Die Bedeutung von SBOM und CVE in der Medizin

Ein Bild von , News, Die Bedeutung von SBOM und CVE in der Medizin

Was bedeutet Cybersicherheit für ein Medizinprodukt? Dies ist ein interessantes und komplexes Thema, das es herauszufinden gilt. 

Eines der wichtigsten Dokumente zu diesem Thema ist in der Tat „Principles and Practices for Medical Device Cybersecurity“ von IMDRF und hier verfügbar: Principles and Practices for Medical Device Cybersecurity (imdrf.org). IMDRF steht für International Medical Device Regulators Forum und ist eine Gruppe von Regulierungsbehörden für Medizinprodukte, deren Ziel es ist, die Vorschriften für Medizinprodukte zu harmonisieren und zusammenzuführen.

Der Zweck dieses Dokuments besteht darin, allgemeine Grundsätze und Best Practices bereitzustellen, um die internationale Konvergenz der Vorschriften zur Cybersicherheit medizinischer Geräte zu erleichtern.

Bei medizinischen Geräten ist Sicherheit zweifellos ein zentrales Anliegen. Tatsächlich können die Auswirkungen eines kompromittierten Geräts katastrophal sein, wie etwa Diagnosefehler, falsche Therapien bis hin zur Unmöglichkeit des Zugangs zu einer Behandlung.

Die zunehmende Bedrohung durch Cybersicherheit zwingt Unternehmen dazu, schnell zu reagieren und in vielen Fällen am Ende der Entwicklungsphase Sicherheitsüberprüfungen durchzuführen. Die Realität ist jedoch, dass die Sicherheit auf den gesamten Produktlebenszyklus (TPLC) angewendet werden muss. TPLC ist ein Konzept, das von der US-amerikanischen Food and Drug Administration (FDA) und anderen Aufsichtsbehörden häufig verwendet wird und von Medizingeräteherstellern befolgt werden sollte, um ein Produkt vom Konzept bis zur Entsorgung zu begleiten. Einen Überblick über die Cybersicherheitsanforderungen für in den USA verkaufte medizinische Geräte erhalten Sie in den Webinaren meiner Kollegen Ryan Zheng und Robert Krantz, die hier verfügbar sind. Laut IMDRF sollte der Hersteller in der Pre-Market-Phase darüber nachdenken, wie er das Gerät sicher aktualisieren kann, wenn es von einer Schwachstelle betroffen ist. Dies reicht jedoch natürlich nicht aus, da es entscheidend ist, zu ermitteln, welche Geräte wirklich betroffen sind und eine Aktualisierung benötigen aktualisieren. Eine solche Rückverfolgbarkeit kann nur durch die Nutzung der Datenbank der Softwarekomponenten (SBOM) des Geräts erreicht werden.

SBOM (Software Bill of Materials) ist nicht nur von entscheidender Bedeutung, um die Rückverfolgbarkeit zu ermöglichen, sondern auch für die Gesundheitsdienstleister wichtig, da sie ihre Vermögenswerte verwalten, die Risiken bewerten und schließlich die erforderlichen Gegenmaßnahmen ergreifen können, um die Sicherheitsintegrität der Produkte aufrechtzuerhalten Gerät.

SBOM beeinflusst auch Kaufentscheidungen im Gesundheitswesen: Käufer, die Einblick in den Inhalt eines Geräts haben, können die potenziellen Sicherheitsrisiken einschätzen (z. B. das Vorhandensein einer Komponente kurz vor dem Ende ihrer Lebensdauer) und daher den damit verbundenen Wert besser quantifizieren.

Aus den oben genannten Gründen hat das IMDRF in seinem Dokument klar dargelegt, dass der Hersteller zusätzlich zu den üblichen Benutzeranweisungen und technischen Informationen immer die SBOM des Geräts beifügen sollte.

Gesundheitsdienstleister, die in der Regel Endkunden von Medizinprodukten sind, nutzen diese in der Regel deutlich länger als die ursprünglich geplante und kommunizierte Lebensdauer. In solchen Szenarien ist SBOM äußerst wichtig, da es Risikobewertungen auf der Grundlage der Lebensdauer von Softwarekomponenten ermöglicht: Geräte, einschließlich Komponenten, die kurz vor oder am Ende ihrer Lebensdauer stehen, können aufgrund mangelnder Wartung eine Schwachstelle darstellen.

