Prof. Dr. Christian Johner

Autor: Prof. Dr. Christian Johner

Inhaber der Johner Institut GmbH

Cybersecurity in Medical Devices: FDA Guidance Dokumente

Mittwoch 27. Januar 2016

Das Thema Cybersecurity steht zur Zeit sehr im Fokus der FDA. Die US-Gesundheitsbehörde hat dazu drei Guidance Dokumente veröffentlich, die sich an Hersteller von Medizinprodukten wenden, allerdings mit unterschiedlichem Fokus.
  1. Das FDA Guidance Dokument „Cybersecurity in Medical Devices“ wendet sich an alle Medizinproduktehersteller, der Produkte Software enthalten oder eigenständige Software sind. Der Fokus liegt auf der Entwicklungsphase. Das Guidance-Dokument legt fest,
    • wie Hersteller das Risikomanagement um das Thema Cybersecurity ergänzen müssen,
    • welche Aspekte sie dabei konkret beachten bzw. umsetzen sollen und
    • wie sie diese Maßnahmen zu dokumentieren haben.
  2. Das Dokument „Postmarket Management of Cybersecurity in Medical Device“ schildert die Ansichten der FDA bezüglich der Phase nach der Entwicklung.
  3. Das Dokument „Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software“ ist lediglich ein FAQ.

Update: Die FDA hat einen neuen „Postmarket Management Guidance herausgegeben. Was die FDA darin fordert, habe ich Ihnen hier zusammengefasst.

1. FDA Guidance Document: „Cybersecurity in Medical Devices“

FDA Cybersecurity Guidance

Zum Vergrößern klicken

Diese Dokumentation müssen die Hersteller bei einer Zulassung z.B. nach 510(k) einreichen.

Zusammenspiel von FDA Cybersecurity Guidance und Risikomanagement

Der Vorschlag der FDA im Cybersecurity Guidance Dokument, wie die Hersteller vorgehen sollen, entspricht dem üblichen Risikomanagement, bei dem eine FMEA zum Einsatz kommt:

  1. Die Hersteller sollen die Schnittstellen der Software wie Netzwerk (WLAN, Kabel) und Laufwerte (USB, CD) identifizieren und jeweils Schwachstellen und Bedrohungsszenarien analysieren. Bei einer FMEA wären das die Inputs. Beispiele für IT-Security-Probleme finden Sie hier.
  2. Anschließend sollen die Hersteller die Gefährdungen abschätzen, die sich bei diesen Angegriffen und über diese Schnittstelle ergeben für die Patienten, die Anwender und das Medizinprodukt selbst. Berücksichtigen Sie bei der Risikoanalyse Risiken durch unautorisierten Zugriff, durch Veränderungen, Missbrauch oder „Denial of Use“ oder durch die Verletzung der Vertraulichkeit der Daten. Kurz es geht wie immer bei IT-Security und die CIA-Aspekte
    C: Confidentiality
    I: Integrity
    A: Availability
    Im Gegensatz zur klassischen IT-Security stehen hier aber Risiken für Patienten, Anwender und Dritte im Fokus. Es geht somit um körperliche bzw. gesundheitliche Schäden, weniger um Materielle.
  3. Wie im Risikomanagement üblich müssen für diese Gefährdungen die Wahrscheinlichkeiten und damit die Risiken abgeschätzt werden.
  4. Im letzten Schritt müssen die Hersteller die Maßnahmen festlegen, die Restrisiken und die Risikoakzeptanz abschätzen.

Damit lassen sich die Forderungen des FDA Cybersecurity Guidance Dokuments im Rahmen des „normalen“ Risikomanagements erfüllen.

Spezifische Forderungen im FDA Cybersecurity Guidance Dokument

FDA Cybersecurity Guidance Documentation

Die FDA hat ein konkretes Modell vor Augen, mit dem Hersteller vorgehen sollen:

  1. Identify: Wie eben dargestellt sollen die Schnittstellen und damit verbundenen Schwachstellen und Angriffsszenarien identifiziert werden.
  2. Protect: Bei den Maßnahmen sieht die FDA v.a. den Zugriffsschutz und die Sicherstellung der Integrität der Software vor.
  3. Detect: Weiter wünscht die FDA im Cybersecurity Guidance Dokument, dass mögliche Kompromittierungen automatisch erkannt und dokumentiert werden.
  4. Respond: Benutzer müssen auf diese Probleme hingewiesen werden, wobei eine Mindestfunktionalität des Produkts gewährleistet bleiben muss (um Risiken durch einen vollständigen Ausfall des Geräts zu minimieren).
  5. Recover: Es sollten Möglichkeiten aufgezeigt werden, wie das Medizinprodukt wieder in einen integren Zustand zurückgeführt werden soll.

Forderungen des FDA Cybersecurity Guides an die Dokumentation

Die Dokumentation geht über die des reinen Risikomanagements hinaus. Die Hersteller müssen laut Cybersecurity Guidance Dokument zusätzlich zum Risikomanagement (Gefährdungen, Risiken, Maßnahmen) dokumentieren:

  • Einen Plan, wie Sie die Software aktualisiert halten wollen, um auf neue Sicherheitsbedrohungen reagieren zu können
  • Eine Beschreibung, wie der Hersteller die Integrität bereits vor der Auslieferung an den Kunden sicherstellen will
  • Anweisungen an die Kunden, wie sie das Produkt bedienen sollen und welche Laufzeitumgebung (z.B. Firewalls, Antivirus-Software) bereitgestellt werden muss

510(k) und FDA Guidance Dokument „Cybersecurity in Medical Devices“

Das Cybersecurity Guidance legt nicht nur fest, welche Dokumentation Hersteller bei einer Zulassung z.B. nach 510(k) (Premarket Notification PMN) einreichen müssen. Das Guidance Dokument sagt auch, dass Änderungen an der Software einzig mit dem Zweck, Cybersecurity Bedrohungen gerecht zu werden, in der Regel keiner neuen Zulassung bedürfen.

