Postmarket Cybersecurity – Wenn das Produkt im Markt ist

Veröffentlicht am 6. August 2021

Goran Madzar Veröffentlicht unter Normen, Security, Software

Ein Produkt wurde erfolgreich zugelassen und befindet sich im Markt. Kann man jetzt die Cybersecurity Aktivitäten einstellen? Das geht natürlich nicht. Cybersecurity Risiken treten kontinuierlich auf und es ist nicht möglich alle Schwachstellen bereits im Vorfeld zu identifizieren und abzustellen. Daher muss Cybersecurity als Prozess betrachtet werden, der Hand in Hand mit dem Risikomanagement kontinuierlich aufrechterhalten werden muss. Die nicht Aufrechterhaltung von Cybersecurity führt zu folgenden Gefährdungen:

Beeinträchtigung der Gerätefunktionalität
Verlust der Verfügbarkeit
Verlust der Integrität von (medizinischen oder persönlichen) Daten
Gefährdung anderer angeschlossener Geräte oder Netzwerke durch Sicherheitsbedrohungen

Und das wiederum kann bei Medizinprodukten bis hin zu Verletzungen und Tod führen.

Was sollte man konkret tun?

Die beiliegende Auflistung soll eine Hilfestellung geben, welche Aktivitäten regelmäßig durchzuführen sind. Entsprechend sollten diese Aktivitäten innerhalb eines oder mehrerer Prozesse geplant werden.

Datenbanken für Cybersecurity Vulnerabilities und Risiken regelmäßig auf neue Schwachstellen überprüfen.
Fehlerlisten der SOUP und OTS Software regelmäßig überprüfen.
Für gute Cybersecurity Hygiene sorgen und auch akzeptable Risiken weiter minimieren.
Software Patches und Updates bereitstellen, um Schwachstellen schnell zu schließen.
Alle Software-Änderungen, Patches und Updates gründlich verifizieren und validieren.
Rückmeldungen aus dem Markt auf Cybersecurity Angriffe und Events prüfen. Dies gilt auch für Produkte anderer Hersteller.
Regelmäßig Penetrationstests durchführen oder durch externe Firmen durchführen lassen.
Begleitinformationen wie die Gebrauchsanweisung regelmäßig aktualisieren und den Kunden über Schwachstellen informieren und Handlungsanweisungen geben, damit der Kunde geeignete Schritte zur Risikominderung unternehmen und fundierte Entscheidungen bezüglich der Gerätenutzung treffen kann.
Bei Geräten im Markt prüfen, ob es zu Cybersecurity Vorfällen kam (z.B. Logging von Zugriffsversuchen mit falschen Zugangsdaten, oder DoS-Attacken auswerten).
Bei Erkennung von Schwachstellen, die Kunden zügig informieren und Maßnahmen treffen, damit Risiken behoben werden, solange die Schwachstelle besteht.
Das Risikomanagement in Bezug auf Cybersecurity regelmäßig wiederholen. Siehe dazu auch den Artikel AAMI TIR57 – Cybersecurity-Risikomanagement für Medizingeräte.

Was ist der FDA zu melden?

Geräte Hersteller sind verpflichtet nach 21 CFR part 806 die FDA über Änderungen und Korrekturen zu unterrichten. Die FDA weist jedoch darauf hin, dass Änderungen, die lediglich dazu dienen die Cybersecurity zu verbessern, nicht meldepflichtig sind, wenn die folgenden Umstände erfüllt sind:

Es sind keine schwerwiegenden unerwünschten Ereignisse oder Todesfälle im Zusammenhang mit der Schwachstelle bekannt;
Der Hersteller kommuniziert so schnell wie möglich, aber nicht später als 30 Tage nach Bekanntwerden der Schwachstelle, mit seinen Kunden und Anwendern über die Schwachstelle, identifiziert vorläufige kompensierende Maßnahmen und entwickelt einen Plan zur Behebung, um das Restrisiko auf ein akzeptables Niveau zu bringen. Die Kontrollen sollten kein größeres Risiko für die Sicherheit und wesentliche Leistung des Geräts darstellen als die ursprüngliche Schwachstelle. Der Hersteller muss die zeitliche Begründung für seinen Maßnahmenplan dokumentieren. Die Kommunikation mit dem Kunden sollte mindestens Folgendes beinhalten:
a. Beschreibung der Schwachstelle, einschließlich einer Folgenabschätzung auf dem aktuellen Kenntnisstand des Herstellers,
b. Erklärung des Herstellers Anstrengungen zu unternehmen, um das Risiko eines Patientenschadens so schnell wie möglich zu beseitigen,
c. Beschreibung von kompensierenden Maßnahmen, falls vorhanden, und
d. Angabe, dass der Hersteller daran arbeitet und er in Zukunft über die Verfügbarkeit einer Lösung informieren wird.
So bald wie möglich, aber nicht später als 60 Tage nach Bekanntwerden der Schwachstelle, behebt der Hersteller die Schwachstelle, validiert die Änderung und verteilt die einsatzbereite Korrektur an seine Kunden und die Benutzergemeinschaft, sodass das Restrisiko auf ein akzeptables Niveau gesenkt wird. Unter bestimmten Umständen könnte eine kompensierende Maßnahme eine langfristige Lösung darstellen, sofern das Risiko eines Patientenschadens auf ein akzeptables Niveau gebracht wird. Die Maßnahmen sollten kein größeres Risiko für die Sicherheit und wesentliche Leistung des Produkts darstellen als die ursprüngliche Schwachstelle. Darüber hinaus sollte der Hersteller bei Bedarf über den anfänglichen Zeitraum von 60 Tagen hinaus mit den Endanwendern nachfassen;
Der Hersteller beteiligt sich aktiv als Mitglied einer ISAO (Information Sharing and Analysis Organization), die Schwachstellen und Bedrohungen mit Auswirkungen auf Medizinprodukte austauscht, wie z. B. NH-ISAC, und stellt der ISAO nach Benachrichtigung seiner Kunden alle Mitteilungen zur Verfügung;

Alle Hersteller seien auf die relativ kurzen Reaktionszeiten hingewiesen. Oftmals arbeitet das Entwicklungsteam an anderen Produkten und es ist durchaus eine Herausforderung in so kurzer Zeit eine Lösung zu finden und alle Aktivitäten zu erledigen. Viele Hersteller sind auch kein Mitglied eine ISAO was im Endeffekt dazu führt, dass eine Benachrichtigung der FDA notwendig wird.

Cybersecurity Beispiele

Anhand von Beispielen kann man die oft abstrakten Sachverhalte am besten nachvollziehen. Zwei davon habe ich hier aufgenommen, damit man sich besser vorstellen kann, was eine konkrete Cybersecurity Attacke sein kann und wie dann vorzugehen ist. Darüber hinaus lohnt natürlich der Blick in die FDA Guidance selbst.

1) Malware auf einem Gas-Blutanalysegerät

Ein Gerätehersteller bekommt eine Kundenrückmeldung, dass ein Gas-Blutanalysegerät mit Malware infiziert wurde und die Sorge besteht, dass die Malware die Daten auf dem Gerät verändern könnte. Der Hersteller untersucht das Gerät und kann das Vorhandensein von Malware bestätigen. Die Daten wurden jedoch nicht manipuliert und die Sicherheit und wesentlichen Leistungsmerkmale des Gerätes waren von der Schadsoftware nicht beeinträchtigt. Das Risikomanagement stellt daher fest, dass das Risiko akzeptabel ist. Der Gerätehersteller informiert die Benutzer darüber, wie die Malware entfernt werden kann, und stellt anschließend ein Patch bereit, mit dem die Sicherheitslücke geschlossen wird. Der Kunde stellt der ISAO alle entsprechenden Daten zur Verfügung. Es ist keine Meldung an die FDA nach 21 CFR part 806 notwendig.

2) Defibrillator

Ein Hersteller wird über einen Forscher auf eine Schwachstelle aufmerksam, dass sein Defibrillator (Klasse III) von einem nicht autorisierten Benutzer umprogrammiert werden kann. Wenn diese Schwachstelle ausgenutzt wird, könnte dies zu einer dauerhaften Beeinträchtigung, einer lebensbedrohlichen Verletzung oder zum Tod führen. Der Hersteller ist sich nicht bewusst, dass die Schwachstelle ausgenutzt wurde und stellt fest, dass die Schwachstelle mit einem fest kodierten Passwort zusammenhängt. Die Risikobewertung kommt zu dem Schluss, dass die Ausnutzbarkeit der Schwachstelle mäßig ist und das Risiko eines Patientenschadens unkontrolliert ist. Der Hersteller benachrichtigt die entsprechenden Interessengruppen und verteilt innerhalb von 60 Tagen einen validierten Notfall-Patch. Der Hersteller nimmt nicht aktiv als Mitglied einer ISAO teil und meldet diese Aktion daher gemäß 21 CFR 806.10 an die FDA.

Weitere Beispiele findet man in der Postmarket Management of Cybersecurity in Medical Devices Guidance der FDA.

