Im Oktober letzten Jahres veröffentlichte die Food and Drug Administration (FDA) eine Aktualisierung der Guidance on Content of Premarket Submission for Management of Cybersecurity in Medical Devices, die ursprünglich im Jahr 2014 verfasst wurde. Der Leitfaden gilt für Hersteller von Medizinprodukten und unterstreicht, wie wichtig es ist, Sicherheitspraktiken in die Entwicklung neuer vernetzter Medizinprodukte zu integrieren.
Der Entwurf der Richtlinien wurde zur öffentlichen Stellungnahme an die Interessengruppen der Branche versandt - darunter Bundesbehörden, Hersteller, Forscher und führende Vertreter der Cybersicherheit. Während dieses Zeitraums arbeitete Keyfactor mit der FDA zusammen, um die Richtlinien auf der Grundlage unserer umfangreichen Erfahrungen mit Cybersicherheit und medizinischen Geräten weiter zu verfeinern.
Auch wenn die endgültige Richtlinie noch nicht veröffentlicht wurde, gibt es praktische Schritte, die Hersteller und Entwickler von software schon heute unternehmen können. Diese Maßnahmen sind sowohl für die Einhaltung der FDA-Vorschriften als auch für die Sicherheit der Patienten wichtig, die auf diese Geräte angewiesen sind.
Warum Hersteller medizinischer Geräte nicht auf die FDA-Regulierung warten können
Hacker warten nicht auf Standards - sie versuchen, ihnen einen Schritt voraus zu sein. Es wird wahrscheinlich noch einige Monate dauern, bis die FDA-Leitlinien zur Cybersicherheit fertiggestellt und veröffentlicht sind, aber bestimmte Sicherheitsmaßnahmen werden zweifellos ein zentraler Bestandteil des Dokuments bleiben - einschließlich Verschlüsselung und Authentifizierung. Solange diese Sicherheitskontrollen nicht implementiert sind, werden Schwachstellen weiterhin von Hackern und Sicherheitsforschern ausgenutzt werden.
Die Hersteller von Medizinprodukten sollten die Bestimmungen zur Cybersicherheit aus dem Leitfadenentwurf jetzt in ihre Medizinprodukte integrieren. Diese proaktiven Schritte werden den Herstellern helfen, eine effiziente Prüfung vor dem Inverkehrbringen zu gewährleisten, unangemessene Kosten oder Verzögerungen bei der Markteinführung zu vermeiden und Investitionen in Produkte der nächsten Generation zu schützen.
PKI: Eine bewährte Technologie
Cybersicherheit für Medizinprodukte beginnt bei der Entwicklung - die FDA-Anleitung zur Cybersicherheit ist diesbezüglich eindeutig. Um Geräte zu bauen, die "sicher durch Design" sind, ist es entscheidend, dass die Hersteller medizinischer Geräte:
- Integrieren Sie eine vertrauenswürdige Identität in jedes Gerät.
- Überprüfen Sie software und Firmware-Updates, und
- Verwenden Sie starke kryptografische Techniken.
Glücklicherweise können alle diese Ziele mit einer bewährten Technologie erreicht werden - digitalen Zertifikaten.
Die Public-Key-Infrastruktur (PKI) und die Verwendung digitaler Zertifikate haben bewiesen, dass sie mit der weit verbreiteten und erfolgreichen Nutzung von SSL/TLS im Internet skalieren können. Die meisten IoT Geräte verwenden gemeinsame Protokolle, die die Verwendung digitaler Zertifikate für TLS Verschlüsselung und Authentifizierung unterstützen, so dass PKI eine ideale Wahl für Gerätehersteller ist, um die Identität in großem Umfang zu sichern.
PKI: Wie funktioniert sie?
Mit PKI und der angemessenen Verwendung digitaler Zertifikate können Hersteller eine starke Authentifizierung, Datenverschlüsselung und die Signierung von Firmware- und software -Updates erzwingen - und das alles bei minimalem Platzbedarf auf dem Gerät selbst.
1.) Authentifizierung
Das Gerät selbst kann ein Client-Authentifizierungszertifikat enthalten, mit dem es sich gegenüber anderen Einrichtungen und Geräten im Gesundheitswesen sicher und eindeutig identifizieren kann. Geräte, Gateways und Anwendungen können dann so konfiguriert werden, dass sie dem Gerät auf der Grundlage des Authentifizierungszertifikats vertrauen. Durch die Bindung einer eindeutigen digitalen Identität an jedes Gerät können die Hersteller sicherstellen, dass nicht zugelassene Geräte nicht mit ihren Systemen kommunizieren können. Digitale Zertifikate und private Schlüssel unterscheiden alle legitimen Geräte, die miteinander kommunizieren, eindeutig.
2.) Code-Signierung
Sobald ein Gerät in Betrieb ist, müssen die Hersteller in der Lage sein, sichere Updates bereitzustellen. Hier kommt das Code Signing ins Spiel.
Wenn ein Gerät ein software oder ein Firmware-Update erhält, kann dieser Code mit einer digitalen Signatur versehen werden. Das Gerät kann diese Signatur mithilfe eines digitalen Zertifikats überprüfen und so sicherstellen, dass nur vertrauenswürdige Updates des Herstellers installiert werden können.
3.) Verschlüsselung
Während der Lebensdauer eines Geräts wird eine riesige Menge an Daten gesammelt, analysiert und weitergegeben. Digitale Zertifikate sorgen dafür, dass alle auf dem Gerät erzeugten Daten sicher verschlüsselt werden können - selbst jemand mit Vollzugriff kann sie nicht lesen oder entschlüsseln. Erst wenn die Daten an einen vertrauenswürdigen Server mit dem passenden Entschlüsselungsschlüssel übertragen werden, können sie gelesen werden.
Mit diesen gemeinsamen Mustern des Datenflusses und der Vertrauensverwaltung kann die Verwendung digitaler Zertifikate viele der regulatorischen Anforderungen der FDA effektiv erfüllen. Noch wichtiger ist jedoch, dass sie dem Hersteller einen echten Sicherheitsvorteil bieten und den Nutzern versichern, dass Hacker keinen Zugriff auf tragbare oder implantierbare medizinische Geräte haben.
Warum Krypto-Agilität der Schlüssel ist
Bei der Verwendung digitaler Zertifikate zur Sicherung medizinischer Geräte ist es wichtig, für die Zukunft zu planen. Kryptographische Algorithmen und Schlüssel werden mit der Zeit unweigerlich schwächer. Geräte, von denen erwartet wird, dass sie ihre Integrität über Jahre hinweg aufrechterhalten, müssen unter der Annahme hergestellt werden, dass die heute verwendete Kryptografie nicht über ihre gesamte Lebensdauer hinweg wirksam sein wird.
Auch heute noch gibt es Herausforderungen - alle Zertifikate laufen ab, private Schlüssel können kompromittiert werden, und Schlüssel verlieren an Stärke. Für Geräte, die länger als ein oder zwei Jahre halten sollen, bedeutet dies zwangsläufig, dass der Austausch von Schlüsseln und Zertifikaten (bekannt als "Krypto-Agilität") unterstützt werden muss.
Möchten Sie mehr erfahren? Entdecken Sie 6 praktische Schritte, die Sie noch heute unternehmen können, um die FDA-Richtlinien für die Sicherheit von Medizinprodukten vor der Markteinführung zu erfüllen.
