Das FDA-Richtlinien-Dokument „Postmarket Management of Cybersecurity in Medical Devices“ hält Prof. Dr. Christian Johner, Inhaber des Johner Instituts für IT im Gesundheitswesen, Konstanz, für „erstaunlich konkret“, wie er in seinem Blog schreibt.
„Die FDA hat erkannt, dass Hersteller während der Entwicklung nicht alle künftigen Bedrohungen mit Bezug zur Cybersecurity vorhersagen und adressieren können. Daher verlangt sie, dass die Hersteller auch nach der Entwicklung kontinuierlich diese Bedrohungen analysieren und entsprechende Maßnahmen ergreifen“, so Johner
Zu den Postmarket-Informationsquellen, welche die FDA den Herstellern auszuwerten empfiehlt, gehören demnach:
- Ergebnisse der Sicherheitsforscher
- Eigenes Testen
- Soft- und Hardware-Lieferanten
- Kunden wie Krankenhäuser
- Institutionen, die sich auf das Sammeln, Analysieren und Verbreiten entsprechender Informationen spezialisiert haben
Als Maßnahmen empfiehlt die FDA laut Johner, das NIST Framework (National Institut for Standards and Technology) anzuwenden, dessen Elemente (Identify, Protect, Detect, Respond und Recover) bereits das erste Guidance Document aufgreift.
Die FDA wiederhole dabei die Gedanken des NIST Frameworks:
- Finden Sie heraus, welche wesentlichen (klinischen) Leistungsmerkmale Ihr Medizinprodukt erfüllen muss.
- Identifizieren Sie die Risiken, die auftreten, wenn diese Leistungsmerkmale nicht erfüllt sind — hier aufgrund eines Cybersecurity-Problems.
- Analysieren Sie, wie es zu diesem Problem kommen kann. Nutzen Sie dazu die oben genannten Informationen.
- Bewerten Sie diese potenziellen Probleme und deren Wahrscheinlichkeiten z.B. mit dem Common Vulnerability Scoring System.
- Analysieren Sie die Auswirkungen auf die Gesundheit, das heißt den Schweregrad möglicher Schäden.
- Bewerten Sie die Vertretbarkeit der Risiken.
- Beseitigen Sie Schwachstellen (immer), stellen Sie die Wirksamkeit der Maßnahmen sicher und dokumentieren Sie all das.
- Informieren Sie die Nutzer.
An dieser Stelle erwähne die FDA, dass proaktive Maßnahmen zur Verbesserung der Cybersecurity gemäß 21 CFR Part 806.10 der FDA nicht gemeldet werden müssen.
Das Fazit von Johner lautert: „Die Forderungen der FDA konkretisieren das, was man von einer üblichen Marktüberwachung erwarten würde.“ Bemerkenswert sei, dass „das Dokument an einigen Stellen erstaunlich konkret“ sei, zum Beispiel „die auszuwertenden Informationsquellen oder die anzuwendenden Methoden betreffend“.
Außerdem gebe das Dokument Antworten auf die Fragen, wann Cybersecurity-bezogene Maßnahmen zu melden sind. Positiv findet Johner außerden, dass das Dokument Begriffe – wie etwa Exploit, Remediation, Threat, Threat Modelling – definiere und zahlreiche Beispiele gebe. sk
- Weitere Informationen
- www.johner-institut.de
Teilen:
