Die CyOne Security leistete mit dem Fachreferat «Mit der Vernetzung steigt die Verletzlichkeit» einen Beitrag an der 6. Information Security in Healthcare Conference in Rotkreuz. Welche Erkenntnisse Ivo Steiner, Sales Manager IoT Security, im Austausch mit Vertretern der Schweizer Medtech-Branche gewonnen hat, erfahren Sie hier.
Die allgemeine Sicherheitslage im IoT-Umfeld hat sich verschlechtert. Zu diesem Ergebnis kommt Palo Alto Networks in seinem IoT Threat Report 2020. Analysiert wurden Sicherheitsvorfälle in den Jahren 2018 und 2019; die Stichprobe der Studie umfasste 1,2 Millionen IoT-Geräte an Tausenden physischen Standorten von Unternehmen und Gesundheitseinrichtungen in den USA. Besonders prekär sei die Situation in der vernetzten Medizintechnik. So laufen beispielsweise auf 83 Prozent der medizinischen Bildgebungsgeräte herstellerseitig nicht mehr unterstützte Betriebssysteme – ein Einfallstor für Cyber-Angreifer.
An der Konferenz wurde deutlich, welchen Spagat der CISO und ICT-Mitarbeitende in Schweizer Spitälern zu bewältigen haben. Auf der einen Seite stehen sie unter enormem Kostendruck: Die Vernetzung der in die Spitalinfrastruktur integrierten Geräte soll die Automation und Effizienz steigern. Auf der anderen Seite stehen sie vor der grossen Herausforderung, die Awareness des Personals im Umgang mit Daten und IKT-Systemen in Bezug auf Cyber-Risiken zu erhöhen.
Dementsprechend wünschen sich die Betreiber, dass die Hersteller von vernetzten Medizin- und Labortechnikprodukten Lösungen anbieten, welche diese unterschiedlichen Anforderungen abdecken. Die Geräte der Zukunft sollen die Sicherheit der Prozesse und Daten, zum Beispiel Patientendaten, gewährleisten oder zumindest integral unterstützen. Wichtig ist zudem, dass sie sich einfach in das ICT-Netzwerk des Spitals einbinden, betreiben und überwachen lassen. Für die Hersteller bedeutet dies, die Sicherheit der Geräte und Prozessdaten schon in einer frühen Phase des Produktlebenszyklus miteinzubeziehen. Idealerweise werden Aspekte der Sicherheitselemente und Datenhoheit bereits beim Design des Produkts berücksichtigt.
Beim medizinischen Personal, beispielsweise bei Fachärzten, welche vernetzte Medizin- und Labortechnikprodukte evaluieren, stehen bislang die medizinischen Möglichkeiten sowie die Integration und Bedienung im Alltag im Fokus. Eine Awareness für abstrakte Cyber-Bedrohungen ist noch wenig spürbar. Da verlässt sich die Medizintechnikbranche (zu) stark auf die Zulassung und Zertifizierung der Produkte.
Cyber Security-Aspekte wie zum Beispiel eine sichere Identifikation des Geräts, auditfähige Log-Informationen sowie sichere und rasche Update-Prozesse manifestieren sich in der Weiterentwicklung der Normen. Zentral ist das «Security by Design»-Prinzip: Hierbei geht es vereinfacht gesagt um die Berücksichtigung wichtiger Aspekte der IT-Sicherheit über den gesamten Produktlebenszyklus hinweg, also von der Produktidee bis zur Ausserbetriebnahme eines Produktes. Der Ansatz verfolgt die Prämisse, dass die notwendigen Sicherheitsmassnahmen nicht nur an der Peripherie, sondern vor allem innerhalb eines medizintechnischen Produkts, insbesondere in dessen Hard- und Software, umgesetzt werden.
Es lohnt sich, einen externen Partner beizuziehen, um von Referenzarchitekturen und -designs sowie spezialisiertem Security Know-how zu profitieren. Die CyOne Security unterstützt die Hersteller von Medizin- und Labortechnikprodukten während des gesamten Produktlebenszyklus mit fundiertem IoT Security-Fachwissen und ausgewiesener Expertise:
Gewinnen Sie Time to Market, indem Sie das IoT Security-Expertenwissen projektspezifisch bei der CyOne Security beziehen und sich darauf konzentrieren können, innovative vernetzte MedTech-Produkte zu entwickeln.
Laden Sie sich jetzt das Referat «Mit der Vernetzung steigt die Verletzlichkeit» herunter und erfahren Sie mehr über die Schlüsselfaktoren im Produktlebenszyklus für Hersteller und Betreiber von sicher vernetzten Medizintechnikprodukten.