Aufrufe
vor 1 Jahr

IT for Health 02/2020

  • Text
  • Informationen
  • Zeit
  • Gesundheitswesen
  • Schweizer
  • Digitale
  • Digitalisierung
  • Entwicklung
  • Spital
  • Schweiz
  • Patienten

DOSSIER IN KOOPERATION

DOSSIER IN KOOPERATION MIT CYONE SECURITY «Security by Design» für sicher vernetzte Medizin- und Labortechnikprodukte Die Einbindung von Diagnosegeräten, Medizintechnikprodukten für die Langzeitüberwachung, die Kontrolle von Herzschrittmachern und aktiven Implantaten per App – auch in der Medizintechnik ist der Trend zur Vernetzung da, der aber auch die Angriffsfläche dieser Geräte vergrössert. Dadurch kommt es immer wieder zu kritischen Sicherheitsvorfällen mit teils lebensbedrohlichen Auswirkungen. Bei der Entwicklung von Medizin- und Labortechnikprodukten stehen auch heute noch Funktionalität und Safety im Fokus. Die notwendige Cybersecurity wird von Herstellern indes stiefmütterlich behandelt, da die Onlinevernetzung bisher nicht Ausgangslage und somit nicht in den Risikobeurteilungen berücksichtigt worden ist. Deshalb fehlt auch die notwendige Product- Cybersecurity-Fachkompetenz. Dieses Know-how ist Grundvoraussetzung für eine nachhaltige Security über den gesamten Produktlebenszyklus und eine gefahrenlose Integration in die existierenden IT-Infrastrukturen im Medtech- oder Pharmaumfeld. Hier setzen die neuen Regulatorien der FDA (Food and Drug Administration) und die MDR (Medical Device Regulation) an und definieren entsprechende Vorgaben. Vernetzte Medizin- und Labortechnikprodukte werden während ihres gesamten Produktlebenszyklus mit drei verschiedenen Herausforderungen konfrontiert: Veränderungen, Widerstand und Schutz. Sie müssen sich deshalb: 1. den Unternehmensnetzwerken, die sich laufend ändern, kontinuierlich anpassen lassen, sodass eine effiziente und sichere Integration möglich ist; 2. innerhalb eines operativen und regulatorisch geprägten Prozessumfelds behaupten und während ihres Lebenszyklus an neue Regulatorien adaptieren können; 3. gegen die sich dauernd weiterentwickelnden Cybergefahren anpassen und schützen lassen und so im Einsatz aktuellen Cyberbedrohungen standhalten können. Der Autor Stefan Frank, Senior Security Consultant bei CyOne Security Hohe Komplexität der vernetzten Medizintechnikprodukte Auch in der Medizin- und Labortechnik können umfassende IoT- Ökosysteme entstehen, in denen das Produkt als Datenlieferant eine zentrale Rolle spielt. Dabei gehören die Daten verschiedensten Anspruchsgruppen. Können Hersteller-, Pa tienten- oder Rezeptur- und Betreiberdaten nicht bereits zum Zeitpunkt ihrer Entstehung mittels einer geeigneten Sicherheitsarchitektur geschützt oder separiert werden, ist der regulatorien-konforme Umgang sehr schwierig zu erreichen. Zudem wird eine sichere Integration in eine vernetzte IT-Infrastruktur kompliziert und dadurch teuer und die notwendigen Zertifizierungen fraglich. Um als Hersteller nachhaltig Mehrwert zu schaffen, darf die Sicherheit nicht nur auf die einzelnen Geräte beschränkt werden. Vielmehr muss sie systemübergreifend betrachtet werden. Die drei Schlüsselelemente für Hersteller und Entwicklungen lauten somit: 1. Ein integrativer Ansatz sichert den Erfolg, da Kosten und Nutzen ins optimale Verhältnis gebracht werden können. 2. Ganzheitliche IoT-Security/Cybersecurity in Medizinprodukten schafft die Grundlage für einen Wettbewerbsvorteil. 3. «Security by Design» minimiert Risiken und Kosten bei Hersteller und Betreiber. Dementsprechend sind sowohl Hersteller als auch Betreiber gefordert, vorausschauend zu agieren: Werden optimale Sicherheitsarchitekturen bei der Produktentwicklung und der Umsetzung von Beginn an berücksichtigt, können eine erfolgreiche Integration und ein sicherer Betrieb während des gesamten Produktlebenszyklus gewährleistet werden. Neue Cyberrisiken, die durch eine Vernetzung der Medizintechnikgeräte hervorgerufen werden, sind dadurch adressierbar und können minimiert werden. Höhere Sicherheit gegenüber Manipulation, Verfälschung, Erpressungen und Infizierung der Umgebung steigern die Reputation und führen zu einem starken Marktvorteil. 42

