Schützen Sie medizinische Geräte vor Cyberattacken, fordert die FDA

Die FDA drängt Medizinproduzenten und Gesundheitseinrichtungen, dafür zu sorgen, dass angemessene Sicherheitsvorkehrungen getroffen werden, um ihre medizinischen Geräte vor Cyberbedrohungen zu schützen.
Die FDA (Food and Drug Administration) sagte am Donnerstag, dass ihre Warnung speziell an biomedizinische Ingenieure, Gesundheits-IT und Beschaffungs-Personal, medizinische Geräte Benutzer Einrichtungen, Krankenhäuser und Hersteller von medizinischen Geräten richtet.
Ein Cyberangriff kann verursacht werden, wenn * Malware in medizinische Geräte eingeführt wird und unbefugte Personen Zugang zu Konfigurationseinstellungen in Krankenhausnetzen und -geräten erhalten.
* Malware ist Software, die entwickelt wurde, um Computer und Computersysteme, d. H. Bösartige Software, zu deaktivieren oder zu beschädigen.
Die meisten medizinischen Geräte enthalten heute eingebettete Computersysteme, die konfigurierbar sind, was bedeutet, dass sie verändert oder optimiert werden können. sie anfällig für Cyber-Sicherheitsverletzungen machen.

Die Bedrohung hat sich in den letzten fünfzehn Jahren verschärft, da eine wachsende Anzahl von medizinischen Geräten über Krankenhausnetze, das Internet, Smartphones und andere medizinische Geräte miteinander verbunden sind. Jede neue Art von Verbindung erhöht ihre Anfälligkeit für bösartige Angriffe.
Die FDA stellt fest, dass sie die folgenden Cyber-Sicherheitslücken und Vorfälle in Bezug auf den Betrieb von Krankenhausnetzen und medizinischen Geräten bemerkt hat:

• Medizinische Geräte, die mit einem Netzwerk konfiguriert und / oder verbunden sind, werden durch Malware deaktiviert


• Malware dringt in Krankenhaus-Smartphones, Tablets, andere mobile Geräte, die Wi-Fi-Technologie verwenden, um auf Patienteninformationen zuzugreifen, implantierte Patientengeräte und Krankenhauscomputer ein


• Fehlende angemessene Sicherheit in Bezug auf Kennwörter, deaktivierte Kennwörter und fest codierte Kennwörter für Software, die für ausgewähltes Personal wie Wartung, technisches oder Verwaltungspersonal bestimmt ist


• Regelmäßiges Aktualisieren von Medizingeräten und Netzwerksoftware


• Sicherheitslücken in Altgeräten (ältere Medizinprodukte) nicht beheben


• Sicherheitsschwächen in Standardsoftware, die einen unautorisierten Netzwerk- oder Gerätezugriff verhindern sollen, z. B. fest codierte Kennwörter, Klartext- oder keine Authentifizierung, schlechte Codierung / SQL-Infektion und dokumentierte Dienstkonten in Diensthandbüchern

Bislang hat die FDA keine Berichte erhalten, wonach bestimmte Systeme oder Geräte, die klinisch eingesetzt werden, absichtlich ins Visier genommen werden, noch sind sie sich der durch diese Vorfälle verursachten Patientenverletzungen oder Todesfälle bewusst.
Nach Angaben der amerikanischen Gesundheitsbehörde und anderer Behörden haben Medizinprodukte- und Softwareunternehmen eng zusammengearbeitet, um das Risiko von Cyberangriffen zu minimieren.

Welche Maßnahmen empfiehlt die FDA?

Ein hoher Prozentsatz medizinischer Geräte enthält konfigurierbare eingebettete Computersysteme, die potenzielle Angriffspunkte für Cyberbedrohungen darstellen. Empfehlungen für Gerätehersteller
Es liegt in der Verantwortung der Hersteller von Medizinprodukten, nach potenziellen Risiken und Gefahren im Zusammenhang mit ihren Produkten Ausschau zu halten, einschließlich Cyber-Sicherheitsrisiken. Sie sind auch dafür verantwortlich, sicherzustellen, dass angemessene Maßnahmen ergriffen werden, um die Sicherheit der Patienten zu gewährleisten und sicherzustellen, dass das Gerät ordnungsgemäß funktioniert.

