медицинских карт, включая доверенности и медицинские направления, результаты обследований и отчеты пациентов, а также электронная переписка врачей и пациентов.
Угрозы информационной безопасности бывают обычно двух типов — пассивные и активные. Пассивные угрозы отслеживают, как привило, приватную информацию, а активные атаки нацелены на поиск изменяемой информации с намерением испортить или уничтожить ее или саму сеть. Вот всего лишь несколько типов угроз информационной безопасности, которые делают медицинские системы уязвимыми:
– «прослушка» (пассивный перехват данных) — когда сетевые коммуникации работают главным образом в незащищенном формате, или передаваемая информация представляет собой открытый или слабо зашифрованный текст, который легко доступен для постороннего чтения;
– модификация данных — когда взломщик сети может не только прочитать данные, но и изменить передаваемую в пакете информацию; при этом отправитель или получатель этой информации ему неизвестны;
– подмена IP-адреса (IP-спуфинг) — когда возможен вход в интернет по фальшивым IP-адресам или с помощью специальных программ конструирования IP-пакетов, в результате чего взломанная информация модифицируется, направляется по другому маршруту или уничтожается;
– атаки через пароли (Password-Based Attacks) — защита большинства операционных систем (ОС) и сетей строится на основе паролей (коды идентификации); в старых прикладных программах, которые созданы давно, но продолжают использоваться, защита идентификационных данных предусмотрена не всегда, что позволяет взломщику получать доступ в систему или сеть как легальному пользователю и совершать любые действия: получать списки пользователей и информацию о сети, модифицировать серверную или сетевую конфигурацию, удалять данные или менять их маршрут;
– DoS-атака (Denial-of-Service Attack/отказ в обслуживании) — как видно из названия, этот тип атаки не позволяет использовать одну из систем или всю сеть; злоумышленник может посылать данные, которые приводят к нетипичному завершению работы приложения, или наводнять сеть запросами на услуги до тех пор, пока трафик ни переполнится и сеть не «захлебнется»;
– атака с подставкой (Man-in-the-Middle Attack) — атака методом перехвата сообщений между связанными устройствами и подмены ключей; этот тип атаки нацелен на внешне незаметный захват системы связи и управление ею;
– атака с рассекреченным ключом (Compromised-Key Attack) — несмотря на крайнюю сложность, есть вероятность, что хакер разгадает ключ шифрования защищенной системы; скомпрометированный ключ позволяет взломщику расшифровать или модифицировать данные и получить доступ к другим защищенным системам связи;
– атака через прикладной уровень (Application-Layer Attack) — нацелена на серверы приложений, вынуждая ОС сервера или приложения работать неправильно; это приводит к тому, что злоумышленник получает возможность обойти системы управления стандартным доступом, получить контроль над приложением, системой или сетью и делать все, что угодно: модифицировать прикладную или системную информацию, заражать вирусными или шпионскими программами, ненормально завершать работу вашего приложения или ОС, снимать защиты от будущих атак.
Для борьбы с этими угрозами были приняты стандарты безопасности, строгие технические требования, выработанные Американским обществом по информационным системам и технологиям управления в медицинской отрасли, HIMSS (Healthcare Information and Management Systems Society), и Закон США о преемственности страхования и отчетности в области здравоохранения, HIPAA (Healthcare Insurance Portability and Accountability Act). Эти стандарты разработаны с целью защиты медицинской информации в электронном виде. Всю ответственность за обеспечение защиты этой информации в компьютерных системах и сетях HIPAA возлагает на организации здравоохранения.
Медицинское профессиональное общество HIMSS также вправе выявлять и оценивать значимость проблем информационной защиты и угроз, а также имеет успешный опыт их решения.

Эффективная защита Trusted Computing Group

Консорциум Trusted Computing Group (TCG) — это некоммерческая организация, которая создана для разработки, описания и продвижения открытых, независимых от поставщика промышленных стандартов на «доверяемые» компьютерные аппаратные компоненты и программные интерфейсы для связи разнообразных платформ. Для преодоления проблем, связанных с информационной безопасностью, в том числе в области встраиваемых компьютеров, консорциум TCG разработал аппаратные методы информационной защиты. Используя эти технологии в модуле обеспечения информационной безопасности, реализующем спецификацию TCG TMP 1.2, можно задавать аппаратные и программные задачи компьютеру.
Участник консорциума TCG — компания AMD — разработчик и производитель процессоров имеет интегрированную поддержку модуля безопасности согласно спецификации TCG TMP 1.2 в качестве одной из опций своих процессоров серии G. Процессоры AMD серии G (см. рис. 2), позволяющие создавать системы c высокой степенью информационной защиты, используются теперь в стандартных малогабаритных компьютерных платформах, таких как PC/104, COM Express и Pico-ITX, которые широко используются при создании медицинских приборов.

 

Рис. 2. Высокоинтегрированный процессор AMD Embedded G-Series

Если говорить о проприетарных решениях, которые создаются без применения стандартных компонентов, то они могут избыточно нагружать систему ненужными функциями и лишены гибкости. Их использование ставит владельцев в зависимость от конкретных поставщиков и увеличивает расходы на обслуживание. Кроме того, проприетарные подходы к решению задач информационной защиты не могут гарантировать интероперабельность приборов в глобальном масштабе и не способны обеспечивать адекватный уровень медицинского страхования. Причина в том, что проприетарные методы защиты информации создаются на основе ограниченной компетенции в области криптографии и информационной безопасности и, как правило, не могут досконально анализировать процессы с целью поддержания и восстановления их целостности. «Доверяемые» и защищенные информационные технологии требуют криптографических алгоритмов, которые гарантируют интероперабельность элементов внутри платформы, элементов разных платформ и элементов всей системной архитектуры. Использование модулей на базе спецификации TMP 1.2 предоставляет OEM-производителям медицинского оборудования дополнительную гарантию того, что создаваемые ими приборы будут соответствовать стандартам информационной защиты HIPAA и HIMSS.

Ввод TPM 1.2 в работу

Использование в схемотехнике прибора модуля TPM 1.2 позволяет пользователям прибора безопасно хранить пароли, цифровые ключи и сертификаты, которые обеспечивают уникальную защищенную идентификацию. Используя стандартные программные интерфейсы, модуль работает в сочетании с другими методиками информационной защиты, позволяя на аппаратном уровне управлять авторизацией пользователей, доступом к сети, защитой данных и многими другими функциями. Эти методы обеспечения информационной безопасности включают такие операции шифрования как генерация асимметричного шифра при шифровании/дешифровании с открытым ключом, хэширование (стандартный алгоритм шифрования SHA-1) и генерация последовательности случайных чисел (RNG). Среди критически важных действий в рамках TPM, которые помогают создавать встраиваемые информационно защищенные компьютерные системы, есть и аутентификация, и аттестация, направленные на выявление «доверяемых» платформ.
Посмотреть, как TPM 1.2 обеспечивает дополнительную защиту данных, позволяет процесс начальной загрузки системы. Перед загрузкой всех критически важных программных компонентов (прошитых и непрошитых), включая БИОС, начальный загрузчик и ядро ОС, модуль TPM 1.2 их «свертывает» (хэширует). Таким образом, до того как это ПО будет запущено, будут созданы и сохранены соответствующие хэш-коды, а информация в итоге может быть изолирована и защищена от последующих попыток ее модификации. Когда система подключается к сети, сохраненные хэш-коды посылаются в сервер, сравниваются с хранимым на сервере списком допустимых конфигураций, и в случае несовпадения система получает статус «инфицированной» и подвергается карантину.
Показателем того, что спецификация TMP 1.2 имеет право на жизнь в качестве стандартного инструмента обеспечения информационной безопасности, является ее утверждение межведомственным комитетом JTC1 (ISO/IEC Joint Committee 1) Международной Организации по стандартизации (ISO) в качестве стандарта ISO/IEC под шифром  ISO/IEC 11889.

