Sicherung von mit dem Internet verbundenen medizinischen Geräten

Löwen und Tiger und Bären – Oh mein Gott!

Bei der Ankunft in einer unbekannten Landschaft in Der Zauberer von Oz , bemerkte Dorothy:"Toto, ich habe das Gefühl, wir sind nicht mehr in Kansas." Begegnungen mit fliegenden Affen, orgeldefizienten Gefährten, fröhlichen Munchkins und einer wasserscheuen Hexe wurden bald zu ihrer neuen Normalität.

Für uns beinhaltet die neue Normalität die beschleunigte Einführung von mit dem Internet verbundenen medizinischen Geräten und virtuellen Versorgungsmodellen – dem „Internet of Medical Things“ oder IoMT, das von Deloitte als „vernetzte Infrastruktur von medizinischen Geräten, Softwareanwendungen und Gesundheit“ definiert wird Systeme und Dienste.“

Die weltweite Nachfrage nach Medizinprodukten – sowohl von einzelnen Verbrauchern als auch von Gesundheitsdienstleistern – ist enorm. In den USA wurde dieser Markt im Jahr 2019 auf 160,8 Milliarden US-Dollar geschätzt und soll 2020 176 Milliarden US-Dollar erreichen. Unterdessen erwartete ein vom Forschungsunternehmen Fior Markets veröffentlichter Bericht ein Wachstum des globalen Marktes für Konnektivität für medizinische Geräte von 1,63 Milliarden US-Dollar im Jahr 2019 auf 8,76 US-Dollar B im Jahr 2027.

Es lebt!

In einer anderen berühmten Geschichte setzte Baron Victor Frankenstein, Mary Shelleys verrückter Arzt, einfache Nähtechniken ein, um die verschiedenen Körperteile seiner Kreatur zusammenzusetzen, die er dann mit der Elektrokrampftherapie aus dem 19. Jahrhundert aktivierte. Die Technologie des 21. Jahrhunderts hat diese Fähigkeit noch nicht erreicht, obwohl Transplantate, Refixationen, Prothetik und Implantate – von denen viele „intelligent“ (dh verbunden) sind oder mit additiven Fertigungs- und 3D-Druckwerkzeugen hergestellt werden – keine Seltenheit sind.

Aus diesem Grund stellt IoMT einen persönlicheren Aspekt der cyber-physischen Konvergenz dar als andere IoT-Anwendungen – sie treten in unsere intime physische „Vertrauenszone“ ein. Die Patientensicherheit und der Datenschutz können beeinträchtigt werden, wenn ein Gerät oder der Herstellungsprozess eines Geräts kompromittiert wird. Dieses Potenzial hat Bedenken hinsichtlich der ethischen Nutzung und der technischen Möglichkeiten zum Schutz der Privatsphäre, der Cybersicherheit und der wesentlichen Geräteleistung geweckt.

Die effektive Verwaltung der IoMT-Infrastruktur erfordert die Berücksichtigung vieler beweglicher, oft autonomer Teile, darunter:

• Qualitätskontrolle im Herstellungsprozess.
• Interoperabilität medizinischer Informationen, die auf mehreren Geräten gespeichert sind.
• Vertrauen auf Cloud-Speicher und Softwareplattform.
• Überwachung der Netzwerkkommunikation.
• Erfüllung der Erwartungen von Medizinern.

IoMT ist immer mehr Teil unseres Lebensgefüges. Datenschutz, Geräteintegrität und Cyber-Resilienz in das Design und die Herstellung von medizinischen Geräten und Geräten zu integrieren, ist von wesentlicher Bedeutung.

Wen wirst du anrufen?

Die exzentrischen Wissenschaftler in Ghostbusters benutzte parapsychologische Tricks, um unwillkommene Gespenster aufzuspüren. Standards und Richtlinien ¹ für Hersteller von Medizinprodukten befassen sich mit Zusammenarbeit, Qualitätsproblemen, Risiko- und Sicherheitsmanagement, Anwendungsszenarien und skizzieren Praktiken zur Identifizierung und Beseitigung unerwarteter „gespenstischer“ Verhaltensweisen bei Medizinprodukten. Dies trägt dazu bei, die Kontrolle über die Geräteleistung "wie entworfen" und "wie gebaut" zu verbessern (auch wenn die Kontrolle über die Geräte "wie verwendet" schwerer fassbar ist).

Das International Medical Device Regulators Forum (IMDRF), eine freiwillige Organisation, hat eine Arbeitsgruppe für die Cybersicherheit von Medizinprodukten eingerichtet, die im März 2020 ihre „Prinzipien und Praktiken für die Cybersicherheit von Medizinprodukten“ veröffentlicht hat.