Fazit

Es ist überaus sinnvoll die eigenen Prozesse für die Marktüberwachung einmal daraufhin zu prüfen, dass diese für die Besonderheiten der Cybersecurity geeignet sind. Denn gerade bei der Cybersecurity können Schwachstellen kurzfristig bekannt werden, die eine schnelle Behebung erforderlich machen. Zudem sind einige Besonderheiten bezüglich Meldefristen und Maßnahmen zu beachten. Im Falle eines Falles gibt es schon genug zu tun. Dann sollte man nicht anfangen müssen sich erst einmal mühsam in das Themengebiet Cybersecurity einzuarbeiten.

Falls Sie Fragen zu Cybersecurity im Bereich der Medizintechnik haben, freue ich mich auf Ihre Anfrage.

Viele Grüße

Goran Madzar

Kontaktieren Sie uns!

Autor

Goran Madzar

MEDtech Ingenieur aus Leidenschaft! Mein Team und ich helfen Medizintechnik-Herstellern mit Engineering-Dienstleistungen dabei, Produkte zu entwickeln und in Verkehr zu bringen! Sprechen sie mich gerne an, ob bei LinkedIn oder per Mail. Ich freue mich Sie kennenzulernen.

Alle Beiträge ansehen

Auch interessant:

Podcast über Systemarchitekten in der Medizintechnik

Autor: Goran Madzar | Veröffentlicht am: 17. Mai 2016

Ich freue mich sehr darüber, dass mich Maik Pfingsten zu einem Podcast-Interview eingeladen hat. Wir sprechen über Systemarchitekten in der Medizintechnik, eine durchaus seltene Spezies. Für mich war es eine neue Erfahrung in einem Podcast-Interview Rede und Antwort zu stehen und ich hoffe, dass man mein "Lampenfieber" nicht zu sehr…

Getagged mit: Cybersecurity, FDA, Postmarket, Vulnerability

Cookie-Name	Beschreibung
PHPSESSID	Name: PHP session Anbieter: Eigentümer der Webseite (MEDtech Ingenieur) Zweck: Wir benötigt, um Sie bei der Anfrage von personenbezogenen Daten identifizieren zu können. Das Cookie wird nur gesetzt, wenn Sie eine Anfrage hier (https://medtech-ingenieur.de/gespeicherte-daten-2/) stellen. Laufzeit: Sitzungsende Kategorie: Unbedingt notwendige Cookies
moove_gdpr_popup	Name: Cookie-Box Einstellungen Anbieter: Eigentümer der Webseite (MEDtech Ingenieur) Zweck: Wird benötigt, um Ihre Cookie-Einstellungen zu speichern, um den Cookie-Banner nicht erneut anzeigen zu müssen. Laufzeit: 1 Jahr Kategorie: Unbedingt notwendige Cookies
comment_author_9c90e388e3e1be4a6c594fa6ac8a3eec comment_author_email_9c90e388e3e1be4a6c594fa6ac8a3eec comment_author_url_9c90e388e3e1be4a6c594fa6ac8a3eec	Name: Kommentar Einstellungen Anbieter: Eigentümer der Webseite (MEDtech Ingenieur) Zweck: Cookie wird angelegt, wenn Sie ein Kommentar auf MEDtech Ingenieur veröffentlichen wollen, um Sie als Autor identifizieren und den aktuellen Status Ihres Kommentars anzeigen zu können. Das Cookie enthält den angegebenen Namen. Das Cookie wird erst gesetzt, wenn Sie der Speicherung Ihrer personenbezogenen Daten zustimmen. Laufzeit: 1 Jahr Kategorie: Unbedingt notwendige Cookies
rmp-rate	Name: RMP Rate Anbieter: Eigentümer der Webseite (MEDtech Ingenieur) Zweck: Cookie wird angelegt, wenn Sie eine Bewertung eines Blogbeitrags mithilfe des Sternebewertungssystems abgeben. Ihnen wird eine anonymisierte ID zugewiesen, um zu erkennen, ob Sie einen Artikel bereits bewertet haben oder nicht. Das Cookie wird nur verwendet, um zu verhindern, dass mehrfache Bewertung abgegeben werden und erst gesetzt, wenn Sie auf einen Stern klicken. Laufzeit: 1 Jahr Kategorie: Unbedingt notwendige Cookies
medtech-download-page	Name: Download Page Anbieter: Eigentümer der Webseite (MEDtech Ingenieur) Zweck: Cookie wird angelegt, wenn Sie den Landing-Page Prozess erfolgreich durchlaufen haben. Dies geschieht nur, wenn Sie einen Content-Download von unserer Website anstreben. Laufzeit: 1/2 Jahr Kategorie: Unbedingt notwendige Cookies