Аутентификация

В медицинских приложениях, в которых используются встраиваемые компьютерные платформы с поддержкой TPM 1.2, предусмотрены усовершенствованные, по сравнению с традиционными токенами или смарт-картами, методы защиты безопасности. Основное различие заключается в том, что спецификация TPM 1.2 уникальным образом поддерживает модернизированную аутентификацию с помощью одного токена как пользователя, так и прибора, что гарантирует доступ к сети только авторизованных пользователей и авторизованных систем. Технология TPM предусматривает создание высокозащищенного репозитария (базы данных) защищенных цифровых сертификатов, паролей и других важных пользовательских мандатов. Технология TPM 1.2 помогает также управлять верификацией и идентификацией системы методами шифрования/дешифрования файлов и скрепления их защищенной цифровой подписью.
Предусмотренная технологией TPM защита ключей обеспечивает поддержку всех видов шифрования на основе сертификата X.509, повышая таким образом информационную безопасность электронной почты. В ней также предусмотрены технологии полностью аппаратного шифрования жесткого диска (full-drive encryption), многофакторная аутентификация (multi-factor authentication) и средства по усовершенствованию оценки уровня безопасности хост-системы.

Многофакторная аутентификация и аутентификация мобильных подключений

Поскольку криптопроцессор TPM 1.2 — это единственный токен, который поддерживает аутентификацию и пользователя, и устройства, существует возможность предоставлять однофакторную аутентификацию с потенциалом добавления второго фактора — PIN-кода или пароля. Технология TPM 1.2  отвечает также требованиям многофакторной аутентификации для удаленного доступа к сетям предприятий и предлагает более сложные механизмы обеспечения инфозащиты системы, чем программные сертификаты и токены. Кроме того, технология TPM позволяет рассматривать задачи развертывания системы и управления ею в комплексе, избегая их разделения на две отдельные части.
Для обеспечения большей защиты данных, передаваемых по беспроводным сетям, технология TPM предполагает ввод в действие более развитой защиты, чем просто шифрование данных. Она позволяет безопасно идентифицировать систему или устройство и автоматически интегрируется со структурой аутентификации протоколов 802.1х. Характеристики и преимущества информационной защиты встраиваемых компьютерных платформ с поддержкой технологии TPM 1.2 отражены в таблице 1. 

 

Таблица 1. Характеристики и преимущества информационной защиты встраиваемых компьютерных платформ с поддержкой технологии TPM 1.2

Характеристики

Преимущества

Аутентификация

Обеспечивает доступ к конкретной сети только авторизованным системам

Шифрование

Защита хранимых и передаваемых данных

Управление доступом к сети

Обеспечивает доступ к конкретной сети только авторизованным пользователям или системам

Защищенная начальная загрузка

До начала использования проверяет целостность прошивки ПЗУ, ОС и приложений

 

Безопасность за пределами ПК

Сначала все внимание консорциума TCG было направлено на разработку аппаратно-реализуемой защиты для персональных компьютеров, но технология TPM 1.2 расширяет сферу действия до обеспечения защиты вычислительных процессов в «доверенных» серверах и безопасности взаимодействия между клиентскими и серверными программами. Практически во всех встроенных системах могут успешно использоваться усовершенствования в области информационной безопасности. Это поможет защитить хранимые или передаваемые данные и продемонстрировать совместимость с многочисленными нормативами обеспечения. Технология TPM 1.2 работает настолько успешно, что в недавнем отчете независимой аналитической компании Forrester Research дана рекомендация предприятиям и организациям использовать в приложениях, которые должны управлять данными и транзакциями, серверы на базе технологии TPM.