D.h. die FDA kommt uns zumindest ein kleines bisschen entgegen.

Weitere Quellen

Die FDA referenziert in dem Dokument weitere Quellen wie die IEC 80001. In diesem Zusammenhang ist auch das FDA Guidance Document „Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software“ zu erwähnen.

FDA Guidance Cybersecurity

2. FDA Guidance Document: „Postmarket Management“

Die FDA hat erkannt, dass Hersteller während der Entwicklung nicht alle künftigen Bedrohungen mit Bezug zur Cybersecurity vorhersagen und adressieren können. Daher verlangt Sie, dass die Hersteller auch nach der Entwicklung kontinuierlich diese Bedrohungen analysieren und entsprechende Maßnahmen ergreifen.

„Postmarket“ Informationsquellen

Zu den Informationsquellen, die die FDA den Herstellen empfiehlt auszuwerten zählen:

  • Ergebnisse der Sicherheitsforscher
  • Eigenes Testen
  • Soft- und Hardware-Lieferanten
  • Kunden wie Krankenhäusern
  • Institutionen, die sich auf das Sammeln, Analysieren und Verbreiten entsprechender Informationen spezialisiert haben

Maßnahmen

Die FDA empfiehlt das NIST Framework (National Institut for Standards and Technology) anzuwenden, dessen Elemente (Identify, Protect, Detect, Respond und Recover) bereits das erste Guidance Document aufgreift.

Die FDA wiederholt die Gedanken des ersten Dokuments:

  1. Finden Sie heraus, welche wesentlichen (klinischen) Leistungsmerkmale Ihr Medizinprodukt erfüllen muss.
  2. Identifizieren Sie die Risiken, die auftreten, wenn diese Leistungsmerkmale nicht erfüllt sind — hier aufgrund eines Cybersecurity Problems.
  3. Analysieren Sie, wie es zu diesem Problem kommen kann. Nutzen Sie dazu die o.g. Informationen.
  4. Bewerten Sie diese potenziellen Probleme und deren Wahrscheinlichkeiten z.B. mit dem Common Vulnerability Scoring System.
  5. Analysieren Sie die Auswirkungen auf die Gesundheit d.h. den Schweregrad möglicher Schäden.
  6. Bewerten Sie die Vertretbarkeit der Risiken.
  7. Beseitigen Sie Schwachstellen (immer), stellen Sie die Wirksamkeit der Maßnahmen sicher und dokumentieren Sie all das.
  8. Informieren Sie die Nutzer.

An dieser Stelle erwähnt die FDA, dass proaktive Maßnahmen zur Verbesserung der Cybersecurity gemäß 21 CFR part 806.10 der FDA nicht gemeldet werden müssen.

FDA Postmarket Cybersecurity Guidance Cocument

Schon länger hat die FDA dieses „Program Book“ veröffentlicht, das sie weiterhin empfiehlt.

Fazit

Die Forderungen der FDA konkretisieren das, was man von einer üblichen Marktüberwachung erwarten würde. Bemerkenswert sind:

  1. Das Dokument ist an einigen Stellen erstaunlich konkret z.B. die auszuwertenden Informationsquellen bzw. die anzuwendenden Methoden betreffend.
  2. Das Dokument gibt Antworten auf die Fragen, wann Cybersecurity-bezogene Maßnahmen zu melden sind.
  3. Das Dokument definiert Begriffe (z.B. Exploit, Remediation, Threat, Threat Modelling) und gibt zahlreiche Beispiele.

Aktuelles

Beispiele für mangelnde IT-Security von Medizinprodukten

  • Manipulierbare Medizingeräte: Technology Review berichtet wie angreifbar und damit manipulierbar Medizingeräte sind.
  • Millionen Gesundheitsdaten gestohlen: Hacker sind in das Krankenhaus-System der UCLA eingebrochen und haben 4,5 Mio. Datensätze gestohlen (Artikel bei Heise). Bezeichnender Weise wurde der Einbruch erst nach über einem halben Jahr bemerkt.
    In dem Maß, in dem diese Gesundheitsdaten an Wert gewinnen, werden unsere Betreiber vermehrt diesen Angriffen ausgesetzt sein.
  • Beatmungsgeräte: Hartkodierte Passworte im Netz verfügbar? Die Passwörter verschiedenster GE-Geräte darunter Beatmungsgeräte scheinen im Netz zu stehen. Ein GE-Mitarbeiter hat mir eine ganze Liste an Dokumenten zukommen lassen.
    Ich verstehe die Notwendigkeit, für Schulungszwecke auf die Geräte zu kommen. Aber ganz so einfach sollte man es sich vielleicht doch nicht machen. Das FDA Cybersecurity Guidance Document verlangt jedenfalls gerade keine hartkodierten Passwörter.

Kategorien: FDA Zulassung - die U.S. Food and Drug Administration, Risikomanagement & ISO 14971, Software & IEC 62304
Tags:

Ein Kommentar über “Cybersecurity in Medical Devices: FDA Guidance Dokumente”

  1. Tetyana Rybchak schrieb:

    Sehr Hilfreich!

Kommentar schreiben