ABD Gıda ve İlaç İdaresi (FDA), ortalama bir açık kaynak yazılım (OSS) proje yürütücüsü veya OSS’den yararlanan uygulamalar geliştiren geliştiriciler için tam olarak ilk akla gelen değildir. Ancak FDA’nın yeni kuralları, OSS güvenliğini bugüne kadarki herhangi bir hükümet kuralından daha fazla etkileyebilir. Büyük değişiklik? FDA, yazılım çalıştıran tüm tıbbi cihazların bir yazılım malzeme listesi (SBOM) oluşturup sürdürmesini zorunlu kılıyor ve bu kuralı 1 Ekim 2023’te uygulamaya başlayacak.
Yeni politika, sağlık bakım cihazlarının kritik yazılım destekli bileşenlerinin uygun şekilde korunmadığına dair artan endişeleri ele alıyor. Tıp kurumları fidye yazılım saldırılarının sık hedefi oluyor ve gelecekte tıbbi cihazlar bilgisayar korsanlarının hedefinde olabilir. Ek olarak, tıbbi cihazlar genellikle eski veya kullanım ömrü dolmuş (EOL) işletim sistemlerinde çalışır. Bu sistemlerin önemli bir yüzdesi Linux veya diğer açık kaynaklı yazılımları kullanır.
Çoğu zaman üreticilerin ürün yazılımını veya cihaz yazılımını güncellemek için kolay bir yolu yoktur. Ayrıca, tıbbi cihaz şirketleri ve cihazları kuran ve kullanan tıp uzmanları — siber güvenlik konusunda bilgili olmayabilir ve devam eden güvenlik önlemleri için uygun mekanizmalar oluşturamayabilir. Tabii bu konuda yıllardır uyarılarımız oluyor. Bu yeni kuralın farkı ne? Ve daha geniş OSS ekosistemini nasıl etkileyecek? Asıl fark, SBOM gereksiniminin ayrıntılarındadır.
Zorunlu SBOM’ların Artan Etkisi
Bugüne kadar, SBOM’lar nükleer füzyona benziyordu. — umut verici, ancak anlamlı bir gerçeklik olmaktan her zaman birkaç yıl uzakta. SolarWinds hack’i gibi bir dizi tedarik zinciri saldırısı, ABD hükümeti tarafından kullanılan yazılımların bir SBOM içermesini zorunlu kılan bir yürütme emri de dahil olmak üzere siber güvenliğe yönelik daha agresif bir ABD hükümeti politikası başlattı. O zamandan beri, tedarik zinciri güvenliğini ve SBOM yönetimini kolaylaştırmak için bir dizi girişim ortaya çıktı. En büyük sürüm kontrol hizmeti sağlayıcıları olan GitHub ve GitLab artık otomatikleştirilmiş SBOM üretimi sunuyor. Çoklu anketlere göre SBOM’ların benimsenmesi ve kabulü artıyor. Örneğin, Linux Vakfı, kuruluşların %78’inin 2022’nin sonuna kadar SBOM üretmeyi veya tüketmeyi planladığını tespit etti.
FDA’nın partiye getirdiği şey gerçek “dişler”. SBOM’ların yalnızca tüketilmesi veya üretilmesi, mutlaka daha sağlam bir güvenlikle sonuçlanmaz; yüzeysel ve biraz işe yaramaz bir SBOM oluşturmak kolaydır. Buna karşılık, FDA, tıbbi cihaz üreticilerinin “pazar sonrası siber güvenlik açıklarını ve istismarlarını uygun şekilde, makul bir süre içinde izlemek, belirlemek ve ele almak için bir plan” sunmasını ve “süreçleri ve prosedürleri tasarlamayı, geliştirmeyi ve sürdürmeyi” zorunlu kılar. cihazın ve ilgili sistemlerin siber güvenli olduğuna dair makul bir güvence.” Bu, normal yama döngüsünün dışında bulunan ciddi güvenlik açıkları için “makul olarak gerekçelendirilmiş düzenli bir döngüde” yama yapmayı ve mümkün olan en kısa sürede yamaları içerir.