Безопасность через виртуализацию

Информационную безопасность медицинских систем с полной защитой данных от момента начальной загрузки до выключения проще обеспечить, используя инфозащиту, предусмотренную в процессорах AMD (например, TPM) совместно с AMD-виртуализацией. Это открытые стандартные технологии, которые интегрированы в процессорные архитектуры AMD следующего поколения. Системы можно конфигурировать таким образом, чтобы защищенные системы реального времени могли безопасно работать во время сеансов виртуализации.
Технология виртуализации позволяет реализовывать виртуализацию клиентского ПО таким образом, что функции приложений и ОС могут быть абсолютно отделены от единой процессорной платформы. К примеру, одна ОС может быть предназначена для запуска и исполнения пользовательского интерфейса, в то время как в другой ОС выполняются защищенные коммуникационные протоколы и приложения хранения данных. При этом обе ОС работают абсолютно изолированно друг от друга. Это обеспечивает более высокий уровень безопасности и надежности для требующих деликатного обращения коммуникаций и хранилищ информации, что характерно для отрасли здраво­охранения. Причем архитектура таких системы  проще, они дешевле, требуют меньше энергоресурсов, и их легче проектировать.
Для виртуализации клиентского ПО клиентское устройство подразделяется на несколько сред, которые называются виртуальными машинами — VM (virtual machines). Это делается с помощью гипервизора или монитора виртуальной машины — VMM (virtual machine monitor). Каждая виртуальная машина (VM) может загружаться вместе со своей собственной ОС, позволяя разработчикам разносить различные задачи, такие как защищенные коммуникации, хранение данных и пользовательский интерфейс, по разным виртуальным машинам (VM).
Компания AMD интегрировала в свои процессоры следующего поколения усовершенствованную защиту от вирусов — Enhanced Virus Protection. Блок Enhanced Virus Protection процессоров AMD работает вместе с Windows Vista или Windows XP SP2 и выделяет изолированные участки системной памяти как «память только для чтения». Таким образом, любой код, находящийся в этих областях, не может быть исполняемым, — он может только читаться или записываться. Этот блок разработан как превентивное средство защиты, которое гарантирует, что конкретный вирус будет локализован, быстро уничтожен и не заразит систему, т.е. системная память будет «вылечена».

Решения для защищенных систем

OEM-производителям медицинского оборудования требуется получить от провайдеров встраиваемых компьютеров не только информационную защищенность. К медицинским системам и приборам предъявляются также требования высокой производительности, большой пропускной способности и развитого набора функций. При этом у OEM-производителей должны быть возможности для сокращения времени выхода на рынок и снижения общей стоимости оборудования. Необходимы рентабельные встраиваемые компьютерные платформы, которые имеют опции информационной безопасности вместе с развитой защитой данных на основе шифрования и не налагают при этом ограничений на характеристики производительности. Как уже было сказано, эффективное решение — встраиваемые компьютерные платформы с поддержкой модуля безопасности TPM 1.2. Общая стоимость создаваемого на их основе медицинского оборудования будет ниже, чем у приборов, в которых для аутентификации используются смарт-карты и аппаратные решения на базе токенов.
Благодаря открытым, не зависимым от конкретных поставщиков спецификациям, информационная защита, реализованная на аппаратном уровне, может предоставить OEM-производителям медицинского оборудования гибкие возможности его создания, а конечным пользователям — быстрые варианты внедрения.

 

Рис. 3. COM-модуль Kontron COMe-cOH# на базе энергоэффективного высокоинтегрированного процессора AMD Embedded G-Series

Копания Kontron помогает разработчикам медицинских приборов решать стоящие перед ними задачи обеспечения информационной безопасности с помощью своих платформ на базе AMD-процессоров серии G. Используя COM-модуль Kontron COMe-cOH# (см. рис. 3) OEM-производители медицинских систем получают возможность полной поддержки модуля безопасности TMP 1.2, предложенного консорциумом Trusted Computing Group. Эта дополнительная защита информации не ухудшит характеристики производительности системы и не усложнит управление ею. Эта методология поможет OEM-производителям медицинского оборудования создавать приборы, отвечающие стандартам безопасности HIPAA и HIMSS. COM-модуль Kontron COMe-cOH# на базе энергоэффективного высокоинтегрированного процессора AMD Embedded G-Series хорошо подходит для создания малогабаритных мобильных устройств — портативных ультразвуковых 3D-сканеров или диагностических систем.
 Кроме превосходной инфозащиты малоформатный модуль Kontron COMe-cOH# имеет  отличные возможности обработки графической информации и оптимальную процессорную производительность. Разработчики медицинских систем могут использовать графические и инфозащитные возможности, заложенные в COMe-cOH#, для создания широкого спектра приложений, требующих интенсивной обработки графической информации, таких как мобильные системы мониторинга состояния пациентов и ультразвуковые диагностические системы.

Оставьте отзыв

Ваш емейл адрес не будет опубликован. Обязательные поля отмечены *