Medizinproduktehersteller müssen sicherstellen, dass ein unbefugter Zugriff auf ihre Produkte nicht möglich ist. Die FDA schrieb in einem Online-Kommuniqué: "Insbesondere empfehlen wir den Herstellern, ihre Cybersicherheitspraktiken und -richtlinien zu überprüfen, um sicherzustellen, dass geeignete Sicherheitsvorkehrungen getroffen werden, um unbefugten Zugriff oder Änderungen an ihren medizinischen Geräten zu verhindern oder die Sicherheit des Krankenhausnetzes zu gefährden Das Ausmaß, in dem Sicherheitskontrollen erforderlich sind, hängt von dem medizinischen Gerät, seiner Einsatzumgebung, der Art und Wahrscheinlichkeit der Risiken, denen es ausgesetzt ist, und den wahrscheinlichen Risiken für Patienten aufgrund einer Sicherheitsverletzung ab . "
Wenn das Gerät evaluiert wird, sollte Folgendes berücksichtigt werden:

• Es müssen Schritte unternommen werden, um sicherzustellen, dass nur vertrauenswürdige Benutzer Zugriff auf das Gerät und niemanden sonst haben, insbesondere Geräte, die Patienten am Leben halten oder direkt mit Krankenhausnetzen verbunden werden können.


• Ergreifen Sie Maßnahmen, um jede Komponente vor Ausnutzung zu schützen. Entwickeln Sie Strategien für aktiven Sicherheitsschutz, die für die Nutzungsumgebung des Geräts geeignet und praktikabel sind. Diese Strategien müssen die rechtzeitige Bereitstellung routinemäßiger, validierter Sicherheitspatches und Systeme umfassen, die einen authentifizierten Code für Software- und Firmware-Updates benötigen.


• Die kritische Funktionalität eines medizinischen Geräts hat oberste Priorität. Stellen Sie sicher, dass Design-Ansätze dies berücksichtigen. Selbst wenn das Gerät kompromittiert wurde, sollten fehlersichere Modi enthalten sein, um diese kritische Funktionalität aufrechtzuerhalten.


• Nach einem Vorfall, der sich auf die Sicherheit auswirkt, sollten Methoden zur Aufbewahrung und Wiederherstellung vorhanden sein. "Cybersicherheitsvorfälle werden immer wahrscheinlicher, und Hersteller sollten Vorfallreaktionspläne in Betracht ziehen, die sich mit der Möglichkeit eines verschlechterten Betriebs und einer effizienten Wiederherstellung und Wiederherstellung befassen."

Empfehlungen für Krankenhäuser und andere Gesundheitseinrichtungen
Gesundheitseinrichtungen müssen Maßnahmen ergreifen, um ihre Netzwerksicherheit zu bewerten und ihre Krankenhaussysteme zu schützen. Folgendes sollte bei der Bewertung der Netzwerksicherheit berücksichtigt werden:

• Der Zugriff auf vernetzte medizinische Geräte und Netzwerke im Allgemeinen sollte auf autorisiertes Personal und niemanden sonst beschränkt werden.


• Firewalls und Antivirensoftware sollten regelmäßig aktualisiert werden.


• Die Netzwerkaktivität sollte ständig auf unbefugte Benutzung überwacht werden.


• Einzelne Netzwerkkomponenten müssen regelmäßig routinemäßig ausgewertet werden. Dies umfasst das Aktualisieren von Sicherheitspatches und das Deaktivieren aller unnötigen Ports und Dienste.


• Wenn ein Krankenhaus oder eine Gesundheitseinrichtung ein Cyber-Sicherheitsproblem mit einem medizinischen Gerät hat oder vermutet, sollte der Hersteller sofort kontaktiert werden.Die FDA und DHA ICS-CERT können möglicherweise bei der Meldung und Lösung von Schwachstellen helfen, wenn es nicht möglich ist, festzustellen, wer der Hersteller ist oder ob der Hersteller nicht kontaktiert werden kann.


