Ein Produkt wurde erfolgreich zugelassen und befindet sich im Markt. Kann man jetzt die Cybersecurity Aktivitäten einstellen? Das geht natürlich nicht. Cybersecurity Risiken treten kontinuierlich auf und es ist nicht möglich alle Schwachstellen bereits im Vorfeld zu identifizieren und abzustellen. Daher muss Cybersecurity als Prozess betrachtet werden, der Hand in Hand mit dem Risikomanagement kontinuierlich aufrechterhalten werden muss. Die nicht Aufrechterhaltung von Cybersecurity führt zu folgenden Gefährdungen:
- Beeinträchtigung der Gerätefunktionalität
- Verlust der Verfügbarkeit
- Verlust der Integrität von (medizinischen oder persönlichen) Daten
- Gefährdung anderer angeschlossener Geräte oder Netzwerke durch Sicherheitsbedrohungen
Und das wiederum kann bei Medizinprodukten bis hin zu Verletzungen und Tod führen.
Was sollte man konkret tun?
Die beiliegende Auflistung soll eine Hilfestellung geben, welche Aktivitäten regelmäßig durchzuführen sind. Entsprechend sollten diese Aktivitäten innerhalb eines oder mehrerer Prozesse geplant werden.
- Datenbanken für Cybersecurity Vulnerabilities und Risiken regelmäßig auf neue Schwachstellen überprüfen.
- Fehlerlisten der SOUP und OTS Software regelmäßig überprüfen.
- Für gute Cybersecurity Hygiene sorgen und auch akzeptable Risiken weiter minimieren.
- Software Patches und Updates bereitstellen, um Schwachstellen schnell zu schließen.
- Alle Software-Änderungen, Patches und Updates gründlich verifizieren und validieren.
- Rückmeldungen aus dem Markt auf Cybersecurity Angriffe und Events prüfen. Dies gilt auch für Produkte anderer Hersteller.
- Regelmäßig Penetrationstests durchführen oder durch externe Firmen durchführen lassen.
- Begleitinformationen wie die Gebrauchsanweisung regelmäßig aktualisieren und den Kunden über Schwachstellen informieren und Handlungsanweisungen geben, damit der Kunde geeignete Schritte zur Risikominderung unternehmen und fundierte Entscheidungen bezüglich der Gerätenutzung treffen kann.
- Bei Geräten im Markt prüfen, ob es zu Cybersecurity Vorfällen kam (z.B. Logging von Zugriffsversuchen mit falschen Zugangsdaten, oder DoS-Attacken auswerten).
- Bei Erkennung von Schwachstellen, die Kunden zügig informieren und Maßnahmen treffen, damit Risiken behoben werden, solange die Schwachstelle besteht.
- Das Risikomanagement in Bezug auf Cybersecurity regelmäßig wiederholen. Siehe dazu auch den Artikel AAMI TIR57 – Cybersecurity-Risikomanagement für Medizingeräte.
Was ist der FDA zu melden?
Geräte Hersteller sind verpflichtet nach 21 CFR part 806 die FDA über Änderungen und Korrekturen zu unterrichten. Die FDA weist jedoch darauf hin, dass Änderungen, die lediglich dazu dienen die Cybersecurity zu verbessern, nicht meldepflichtig sind, wenn die folgenden Umstände erfüllt sind:
- Es sind keine schwerwiegenden unerwünschten Ereignisse oder Todesfälle im Zusammenhang mit der Schwachstelle bekannt;
- Der Hersteller kommuniziert so schnell wie möglich, aber nicht später als 30 Tage nach Bekanntwerden der Schwachstelle, mit seinen Kunden und Anwendern über die Schwachstelle, identifiziert vorläufige kompensierende Maßnahmen und entwickelt einen Plan zur Behebung, um das Restrisiko auf ein akzeptables Niveau zu bringen. Die Kontrollen sollten kein größeres Risiko für die Sicherheit und wesentliche Leistung des Geräts darstellen als die ursprüngliche Schwachstelle. Der Hersteller muss die zeitliche Begründung für seinen Maßnahmenplan dokumentieren. Die Kommunikation mit dem Kunden sollte mindestens Folgendes beinhalten:
a. Beschreibung der Schwachstelle, einschließlich einer Folgenabschätzung auf dem aktuellen Kenntnisstand des Herstellers,
b. Erklärung des Herstellers Anstrengungen zu unternehmen, um das Risiko eines Patientenschadens so schnell wie möglich zu beseitigen,
c. Beschreibung von kompensierenden Maßnahmen, falls vorhanden, und
d. Angabe, dass der Hersteller daran arbeitet und er in Zukunft über die Verfügbarkeit einer Lösung informieren wird. - So bald wie möglich, aber nicht später als 60 Tage nach Bekanntwerden der Schwachstelle, behebt der Hersteller die Schwachstelle, validiert die Änderung und verteilt die einsatzbereite Korrektur an seine Kunden und die Benutzergemeinschaft, sodass das Restrisiko auf ein akzeptables Niveau gesenkt wird. Unter bestimmten Umständen könnte eine kompensierende Maßnahme eine langfristige Lösung darstellen, sofern das Risiko eines Patientenschadens auf ein akzeptables Niveau gebracht wird. Die Maßnahmen sollten kein größeres Risiko für die Sicherheit und wesentliche Leistung des Produkts darstellen als die ursprüngliche Schwachstelle. Darüber hinaus sollte der Hersteller bei Bedarf über den anfänglichen Zeitraum von 60 Tagen hinaus mit den Endanwendern nachfassen;
- Der Hersteller beteiligt sich aktiv als Mitglied einer ISAO (Information Sharing and Analysis Organization), die Schwachstellen und Bedrohungen mit Auswirkungen auf Medizinprodukte austauscht, wie z. B. NH-ISAC, und stellt der ISAO nach Benachrichtigung seiner Kunden alle Mitteilungen zur Verfügung;
Alle Hersteller seien auf die relativ kurzen Reaktionszeiten hingewiesen. Oftmals arbeitet das Entwicklungsteam an anderen Produkten und es ist durchaus eine Herausforderung in so kurzer Zeit eine Lösung zu finden und alle Aktivitäten zu erledigen. Viele Hersteller sind auch kein Mitglied eine ISAO was im Endeffekt dazu führt, dass eine Benachrichtigung der FDA notwendig wird.
