Hersteller medizinischer Geräte (MDMs) sehen sich dem Druck vieler Interessengruppen ausgesetzt: Aktionäre, Behörden, Organisationen für die Gesundheitsversorgung (HDOs), elektronische Gesundheitsakten (EHRs), Versicherungsanbieter und natürlich Patienten.
Die Sicherheit im Gesundheitswesen unterscheidet sich von der Sicherheit in anderen Branchen - sie ist etwas Persönliches. Das Leben von Menschen steht auf dem Spiel. Und in diesem Kontext hat die Sicherheit eine höhere Priorität. Um all die oben genannten Erwartungen unter einen Hut zu bringen, müssen und sollten sich Gerätehersteller nicht entscheiden, was auf dieser Liste am wichtigsten ist. Es gibt heute Technologien und Anbieter, die MDMs dabei helfen, Patienten zu schützen und gleichzeitig die Nachfrage nach Innovationen und Gewinnzielen zu erfüllen.
Keyfactor hat Jahre damit verbracht, Sicherheitstechnologien für das Internet der Dinge (IoT ) zu entwickeln und bereitzustellen, die den Anforderungen der Gerätehersteller im Gesundheitswesen IoT gerecht werden. Auf diesem Weg haben wir bewährte Verfahren dokumentiert, Fünf Leitprinzipien zur Optimierung der Sicherheit im Gesundheitswesen IoT :
1.) FÜR JEDES GERÄT EIN EINDEUTIGES DIGITALES ZERTIFIKAT BZW. EINEN BERECHTIGUNGSNACHWEIS ERWERBEN
Digitale Zertifikate sind die Grundlage für den Aufbau eines umfassenden Sicherheitsprogramms. Sie dienen als Nachweispunkte zur Identifizierung verschiedener Einheiten - einschließlich Personen, Anwendungen und Geräte.
Die Verwendung eindeutiger digitaler Zertifikate für jedes Gerät ermöglicht es HDOs, die Authentizität eines Geräts zu überprüfen und mit hoher Sicherheit zu bestätigen, dass seine Nachrichten echt sind. Außerdem können IoMT-Plattformen und -Anwendungen (Internet of Medical Things) die Integrität von Nachrichten validieren, die an jedes angeschlossene medizinische Gerät gesendet oder von ihm empfangen werden, um sicherzustellen, dass wertvolle Daten nur mit den vorgesehenen Empfängern ausgetauscht werden. Die Auswirkungen eines kompromittierten Geräts werden dadurch minimiert, dass jedes Gerät seine eigene eindeutige Identität trägt und seine Daten mit Schlüsseln verschlüsselt, die mit dieser eindeutigen Identität verbunden sind.
2.) DIE SPEICHERUNG PRIVATER SCHLÜSSEL AUF HARDWARE ZU VERWALTEN, WO IMMER DIES MÖGLICH IST
Wenn ein digitales Zertifikat ausgestellt wird, werden Schlüssel erzeugt. Ein privater Schlüssel ist eine separate Datei, die für die Verschlüsselung von Daten verwendet wird. Die Trusted Platform Module (TPM)-Technologie oder der sichere Speicher hardware wurden entwickelt, um hardware-basierte, sicherheitsrelevante Funktionen bereitzustellen. Ein TPM-Chip ist ein sicherer Krypto-Prozessor, der kryptografische Operationen durchführt. Er bietet eine hardware-fähige Möglichkeit, Ihre kryptografischen Schlüssel und Zertifikate zu sichern.
3.) ÜBERPRÜFUNG VON DIGITAL SIGNIERTER FIRMWARE & SOFTWARE DURCH CODE SIGNING
Code Signing ist die Anwendung einer digitalen Signatur auf einen Code, die ihn als rechtmäßige Version validiert und die Authentizität seiner Quelle gewährleistet. Der Prozess verifiziert die Identität des Autors und stellt sicher, dass der Code seit der Unterzeichnung durch den Autor nicht verändert oder beschädigt wurde. Wenn die Firmware sicher ist, kann diese Sicherheit auf alle Beteiligten im Gesundheitswesen ausgeweitet werden, so dass Krankenhäuser, Pflegepersonal und Patienten vertrauensvoll mit dem Gerät und untereinander kommunizieren können.
4.) EINRICHTUNG EINER ORGANISATIONSSPEZIFISCHEN WURZEL DES VERTRAUENS (RoT)
Eine Root of Trust (RoT) ist die Grundlage für den sicheren Austausch von Geräten. Wenn eine Gesundheitsorganisation oder ein Hersteller seine eigene RoT verwaltet, hat sie/er die vollständige Kontrolle über die Identitätsüberprüfung jedes Geräts oder jeder Person, an die sie/er einen Schlüssel ausstellt. Sobald das zugehörige digitale Zertifikat ausgestellt ist, kann jeder die Identität des Schlüsselinhabers überprüfen.
Die gemeinsame Nutzung Ihrer RoT mit anderen Parteien führt zu einer Risikoteilung. Die kompromittierte Root einer anderen Partei sollte Ihre Sicherheit nicht beeinträchtigen. Durch die Beibehaltung Ihrer eigenen privaten RoT gewährleisten Sie einen sicheren Zugang zu medizinischen Geräten mit einer Vertrauenskette, die nur von Ihnen autorisierte Komponenten enthält.
5.) INVESTITIONEN IN DAS LEBENSZYKLUSMANAGEMENT FÜR ZERTIFIKATE, SCHLÜSSEL UND ROT
Erneuerbare, austauschbare und widerrufbare Berechtigungsnachweise sowie eine aktualisierbare RoT sind nicht verhandelbare Anforderungen. Statische Systeme sind von Natur aus unsicher, und dieser Grundsatz gilt auch für die Kryptografie. Es ist unvermeidlich, dass kryptografische Algorithmen mit der Zeit schwächer werden, und viele IoT Geräte werden über einen Zeitraum eingesetzt, der weit über die Wirksamkeit ihrer kryptografischen Schlüssel hinausgeht. Daher muss man in der Lage sein, ein komplettes Lebenszyklusmanagement für Zertifikate, Schlüssel und RoT durchzuführen, die auf Geräten (und in IoT Ökosystem-Gateways, Servern und Anwendungen) gespeichert sind.
Wenn Sie mehr erfahren möchten, besuchen Sie https://www.keyfactor.com/keyfactor -control/ oder kontaktieren Sie uns noch heute.
