TLP: WEISS Dieser Bericht darf ohne Einschränkung weitergegeben werden.
Mitglieder des Health-ISAC sollten unbedingt die Vollversion des Berichts vom Health-ISAC Threat Intelligence Portal (HTIP) herunterladen.
Schlüsselurteile
Medizinische Geräte durchlaufen vier Lebenszyklusphasen. Dabei obliegen dem Hersteller des medizinischen Geräts und der Gesundheitsorganisation unterschiedlich starke Verantwortlichkeiten.
Organisationen im Gesundheitswesen sollten vor dem Ende ihrer Nutzungsdauer und dem Ende des Supports regelmäßigere Risikobewertungen durchführen, um zu ermitteln, ob sie das Risiko einer weiteren Nutzung akzeptieren können.
Der Hersteller implementiert in der Entwicklungsphase Sicherheitskontrollkategorien, um sicherzustellen, dass das Gerät durch sein Design, seine standardmäßigen Sicherheitsvorgaben und seine Anforderungen sicher ist.
Dokumentation und Transparenz sind für die Aufrechterhaltung der Cybersicherheit von entscheidender Bedeutung. Dazu gehören die Bereitstellung einer detaillierten Sicherheitsdokumentation, einer Software Bill of Materials (SBOM) und einer klaren Kommunikation über Schwachstellen und Updates.
Da medizinische Geräte immer stärker vernetzt werden und über Internet- und drahtlose Kommunikationsfunktionen verfügen, hilft das Verständnis der Lebenszyklusphasen und der zur Aufrechterhaltung ihrer Sicherheitslage erforderlichen Aufgaben Unternehmen dabei, Geräte vor Cybersicherheitsbedrohungen zu schützen. Der Gerätelebenszyklus umfasst die verschiedenen Phasen, die ein Gerät durchläuft, von der Forschung und Entwicklung über die Markteinführung bis hin zum Ende der Lebensdauer und des Supports. Während medizinische Geräte die verschiedenen Lebenszyklusphasen durchlaufen, kann die Verantwortung für Aufgaben zwischen den Herstellern und dem Kunden wechseln. Die Kommunikation zwischen den beiden Parteien ist während des gesamten Lebenszyklus des Geräts unerlässlich, damit Aufgaben koordiniert und Sicherheitslücken im Produkt reduziert werden.
In diesem Dokument werden die Aufgaben untersucht, die zur Aufrechterhaltung der Cyberresilienz von Medizingeräten erforderlich sind, und wie sich die Verantwortlichkeiten im Laufe des gesamten Produkts von Partei zu Partei verschieben können. Die Verantwortung für die Aufrechterhaltung der Cybersicherheit eines Medizingeräts entwickelt sich während des gesamten Lebenszyklus eines Geräts. Der Prozess beginnt beim Gerätehersteller während der Entwurfs- und Entwicklungsphase und kann nach der klinischen Verwendung zunehmend auf die Healthcare Delivery Organization (HDO) verlagert werden. Die Grundsätze und Praktiken für die Cybersicherheit älterer Medizingeräte des International Medical Device Regulators Forum (IMDRF) beschreiben vier Lebenszyklusphasen. Die Food and Drug Administration (FDA) stellt in den Leitlinien für die Zeit vor und nach der Markteinführung Anforderungen an die Cybersicherheit von Medizingeräten. Hersteller können die Cybersicherheit eines Geräts während des Entwurfs und der Entwicklung mithilfe der Anforderungen vor der Markteinführung angehen. Anforderungen nach der Markteinführung sind erforderlich, da sich die Cybersicherheitsrisiken auch nach der Markteinführung des Medizingeräts weiterentwickeln.
