Bảo mật ngay từ trong thiết kế dành cho các thiết bị nhúng IoMT

Nghiên cứu sâu hơn bản Hướng dẫn về Internet Vạn vật Y tế (IoMT) trong ngành y tế của Cục Quản lý Thực phẩm và Dược phẩm Hoa Kỳ.

Sau đây là bài chia sẻ của ông Xavier Bignalet, Giám đốc Tiếp thị Sản phẩm, Bộ phận Kinh doanh Giải pháp Bảo mật và Điện toán, Microchip Technology Inc. về bảo mật ngay từ trong thiết kế dành cho các thiết bị nhúng IoMT.

Việc ngày càng phụ thuộc nhiều hơn vào các thiết bị được kết nối khiến ngành y tế trở nên dễ bị tấn công an ninh mạng hơn, và thực tế ngành này chỉ đứng thứ hai sau các doanh nghiệp nhỏ. Để ứng phó với các thảm họa có thể xảy ra, Cục Quản lý Thực phẩm và Dược phẩm Hoa Kỳ (FDA) đã xây dựng các bản hướng dẫn mà các nhà sản xuất thiết bị y tế có thể sử dụng để triển khai bảo mật trong các thiết bị nhúng. Những hướng dẫn này bao trùm các giai đoạn từ thiết kế cho đến phát triển, phát hành sản phẩm, hỗ trợ sau bán hàng và thanh lý thiết bị. Mặc dù thông tin trong các hướng dẫn của FDA là thông tin bắt buộc các nhà thiết kế phải nghiên cứu, nhưng thông tin này thường được viết ở mức độ khái quát, nêu ra những mục tiêu cần đạt được chứ không hướng dẫn cách thức sử dụng để đạt được các mục tiêu đó. Để giúp các nhà thiết kế thiết bị y tế nghiên cứu sâu hơn, bài viết này bổ sung thêm một số chi tiết còn thiếu.

Từ năm 2014, FDA đã bắt đầu đưa ra các khuyến nghị liên quan đến an ninh mạng cho ngành y tế, mỗi khuyến nghị đều cập nhật dựa trên phiên bản tiền thân của nó để đối phó với bối cảnh trong đó các mối đe dọa bảo mật đang phát triển nhanh chóng. Các nội dung mới nhất có trong Hướng dẫn “An ninh mạng trong thiết bị y tế: Cân nhắc về hệ thống chất lượng và Nội dung đệ trình trước khi đưa ra thị trường: Dự thảo hướng dẫn cho ngành và nhân viên quản lý thực phẩm và dược phẩm” phát hành vào tháng 4 năm 2022. Bản hướng dẫn này gồm ba phần chính:

Nguyên tắc chung

Cách thức và lý do tại sao tại sao an ninh mạng phải trở thành một phần của an toàn thiết bị, quy định hệ thống chất lượng, cách thiết kế bảo mật, lý do tại sao việc đảm bảo tính minh bạch lại quan trọng và cách nộp tài liệu.

Khung phát triển sản phẩm an toàn

Cách quản lý và đánh giá rủi ro bảo mật thông qua sử dụng mô hình mối đe dọa và kiến trúc bảo mật, bao gồm kiểm soát bảo mật, hệ thống toàn cầu và quan điểm về tác hại đa mẫu cũng như nhu cầu cập nhật và vá lỗi. Phần này còncung cấp thông tin chi tiết về thử nghiệm an ninh mạng.

Đảm bảo tính minh bạch về an ninh mạng

Được truyền đạt thông qua việc dán nhãn và xây dựng các kế hoạch quản lý lỗ hổng, thừa nhận việc người dùng có các khả năng khác nhau trong việc thực hiện các biện pháp giảm thiểu và các giải pháp phải phù hợp với mỗi người.

Tuy nhiên, thông tin hữu ích nhất dành cho các nhà thiết kế hệ thống nhúng nằm ở phần cuối, trong Phụ lục 1, bao gồm thông tin về xác thực, cấp quyền, mật mã, tính toàn vẹn thực thi, phát hiện sự kiện, khả năng phục hồi thông tin nhật ký cũng như các bản cập nhật phần mềm và firmware.

Cần phải đề cập đến từng chủ đề riêng biệt để bổ sung các chi tiết còn thiếu trong hướng dẫn chung của FDA.

Đầu tiên, xác thực là yếu tố cần thiết để hoàn thiện mô hình bảo mật. Cặp khóa công khai/riêng tư và chuỗi chứng chỉ tương ứng kết nối một thiết bị y tế vào mạng. Khóa riêng tư cần được cách ly khỏi firmware của thiết bị có thể có lỗi và giúp cho việc truy cập khóa trở nên dễ dàng. FDA khuyến nghị đặt khóa mật mã bên trong kho lưu trữ khóa bảo mật chống giả mạo tương tự như IC bảo mật CryptoAuthentication của Microchip.

Các kết nối với máy chủ đám mây phải được xác thực trong đó thiết bị và môi trường điện toán đám mây tin tưởng lẫn nhau. Mặc dù việc xác thực mỗi phiên là điều cần thiết, nhưng việc đó có thể làm tiêu tốn rất nhiều năng lượng trong các thiết bị Internet Vạn vật (Internet of Things – IoT) chạy bằng nguồn pin. Sự kết hợp giữa bộ tăng tốc mã hóa phần cứng và bộ lưu trữ khóa an toàn sẽ hóa giải vấn đề này vì nó duy trì dòng điện rất thấp, ở mức độ nano-ampe trong chế độ ngủ.