• Bei widrigen Bedingungen Es ist wichtig, dass die Ausrüstung kritische Funktionen beibehält. Gesundheitseinrichtungen müssen Notfallstrategien entwickeln und evaluieren.

Die FDA gibt bekannt, dass sie einen Entwurf für Leitlinien herausgegeben hat, wie sich Hersteller von Medizinprodukten mit Cybersicherheit befassen sollten, wenn sie ihre Produkte zur Genehmigung einreichen (vor dem Markt). Es enthält auch Anleitungen, wie Hersteller mit Cyber-Sicherheitsproblemen in Bezug auf Geräte umgehen sollten, die Standardsoftware verwenden.

Die FDA fordert Hersteller und Gesundheitseinrichtungen auf, Probleme zu melden

Um das mit Medizinprodukten verbundene Risiko besser zu verstehen, fordert die FDA die Gerätebenutzer und Hersteller auf, unerwünschte Ereignisse umgehend der Agentur zu melden. "Wenn Sie vermuten, dass ein Cybersecurity-Ereignis die Leistung eines medizinischen Geräts beeinträchtigt oder ein Krankenhausnetzwerksystem beeinträchtigt hat, empfehlen wir Ihnen, einen freiwilligen Bericht über MedWatch, das FDA-Programm für Sicherheitsinformationen und unerwünschte Ereignisse, einzureichen."

Das Pflegepersonal sollte die in seinen Einrichtungen festgelegten Meldeverfahren befolgen. Hersteller von Medizinprodukten müssen die MDR-Richtlinien (Medical Device Reporting) einhalten.
Wenn ein Cyber-Sicherheitsproblem / -vorfall mit einem bestimmten Gerät gemeldet wird, fordert die FDA, dass die folgenden Informationen in den Bericht aufgenommen werden (falls verfügbar):

• Wer ist Ihr Ansprechpartner, wenn weitere Details zum Vorfall / Ereignis erforderlich sind?


• Wann wurde das Problem der Cybersicherheit erstmals entdeckt?


• Wie wurde das Problem zuerst entdeckt?


• Welche Modellnummern und Firmware-Versionen sind betroffen?


• Wie viele Medizinprodukte sind / waren betroffen?


• Wurde die Funktionalität des Geräts beeinträchtigt? Wenn ja, wie ist dies passiert (wurde es über lokalen Zugriff oder remote ausgenutzt)?


• Was ist das beobachtete abnormale Verhalten des Medizinprodukts? Was sind die möglichen Konsequenzen?

Forscher der University of Michigan, der University of South Carolina, des Advanced Institute of Science and Technology, der University of Minnesota, der University of Massachusetts und der Harvard Medical School berichteten im Mai 2013, dass in implantierten Herzdefibrillatoren und Herzschrittmachern verwendete Sensoren anfällig für Manipulationen sind.
Das Team zeigte, dass sie mit hochfrequenten elektromagnetischen Wellen einen unregelmäßigen Herzschlag erzeugen können. Theoretisch könnte ein falsches Signal wie das von ihnen erzeugte den Herzschrittmacher daran hindern, richtig zu arbeiten, und könnte auch unnötige Defibrillationsschocks induzieren.
Prof. Wenyuan Xu von der University of South Carolina sagte: "Sicherheit ist oft ein Wettrüsten mit Gegnern. Als Forscher ist es unsere Verantwortung, die gängige Praxis immer wieder in Frage zu stellen und Sicherheitslücken zu finden, die ausgenutzt werden können, bevor unglückliche Ereignisse passieren Ich hoffe, dass unsere Forschungsergebnisse dazu beitragen können, die Sicherheit von Sensorsystemen zu verbessern, die noch in den kommenden Jahren entstehen werden. "
Geschrieben von Christian Nordqvist