Bir tıbbi cihaz üreticisi bu işareti geçemezse, FDA önerilen bir cihazı kabul etmeyi (RTA) reddedecektir. Bu atama, bir üreticinin cihazı piyasaya süremeyeceği anlamına gelir. Halihazırda piyasada bulunan cihazlar için kurallar daha belirsizdir. Bununla birlikte, bu cihaz üreticileri yeni SBOM standartlarını karşılamak için çabalıyorlar.
Güvenilir, Şeffaf OSS’ye Daha Geniş Geçiş için Tek Katalizör
Daha geniş OSS ekosistemi için, bu yeni FDA kuralı, SBOM’ların nihayet sahip olunması güzel veya onay kutusu etkinliğinden daha fazlası olduğu bir geleceğe dair bir fikir sunuyor. OSS halihazırda tıbbi cihazlarda yaygın olarak kullanılmaktadır. Linux, tıbbi cihaz sistemleri için en popüler seçeneklerden biridir ve OSS itibar ve kabul kazandıkça daha da popüler hale gelmektedir. Linux üzerinde oluşturuyorsanız, tasarım büyük olasılıkla ara yazılım, mesaj kuyrukları, kullanıcı deneyimi bileşenleri için ön uç çerçeveler ve daha fazlası gibi diğer açık kaynak bileşenlerini içerir.
Sektör için yazılım geliştiren tıbbi cihaz şirketleri ve hizmet sağlayıcılar için bu yetki, güçlü güvenlik davranışları sergileyen OSS bileşenlerine (ve destekleyici projelere) yönelik önyargı oluşturma yönünde baskı uygulamaktadır. Bu, güncel tutulan ve belirli bir tıbbi cihaz ve yazılım yığını için bileşik SBOM’lerde bir araya getirilmek üzere programlı olarak tüketilebilen sağlam SBOM’lerin geliştirilmesini içerir. Uzantı olarak, bu, SBOM yönergesine uymayan OSS alt bileşenleri daha sonra kurumsal kullanım örneklerinin gözünden düştüğü için muhtemelen bir savurma etkisi göreceğimiz anlamına gelir. Bu eğilim, güvenilir paket havuzlarının ve zorunlu paket kaynağının ortaya çıkmasıyla güçlendirilecektir.
Açık kaynak için, FDA’nın bu katalizörü son derece faydalı olacaktır. Kritik altyapı ve bileşenler için uygulanabilir bir SBOM gereksinimleri modeli sunar. OSS üzerine inşa edilen uygulamaları daha şeffaf ve hesap verebilir hale getirmek için sağlıklı bir baskı sağlar. En önemlisi, FDA zorunlulukları bir gün hayat kurtarabilir. (Korkunç) bir örnek için, gelişmiş kalıcı bir tehdidin fidye almak için insülin pompalarını hacklemeye çalıştığını hayal edin. Tıbbi cihaz sertleştirmeyi zorunlu kılacak politikalar izleyen Avrupa Birliği gibi diğer coğrafyalarda da baskılar artıyor.
Bunların hiçbiri, OSS’nin halihazırda tescilli sistemlerden daha şeffaf veya hesap verebilir olmadığı anlamına gelmez. var. Ancak bu bağlamda bile, daha yüksek derecede şeffaflık ve hesap verebilirlik — OSS’yi çok daha tüketilebilir ve programatik hale getiriyor — giderek karmaşıklaşan yazılım tedarik zincirlerini ve bağımlılık ağlarını güvence altına almak için gereklidir. Sonuç? Kalp piliniz veya insülin pompanız daha güvenli olacak ve giderek daha fazla açık kaynakla desteklenen bir dünyada diğer her şey de öyle olacak.