« Durch Covid-19 hat sich die IT-Sicherheitslage vermutlich verschlechtert » Corona beschleunigt die Digitalisierung – auch im Gesundheitswesen. Allerdings wohl auf Kosten der IT-Sicherheit. Stefan Frank, Senior Security Consultant bei CyOne Security erklärt, was Spital-CIOs nun beachten müssen. Interview: Marc Landis DOSSIER IN KOOPERATION MIT CYONE SECURITY Wie wirkt sich die Coronakrise auf die IT-Sicherheitslage im Gesundheitswesen aus? Stefan Frank: Innerhalb kurzer Zeit wurden lokal begrenzte und individuelle Digitalisierungsmassnahmen umgesetzt, die vor der Pandemie noch unmöglich schienen. Durch neue Homeoffice-Regelungen für etwa nicht-medizinisches Personal in Spitalverwaltungen sind neue Remote-Zugriffe auf die Spitalinfrastrukturen etabliert und auf Papier bestehende Prozesse digitalisiert worden, um Teleworking überhaupt zu ermöglichen. Sicher hat die Coronakrise den Digitalisierungstrend im Gesundheitswesen beschleunigt, was ich als positiven ersten Schritt erachte. Vermutlich hat sich die IT-Sicherheitslage infolge des raschen Umsetzungsdrucks in diesem Umfeld durch die Pandemie insgesamt aber leider verschlechtert – in welchem Ausmass, wird eine Konsolidierung nach der Krise zeigen. Stefan Frank ist Senior Security Consultant bei CyOne Security. Wo sehen Sie die grössten Gefahren? Die Vernetzung von Standard-IT-Infrastrukturen mit neuen netzwerkfähigen Medizintechnik- und Diagnoseprodukten erhöht die Schnittstellen und somit die Angriffsfläche: Die stark regulierten Medizintechnikprodukte stellen ohne adäquate Sicherheitsmassnahmen ein Einfallstor für Cyberkriminelle dar. In Bezug auf die Integrität und den Schutz der Patientendaten sowie die Datenhoheit sehen wir das zweite grosse Gefahrenpotenzial im Einsatz von Public-Cloud- oder Hybrid- Cloud-Angeboten aufgrund der stetig wachsenden Datenvolumen vor allem in der bildbasierten Diagnose. Wie lassen sich vernetzte medizinische Geräte vor Cyberrisiken schützen? Die IT-Sicherheit und die Cybersicherheit von vernetzten Medizintechnikprodukten müssen über den gesamten Produktlebenszyklus hinweg zwingend gegeben und aufeinander abgestimmt sein. Zentral ist der Einbezug von sicheren vernetzten Komponenten innerhalb dieses vernetzten «Ökosystems». Aus ser der Kommunikationssicherheit liegt der Fokus auf der Hardware- und Softwareintegrität, der Authentifizierung der Geräte, deren Dienste und Daten. Ermöglicht wird dies durch das «Security by Design»-Prinzip, das schon bei der Entwicklung von Hard- und Software berücksichtigt wird. So weisen die Systeme von Anfang an eine hohe Cyber-Resilienz aus und lassen sich an die sich verändernden Cyberbedrohungen adaptieren. Ein solches Produkt bietet einen markanten Mehrwert gegenüber herkömmlichen Produkten. Was raten Sie dem CIO eines Spitals, der bestehende Infrastrukturen absichern muss und sich folglich nicht auf «Security by Design» verlassen kann? Es ist klar, dass ein Spital nicht alle Medizin-, Diagnose- und Laborgeräte auf einmal erneuern kann. Vielmehr geht es darum, die existierenden Geräte sauber in die bestehende IT-Infrastruktur zu integrieren. Neben Netzwerksegmentierungen würden wir einem CIO deshalb Folgendes raten. Erstens: Die Schnittstellen der vorhandenen Geräte überprüfen zu lassen, um die Angriffsfläche für potenzielle Cyberkriminelle zu eruieren. Zweitens: Eine cyber technische Infrastrukturüberwachung, die neben der herkömmlichen Aggregation der Perimeterschutz- Logdaten auch über eine Liveüberwachung der Clients und Server und netzwerkforensische Sensoren verfügt. Drittens: Eine Krisenorganisation für die Bewältigung eines Cybervorfalls aufzubauen und entsprechende Abläufe zu üben (Business Continuity Management). Und viertens: Darauf zu achten, dass künftig ausschliesslich auf dem «Security by Design»- Prinzip basierende Geräte innerhalb der Spitalinfrastruktur eingesetzt werden. Das Dossier finden Sie auch online www.netzwoche.ch 43

Archiv

Specials