Cybersecurity Beispiele
Anhand von Beispielen kann man die oft abstrakten Sachverhalte am besten nachvollziehen. Zwei davon habe ich hier aufgenommen, damit man sich besser vorstellen kann, was eine konkrete Cybersecurity Attacke sein kann und wie dann vorzugehen ist. Darüber hinaus lohnt natürlich der Blick in die FDA Guidance selbst.
1) Malware auf einem Gas-Blutanalysegerät
Ein Gerätehersteller bekommt eine Kundenrückmeldung, dass ein Gas-Blutanalysegerät mit Malware infiziert wurde und die Sorge besteht, dass die Malware die Daten auf dem Gerät verändern könnte. Der Hersteller untersucht das Gerät und kann das Vorhandensein von Malware bestätigen. Die Daten wurden jedoch nicht manipuliert und die Sicherheit und wesentlichen Leistungsmerkmale des Gerätes waren von der Schadsoftware nicht beeinträchtigt. Das Risikomanagement stellt daher fest, dass das Risiko akzeptabel ist. Der Gerätehersteller informiert die Benutzer darüber, wie die Malware entfernt werden kann, und stellt anschließend ein Patch bereit, mit dem die Sicherheitslücke geschlossen wird. Der Kunde stellt der ISAO alle entsprechenden Daten zur Verfügung. Es ist keine Meldung an die FDA nach 21 CFR part 806 notwendig.
2) Defibrillator
Ein Hersteller wird über einen Forscher auf eine Schwachstelle aufmerksam, dass sein Defibrillator (Klasse III) von einem nicht autorisierten Benutzer umprogrammiert werden kann. Wenn diese Schwachstelle ausgenutzt wird, könnte dies zu einer dauerhaften Beeinträchtigung, einer lebensbedrohlichen Verletzung oder zum Tod führen. Der Hersteller ist sich nicht bewusst, dass die Schwachstelle ausgenutzt wurde und stellt fest, dass die Schwachstelle mit einem fest kodierten Passwort zusammenhängt. Die Risikobewertung kommt zu dem Schluss, dass die Ausnutzbarkeit der Schwachstelle mäßig ist und das Risiko eines Patientenschadens unkontrolliert ist. Der Hersteller benachrichtigt die entsprechenden Interessengruppen und verteilt innerhalb von 60 Tagen einen validierten Notfall-Patch. Der Hersteller nimmt nicht aktiv als Mitglied einer ISAO teil und meldet diese Aktion daher gemäß 21 CFR 806.10 an die FDA.
Weitere Beispiele findet man in der Postmarket Management of Cybersecurity in Medical Devices Guidance der FDA.
Fazit
Es ist überaus sinnvoll die eigenen Prozesse für die Marktüberwachung einmal daraufhin zu prüfen, dass diese für die Besonderheiten der Cybersecurity geeignet sind. Denn gerade bei der Cybersecurity können Schwachstellen kurzfristig bekannt werden, die eine schnelle Behebung erforderlich machen. Zudem sind einige Besonderheiten bezüglich Meldefristen und Maßnahmen zu beachten. Im Falle eines Falles gibt es schon genug zu tun. Dann sollte man nicht anfangen müssen sich erst einmal mühsam in das Themengebiet Cybersecurity einzuarbeiten.
Falls Sie Fragen zu Cybersecurity im Bereich der Medizintechnik haben, freue ich mich auf Ihre Anfrage.
Viele Grüße
Goran Madzar