Việc xác thực người dùng cho phép quản trị viên, kỹ thuật viên và những người khác truy cập đặc quyền vào thiết bị, điều này hình thành nên khái niệm chứng thực khóa. Các trường hợp sử dụng như vậy được cung cấp thông qua cấu hình được xác định trước của các mạch tích hợp (IC) CryptoAuthentication™ dựa trên công cụ phát triển TPDS (Trust Platform Design Suite).

Tính xác thực của thông tin là cần thiết để ký một thông điệp và xác minh nó trong hệ thống nhúng nhằm chứng minh độ tin cậy. Mặc dù IC xác thực mã hóa vốn đã xử lý cả việc xác thực các thông điệp đã được mã hóa hoặc không được mã hóa, cũng có thể sử dụng mã xác thực thông điệp (message authentication code – MAC) sử dụng cơ chế đối xứng và bộ tăng tốc mã hóa tương ứng.

Cấp quyền là một đóng góp quan trọng khác của các hướng dẫn từ FDA vì nó xác lập nguyên tắc đặc quyền tối thiểu, đó là thiết lập các quyền và sự cấp phép giữa vùng thực thi tin cậy và vùng ứng dụng để quản lý mã phần mềm quan trọng. Mỗi mô-đun chỉ có thể truy cập thông tin và tài nguyên cần thiết đủ cho mục đích hoạt động của nó.

Mật mã rõ ràng là một thành phần thiết yếu khác trong việc đảm bảo an ninh bảo mật. FDA khuyến nghị một cách sáng suốt rằng nên sử dụng các thuật toán mã hóa tiêu chuẩn vì chúng liên tục được các tổ chức thuộc khu vực công kiểm tra và cập nhật dựa trên thông tin đầu vào từ một cộng đồng người dùng khổng lồ. Các khóa mật mã sẽ xác minh tính toàn vẹn của dữ liệu chứ không phải tính hợp lệ, vì vậy các nhà thiết kế phải xác thực rằng, tất cả dữ liệu từ các nguồn bên ngoài đều được định dạng tốt và tuân thủ thông số kỹ thuật hoặc giao thức nhất định.

Tính bảo mật liên quan đến xác thực và cấp quyền và nếu các khóa mật mã không được giữ bí mật trong phần cứng, thì hoàn toàn có thể xảy ra việc sử dụng trái phép. Các nhà sản xuất phải đảm bảo hỗ trợ bảo mật tất cả những dữ liệu mà việc lộ lọt những dữ liệu đó có thể bị tin tặc lợi dụng để gây hại cho người bệnh. Cần duy trì tính bảo mật trong việc xử lý và lưu trữ các khóa mật mã được sử dụng trong xác thực vì việc lộ lọt có thể dẫn đến sử dụng/lạm dụng trái phép chức năng của thiết bị.

Tài liệu của FDA cung cấp thông tin về mô hình triển khai đúng cách các cơ chế cấp quyền và hoạt động xác thực nói chung sẽ đảm bảo tính bảo mật. Tuy nhiên, các nhà thiết kế nên đánh giá xem đây có phải là trường hợp trong quá trình mô hình hóa mối đe dọa bảo mật hay không và thực hiện các thay đổi cần thiết đối với hệ thống để đảm bảo có các biện pháp kiểm soát phù hợp.

FDA cũng mô tả việc phát hiện và ghi nhật ký sự kiện, khuyến nghị lưu trữ những thông tin này để có thể tiến hành điều tra pháp y. Điều đó liên quan đến việc giữ lại và khôi phục các cấu hình thiết bị mặc định tin cậy đồng thời các nhà thiết kế phải xác định cách thực hiện điều này bằng cách sử dụng bộ lưu trữ khóa an toàn.

Cũng hợp lý khi cho rằng tất cả các thiết bị IoT hiện có đều cho phép cập nhật phần mềm và chương trình cơ sở qua giao diện vô tuyến (over-the-air – OTA), nhưng sự thật là nhiều thiết bị không có khả năng đó. Nếu không có firmware phù hợp, không thể triển khai các bản cập nhật hệ thống một cách nhanh chóng để đối phó với các mối đe dọa mới nhất. Các bản cập nhật mã phần mềm cũng phải tuân theo các đặc quyền của người dùng đã thiết lập vì một người nào đó đó có khóa công khai có thể kiểm soát bản cập nhật OTA và chèn mã không mong muốn.

Điều may mắn là, các IC CryptoAuthentication làm cho quy trình trở nên đơn giản và tự động, đồng thời đảm bảo rằng các bản cập nhật luôn được thực hiện. Một IC CryptoAuthentication™ duy nhất có thể lưu trữ an toàn các khóa mật mã cho hầu hết, nếu không nói là tất cả, các trường hợp sử dụng đã được FDA đề cập.

Tóm lại

Các hướng dẫn mới nhất của FDA dành cho các nhà sản xuất thiết bị y tế có phạm vi toàn diện và nhằm mục đíchnâng cao năng lực an ninh mạng của hệ thống chăm sóc sức khỏe. Chúng được viết dưới dạng có thể đưa vào nội dung của các văn bản luật hơn là hướng dẫn “cách thực hiện” cho các nhà thiết kế hệ thống nhúng, đó là lý do tại sao nội dung thảo luận ở cấp độ kỹ thuật chỉ được đưa vào trong phụ lục.

Microchip đã dành nhiều năm để phát triển một hệ sinh thái tin cậy gồm các thiết bị và công cụ an toàn, biến hệ sinh thái này thành một điểm khởi đầu tốt trước khi bắt đầu hành trình phát triển các hệ thống nhúng trong các sản phẩm y tế thế hệ tiếp theo.