Dieses Dokument befasst sich nicht mit der Cybersicherheit innerhalb des Unternehmens selbst, sondern erörtert die Verantwortung der Hersteller von Medizinprodukten, die Widerstandsfähigkeit der Produkt-Cybersicherheit zu verbessern, Schwachstellen zu beheben und Risiken durch die Phasen Design/Entwicklung, Herstellung, Test und Support/Post-Market-Überwachung zu mindern den gesamten Produktlebenszyklus (TPLC). Zu den Empfehlungen für Hersteller gehört die Entwicklung eines TPLC-Cybersicherheitsmanagementplans, um Folgendes zu adressieren:

• Situationsbewusstsein.
• Offenlegung von Sicherheitslücken.
• Updates und Korrekturen.
• Wiederherstellung.
• Nachweis, dass der Hersteller über offengelegte Schwachstellen auf dem Laufenden bleibt und die identifizierten Schwachstellen teilt.

Eine besonders nützliche Risikomanagementtechnik ist die Bedrohungsmodellierung. Das Open Web Application Security Project (OWASP) empfiehlt Herstellern, sich während des Designs und der Entwicklung die folgenden vier Fragen zu stellen:

1. Was bauen wir?
2. Was kann schief gehen (z. B. wie könnte es angegriffen werden)?
3. Was werden wir dagegen tun?
4. Haben wir gute Arbeit geleistet?

Die Planung und Entwicklung von Cybersicherheits-Resilienz in medizinischen Geräten im gesamten TPLC, von der Definition der Leistungsanforderungen bis hin zur Bereitstellung in – und Außerbetriebnahme – aus dem Service führt zu Produkten, die unser Vertrauen verdienen.

Sie sind Heeeeeere!

Poltergeist untersucht die Störungen, die entstehen, wenn kommerzielle, gewinnorientierte Aktivitäten ethische, humanistische Bedenken missachten und Abkürzungen nehmen, die zu unbeabsichtigten Konsequenzen und Kollateralschäden führen. Die Interessenträgergemeinschaft hat an einer Initiative zur Verhinderung solcher Störungen im Sektor der Herstellung von Medizinprodukten mitgewirkt, der unter zwei der 16 kritischen Infrastruktursektoren fällt, die in der Präsidentenrichtlinie 21 (PPD-21) aufgeführt sind:Gesundheitswesen und öffentliche Gesundheit sowie kritische Fertigung . Außerdem hat der US-Kongress 2015 den Cybersecurity Act of 2015 (CSA) verabschiedet, der Anforderungen zur Angleichung der Sicherheitsansätze der Gesundheitsbranche enthält.

Die Joint Cybersecurity Working Group des Healthcare and Public Sector Coordinating Council, eine öffentlich-private Partnerschaft mit dem U.S. Department of Health and Human Services, listet technische Best Practices für Hersteller von Medizinprodukten auf, darunter:

• Minimiere Angriffsflächen.
• Stellen Sie sichere Standardeinstellungen und Konfigurationen ein.
• Aufrechterhaltung der Prüfung und Rechenschaftspflicht.
• Befolgen Sie die Prinzipien der geringsten Privilegien, der Aufgabentrennung und der Verteidigung.
• Sicher fehlschlagen.
• Halten Sie die Sicherheit einfach und beheben Sie Sicherheitsprobleme richtig.

Jeder, der die Sicherheitskontrollanforderungen von NIST SP 800-171 durchgearbeitet hat, wird die Elemente seiner 14 Kontrollfamilien erkennen, die in der obigen Zusammenfassung der Best Practices aufgeführt sind. Sie sind erprobt und wahr – und von grundlegender Bedeutung für informiertes statt blindes Vertrauen.

Ob es darum geht, katastrophale Verknüpfungen zu verhindern, bösartige Phantome (oder Eichhörnchen) einzudämmen oder eine Multi-Node-Gerätelösung zusammenzufügen, in Bezug auf medizinische Geräte befinden wir uns in einer neuen Normalität. Glücklicherweise können wir zu einer sichereren und bewussteren Beziehung zur Technologie übergehen. Wir müssen uns nur weiter mit dem IoMT-Filmskript befassen, um die Komponenten zu verstehen, wie sie interagieren und wie man Pannen abwendet.

Dieser Blog ist Teil einer Reihe, die für den National Cybersecurity Awareness Month (NCSAM) veröffentlicht wurde. Weitere Blogs in der Reihe sind unter anderem:Create a Culture of Security von Celia Paulsen, If You Connect It, Protect It von Zane Patalive, Suspicious Minds:Non-Technical Signs Your Business Might Have Been Hacked von Pat Toth und The Future of Connected Devices von Erik Fogleman und Jeff Orszak.

^{1 Beispiele:Association for Advancement of Medical Information (AAMI) - https://www.aami.org/medical-device-manufacturer; Food and Drug Administration – https://www.fda.gov/medical-devices/digital-health-center-excellence/cybersecurity#guidance; Internationale Elektrotechnische Kommission (IEC) - https://www.iec.ch/perspectives/government/sectors/medical_devices.htm; Internationale Organisation für Standardisierung (ISO) - https://www.iso.org/iso-13485-medical-devices.html; Underwriters Laboratories (UL) - https://www.ul.com/resources/healthcare-standards-directory}