ZUSAMMENFASSUNG DER WESENTLICHEN PUNKTE DURCH EMERGO:

• Der jüngste Angriff der Ransomware WannaCry auf Gesundheitssysteme hat die Notwendigkeit von umfassenderen Werkzeugen zum Risikomanagement in Bezug auf die Cybersicherheit von Medizinprodukten aufgezeigt.
• Ein solches Tool, das sich in der Entwicklung befindet, ISOSCELES, würde eine Plattform bereitstellen, bei der die Kernfunktionen des Produkts von den weniger geschützten Netzwerkfunktionen getrennt wären.
• Ein anderes Tool, CVSS, stellt Herstellern und Benutzern von Medizinprodukten ein Bewertungssystem zur Verfügung, mit dem sie die wichtigsten Risiken erkennen können.

Der Workshop der US Food and Drug Administration zur Cybersicherheit von Medizinprodukten wurde am 18. und 19. Mai 2017 abgehalten. Beim Workshop wurden viele Herausforderungen aufgezeigt. Außerdem wurde klar, dass es noch keine schnellen oder einfachen Lösungen gibt, mit denen Hersteller diesen Herausforderungen begegnen können.

Einige der Vortragenden auf dem Workshop stellten jedoch in Entwicklung befindliche Projekte vor, die über die aktuellen Flickwerke hinausgehen und umfassendere Cybersicherheitsmaßnahmen bieten sollen. Hier war der Angriff der Ransomware WannaCry auf Gesundheitssysteme in vielen Ländern den meisten Workshopteilnehmern noch in frischer Erinnerung.

ISOSCELES-Plattform für Medizinprodukte

Eines dieser Projekte, ISOSCELES (Intrinsically Secure, Open, and Safe Control of Essential Layers - intrinsisch geschützte, offene und sichere Steuerung wesentlicher Schichten) wird von Adventium Labs mit Sitz in Minneapolis, Minnesota, im Rahmen einer Initiative des US-Ministeriums für Innere Sicherheit entwickelt, um die Cybersicherheit kritischer Technologien und Systeme zu verbessern.

Todd Carpenter, leitender Entwickler bei Adventium Labs, stellte ISOSCELES auf dem Workshop vor. Das Projekt will eine Plattform für Medizinprodukte bieten, die alle relevanten FDA- und Sicherheitsvorschriften erfüllt und die Hersteller in ihre eigenen proprietären Designs einbinden können.

Carpenter erläuterte, dass die Trennung der Kernfunktionen eines Medizinprodukts von seinen Netzwerkkomponenten ein wesentlicher Aspekt von ISOSCELES sein wird.

CVSS: genauere Analyse von Sicherheitslücken

Ein weiterer Ansatz bei der Cybersicherheit von Medizinprodukten wurde von Penny Chase, zuständig für die IT- und Cybersicherheitsintegration, und Steve Christey Coley, leitender Ingenieur für Informationssicherheit, von der MITRE Corporation vorgestellt.

Chase and Christey Coley stellten das CVSS-System (Common Vulnerability Scoring System - Bewertungssystem für Schwachstellen) vor, das vom Forum of Incident Response und Security Teams (FIRST) entwickelt wurde, um das Ausmaß von Software-Sicherheitslücken zu analysieren. Mit CVSS können Hersteller von Medizinprodukten und Gesundheitsdienstleister Cybersicherheitsrisiken und Lücken priorisieren und die Schwachstellen identifizieren, die am notwendigsten beseitigt werden müssen, so die MITRE-Vertreter.

Der wesentliche Vorteil von CVSS für die Medizinprodukte-Branche ist laut Chase und Christey Coley die Fähigkeit, Sicherheitsprobleme nach Risikoniveau für die Anwender und Patienten zu klassifizieren. Dieser nuancierte Ansatz sollte bei der Minderung von Cybersicherheitsrisiken helfen, ohne dabei die Behandlungsfunktionen der Produkte einzuschränken.

Ewige Aufholjagd?

Sowohl ISOSCELES als auch CVSS für Medizinprodukte und -systeme befinden sich in der Entwicklungsphase. Trotz der fortlaufenden Entwicklung bei Cybersicherheitsrisiken könnte der umfassende Ansatz dieser beiden Projekte wirksame Lösungen für Hersteller, Gesundheitsdienstleister, Behörden und Patienten zur Bekämpfung dieses Problems bieten.

Weitere Leistungen und Ressourcen von Emergo:

• Beratungsleistungen für Medizinprodukte-und IVD-Unternehmen zu FDA-Vorschriften
• Beratung zum Risikomanagement für Medizinprodukte nach ISO 14971
• Whitepaper (auf Englisch): FDA-Vorschriften in Bezug auf Cybersicherheit für Medizinprodukte