Nochmals vielen Dank für Ihre Teilnahme an unserer Sitzung über die Sicherheit von Medizinprodukten. Hier finden Sie die Fragen, die nach der Präsentation gestellt wurden, und die Antworten darauf. Wenn Sie weitere Fragen haben, wenden Sie sich bitte an uns .
Können wir Software-Sicherheitsupdates für Geräte in Krankenhäusern bereitstellen, ohne gegen unsere FDA-Gerätezertifizierung zu verstoßen?
Die FDA gibt an, dass Hersteller medizinischer Geräte ein medizinisches Gerät immer aktualisieren können, um die Cybersicherheit zu verbessern, und dass die FDA die Aktualisierung in der Regel nicht zu überprüfen braucht. Sie sollten dem Team, das für die Aktualisierung Ihres Geräts verantwortlich ist, Anweisungen geben, ein sicheres Aktualisierungsverfahren mit öffentlicher/privater Schlüsselstruktur implementieren und einen ausfallsicheren Code einbauen, damit das Gerät während der Aktualisierung nicht in Betrieb ist.
Werden ein Passwort und eine Krankenhaus-Firewall mein Gerät nicht vor Hackern schützen?
Ja, in gewisser Weise schon, aber ich denke, Robert hat sehr gut darauf hingewiesen, dass es einfach eine ganze Reihe von Dingen gibt, die implementiert werden müssen. Ein Passwort kann verhindern, dass jemand darauf zugreift, aber er kann eines Ihrer Geräte kaufen und außerhalb der Krankenhausumgebung damit arbeiten oder es stehlen oder was auch immer. Sie können sich also nicht auf Ihre Benutzer verlassen und ihnen sagen: "Ihr müsst unser Produkt sicher machen." Sie müssen die Sicherheit in Ihre Geräte einbauen. Ich denke, Robert hat sehr gut über das Verfahren zur Aktualisierung von Produkten und zur Aufrechterhaltung der Sicherheit in der Umgebung, in der das Produkt eingesetzt wird, gesprochen.
Prüft die FDA die Cybersicherheit?
Das ist eine gute Frage, Rich. Tatsache ist, dass die FDA keine spezifischen Tests für jegliche Art von Malware-Infektion oder Cybersicherheit durchführt. Sie gibt ständig neue Empfehlungen heraus, aber es gibt keine spezifischen Tests, und sie erklärt ausdrücklich, dass dies in der Verantwortung des Herstellers von Medizinprodukten liegt.
Welche Lösung ist angesichts der unterschiedlichen Sicherheitsphilosophien, ob hardware- oder softwarebasiert, wirklich die beste?
Ich würde sagen, dass man für wirklich erstklassige Sicherheit eine Kombination aus Hardware und Software braucht. Die Hardware bringt einige der Dinge, die wir besprochen haben, wie z. B. Manipulationsschutzfunktionen, in den Mix ein. Die Software bietet logische Angriffsquellen. Wenn Sie also den Manipulationsschutz als physische Gegenmaßnahme betrachten, erhalten Sie durch die Kombination von Hardware und Software das Beste von beidem, wenn es um logische und physische Angriffsvektoren geht, gegen die Sie sich schützen können. Ein weiterer Aspekt ist natürlich die Art der Informationen, die Sie schützen wollen. Je nachdem, welche Schutzprofile Sie mit Ihrem Gerät anstreben, benötigen Sie möglicherweise unterschiedliche Funktionen aus der Sicht der Hardware oder der Software.
Robert: Ja. Und ich werde einfach einspringen. Ich meine, nur um das zu erweitern, deshalb habe ich in meinem Teil der Präsentation Zeit darauf verwendet, die Vorteile der Hardware zu nutzen. Es gibt viele Dinge, zu denen die Hardware in der Lage ist oder die die Software unterstützen können, aber die Software muss da sein, um all das zu nutzen, wissen Sie. Und nur wenn die beiden zusammenarbeiten, kann das Gerät tatsächlich sicherer werden.
Wenn Sie damit sagen wollen, dass jeder ein gewisses Maß an Hardware- und Softwaresicherheit verwenden sollte, aber jede Anwendung anders ist, woher weiß ich dann, welche Sicherheit für mich die richtige ist?
In Fällen, in denen Sie nicht sicher sind, wo Sie anfangen sollen oder welches Sicherheitsniveau für Ihre Anwendung erforderlich ist, hören wir oft die Frage: "Ich bin kein Sicherheitsexperte. Wie fange ich an?" Am einfachsten ist es natürlich, den Standard zu finden, der für Ihre Geräteklasse am besten geeignet ist, und diesen als Ausgangspunkt zu verwenden. Und wenn Sie sich nicht sicher sind, mit welcher Norm Sie beginnen sollen, ist das NIST (National Institute of Standards and Technology) immer ein guter Ausgangspunkt. Sie haben ein Rahmenwerk für Cybersicherheit veröffentlicht, das sowohl für Neulinge als auch für Veteranen im Sicherheitsbereich als Leitfaden dienen kann. Das wäre also ein Ort, den ich auf jeden Fall empfehlen würde, wenn Sie mit Sicherheit nicht vertraut sind oder wenn Sie neu im Bereich Sicherheit sind.
Und dann einige dieser anderen Standards, die im Laufe des Webinars ebenfalls diskutiert wurden. Bob hatte zum Beispiel FIPS erwähnt. Das ist ein weiterer NIST-Standard, wenn Sie so wollen, auf den viele Leute abzielen oder nach dem sie entwerfen wollen. Außerdem können Sie auch Partner zu Rate ziehen, die Experten auf dem Gebiet der Sicherheit sind, wie zum Beispiel die Teilnehmer der heutigen Telefonkonferenz, also mich, Robert und Bob. Wenn Sie über eigenes Fachwissen verfügen, können Sie dieses natürlich auch nutzen.