Aus diesem Grund sollten Hersteller zur Gewährleistung robuster Zuverlässigkeit und nachhaltiger Kommerzialisierung die Einführung langlebiger Komponenten und/oder verwalteter Dienste in Betracht ziehen, die die Unterstützung von Open-Source-Komponenten erweitern.

Wir müssen auch bedenken, dass Hersteller laut FDA (Postmarket Management of Cybersecurity in Medical Devices – Guidance for Industry and Food and Drug Administration Staff (fda.gov)) Schwachstellen spätestens 30 Tage nach Kenntnisnahme an die FDA selbst melden müssen Sicherheitslücke; außerdem müssen sie spätestens 60 Tage, nachdem sie von der Sicherheitslücke erfahren haben, diese beheben, die Änderung validieren und den einsetzbaren Fix an ihre Kunden verteilen.

Das bedeutet, dass alle CVEs, die ein Gerät betreffen könnten, innerhalb eines Monats benachrichtigt und innerhalb von zwei Monaten behoben werden sollten.

CVEs haben seit 2017 drastisch zugenommen, und darüber hinaus scheint der Trend exponentiell zu sein. Im Jahr 2022 gab es 25059 CVEs (vgl. Metriken | CVE), rund 2100 pro Monat. Das bedeutet, dass ein Gerätehersteller jeden Monat prüfen muss, ob eine oder mehrere der 2100 CVEs seine Geräte betreffen. Das CVSS (Common Vulnerability Scoring System) bietet eine Möglichkeit, die Hauptmerkmale einer Schwachstelle zu erfassen und eine numerische Bewertung zu erstellen, die deren Schweregrad widerspiegelt, was nicht immer ein korrekter Index für die Bewertung einer Schwachstelle ist. CVSS und die zugehörige Rubrik wurden für Informationstechnologiesysteme in Unternehmen entwickelt und spiegeln das klinische Umfeld und mögliche Auswirkungen auf die Patientensicherheit nicht angemessen wider. Die MITRE Corporation und die FDA haben eine Rubrik entwickelt, die Leitlinien dafür bietet, wie ein Analyst CVSS als Teil einer Risikobewertung für ein medizinisches Gerät nutzen kann [Rubrik zur Anwendung von CVSS auf medizinische Geräte | GEHRUNG]. In vielen Fällen muss ein Hersteller aufgrund der Anforderungen seiner Endkunden eigene Rubriken und Richtlinien erstellen.

Das Filtern und Überprüfen von CVEs ist daher eine mühsame und fehleranfällige Aufgabe, die nicht manuell erledigt werden kann, und da es nicht das Kerngeschäft der Medizinhersteller ist, sollte es besser ausgelagert werden, um Auswirkungen auf die Forschung und Entwicklung zu vermeiden, die zu Verzögerungen bei Lieferungen führen und/oder Innovation vernachlässigen.

Wind River bietet hochautomatisierte verwaltete Dienste für Linux und VxWorks, die medizinische Hersteller von der schweren Aufgabe entlasten können, mit allen neu veröffentlichten CVEs Schritt zu halten. Es basiert auf der automatisierten SBOM-Generierung und kann alle nicht relevanten CVEs herausfiltern. Ein Team hochqualifizierter Experten kann dann die betroffene Schwachstelle beheben oder entschärfen, indem es eng mit den Forschungs- und Entwicklungstechnik- und Sicherheitsexperten des Herstellers zusammenarbeitet.

Wenn Sie mehr darüber erfahren möchten, wie Wind River Ihnen helfen kann, nehmen Sie gerne Kontakt mit uns auf. 

Ein Bild von , News, Die Bedeutung von SBOM und CVE in der Medizin

Diego Buffa

Erfahrener Field Application Engineer mit nachweislicher Erfahrung in der Computersoftwarebranche. Professionelle Kenntnisse in eingebetteten Systemen, Open Source und DevOps.

Erzielen Sie Produktivitäts- und Effizienzsteigerungen durch Datenmanagement

Russ Kennedy • 04. Juli 2023

Unternehmensdaten sind seit vielen Jahren eng mit Hardware verknüpft, doch jetzt ist ein spannender Wandel im Gange, da die Ära der Hardware-Unternehmen vorbei ist. Mit fortschrittlichen Datendiensten, die über die Cloud verfügbar sind, können Unternehmen auf Investitionen in Hardware verzichten und das Infrastrukturmanagement zugunsten des Datenmanagements aufgeben.