Welche Besonderheiten gibt es auf dem medizinischen Markt in Bezug auf die Sicherheit im Vergleich zum allgemeinen Markt?
Nun, darauf kann ich mit einem Wort antworten, nämlich mit gar nichts. Wissen Sie, die Techniken, über die wir heute alle drei gesprochen haben, sind nicht wirklich spezifisch für den medizinischen Markt. Es sind eher allgemeine Dinge, über die man nachdenken sollte, wenn man autonomes Fahren betreibt, richtig? Die Sicherheitsanforderungen und -techniken sind im Wesentlichen die gleichen.
Der Unterschied liegt wirklich in der Betonung, wissen Sie. Wenn ich ein Verbrauchergerät benutze und mein Verbrauchergerät kompromittiert wird und persönliche Daten an die bösen Jungs oder eine Webanwendung oder was auch immer übertragen werden, ist das peinlich und teuer. Aber die Gesetze sind ganz anders.
Die Prüfung durch die Regulierungsbehörden ist völlig anders. In den meisten anderen Branchen geht es bei der Sicherheit im Wesentlichen darum, was passiert, wenn das Scheunentor geöffnet wird und die Pferde alle entlaufen sind. Die Aufsichtsbehörden in der Medizin hingegen versuchen wirklich sicherzustellen, dass man das Scheunentor verschließt, bevor die Pferde entkommen. Und genau darauf liegt das Hauptaugenmerk. Es geht nicht nur um Sie und darum, wie Sie damit umgehen, wenn es passiert ist. Es sind die Regulierungsbehörden, die fragen: "Hey, wie wollt ihr verhindern, dass so etwas passiert?" Obwohl es richtig wäre, all diese Dinge bei jeder Art von Gerät von vornherein zu bedenken, ist dies in der Medizinbranche erforderlich.
Patrick: Robert, eine Sache würde ich noch hinzufügen. Ich höre oft den Vergleich, dass Sicherheit ein bisschen wie eine Versicherung ist. Und das ist es auch. Aber wenn Sie über die medizinische Industrie sprechen, würde ich sagen: Ja, es ist wie eine Versicherung, und die Haftung ist bei medizinischen Anwendungen auch viel höher.
Wie helfen die hier besprochenen Dinge bei den medizinischen Angriffen, die in den Nachrichten auftauchen (Angriffe auf Krankenhausnetzwerke, Ransomware usw.)?
Nun, wie ich in meinem Vortrag sagte, ist nichts perfekt. Aber die Schritte, über die wir alle in unseren Vorträgen gesprochen haben, sind wirklich hilfreich. Wenn es für einen Hacker schwierig oder unmöglich ist, an ein Gerät heranzukommen, um es zu untersuchen und seine Schwachstellen herauszufinden, oder wenn das Gerät auf irgendeine Weise ungültig gemacht wird, wenn das passiert, dann wird es für sie viel schwieriger, herauszufinden, wie sie das Gerät angreifen können.
Wenn Ihre Software unter Verwendung von Präventivtechniken entwickelt wurde und qualitativ hochwertige Best Practices für die Sicherheit einsetzt, wird es für sie viel schwieriger sein, Malware in das Gerät einzuschleusen, von der Ransomware und andere Angriffe auf das Krankenhausnetzwerk ausgehen, selbst wenn sie Zugang zum Gerät erhalten. So können Sie zumindest das Gerät so weit wie möglich schützen, und Sie hoffen, dass die anderen Anbieter des Krankenhausnetzwerks dasselbe tun, so dass das Krankenhausnetzwerk zumindest sicherer wird.
Rich: Und ich weiß, Sie haben gesagt, das macht es schwieriger, aber nicht unmöglich.
Robert: Ja, das geht bis hin zu den bewaffneten Wachen und dem einbetonierten Gerät zurück.
Welche Sicherheitsprobleme gibt es bei der Verwendung von Open-Source-Hardware, wie BeagleBone und Raspberry Pi, in medizinischen Geräten? Bob, willst du das mal ausprobieren?
Sicher. Das hören wir auch von unseren Kunden. Und die Herausforderung ist der Zeitaufwand. Ich meine, die Dinge, die Siemens, Digi und Infineon implementiert haben und/oder unseren Kunden zur Verfügung stellen werden, können alle mit Open-Source-Software realisiert werden. Aber es ist ein enormer Arbeits- und Zeitaufwand, und im Grunde genommen ist man auf sich allein gestellt, wenn man seine eigenen Tools und Teile zusammenstellt und sie in die Open-Source-Hardware integriert. Und man muss es richtig machen! Das ist also sehr zeitaufwändig, und dann ist da noch das Problem der Zertifizierung, das Durchlaufen der verschiedenen globalen Zertifizierungen und der Nachweis, was man getan hat, wobei man wiederum keine Unterstützung von den Anbietern erhält. Die kurze Antwort lautet also: Ja, es ist möglich, aber es ist wirklich extrem schwierig.
Wie erkennen Sie eine Malware-Infektion?
Es ist wichtig, in ein angeschlossenes Gerät Erkennungsfunktionen einzubauen. Dazu kann die Protokollierung von Angriffsversuchen und die Untersuchung der Protokolle auf unerwartete Aktivitäten auf einem Gerät gehören. Es ist auch möglich, Netzwerkaktivitäten zu unerwarteten IP-Adressen oder Aktivitäten eines Geräts zu erkennen. Wenn ein Gerät ausfällt oder zu funktionieren beginnt, sollten Sie es vom Netzwerk trennen und auf Malware oder Code untersuchen, der nicht auf das Gerät gehört. Es gibt Unternehmen und Labors, die Geräte auf das Vorhandensein von Malware testen können.