Best Practices für das Risikomanagement zur Einhaltung der Cybersicherheit

Neue FDA-Anleitung zum Thema Risikomanagement hilft Hersteller medizinischer Geräte Erfüllen Sie die Erwartungen hinsichtlich eines wirksamen Postmarket-Cybersicherheitsprogramms.

Cybersicherheit: Patientensicherheit, Produktwirksamkeit und Compliance

Erfahrene Hersteller medizinischer Geräte müssen nicht zweimal daran erinnert werden, dass ein starkes Cybersicherheitsprogramm für die Patientensicherheit, die Produktwirksamkeit und die Einhaltung der strengen FDA-Vorschriften von entscheidender Bedeutung ist. Schwerwiegende mutmaßliche Cybersicherheitsverletzungen waren in letzter Zeit in den Nachrichten und sollten verdeutlichen, wie ernst Cybersicherheit an vielen Fronten geworden ist.

• Medizintechnik - In den implantierbaren Herzgeräten und dem Merlin@home-Sender von St. Jude Medical wurden Schwachstellen in der Cybersicherheit festgestellt
• Krankenhäuser – St. Joseph Health zahlt eine 2.14 Millionen US-Dollar Vergleichsstrafe im Hinblick auf mögliche Verstöße gegen die Datenschutz- und Sicherheitsbestimmungen des Health Insurance Portability and Accountability Act von 1996 (HIPAA) nach Berichten, dass Dateien mit elektronisch geschützten Gesundheitsinformationen (ePHI) öffentlich zugänglich über Internet-Suchmaschinen.
• Dienstprogramme – Der Dezember 2015 Cyberangriffe auf die Kraftwerke der Ukraine diente als Weckruf für das US-Stromnetz.

Leitfaden zum Risikomanagement: Cybersicherheit

Die FDA hat gerade eine Tipps und Tricks, das weitere Klarheit zur Cybersicherheit bietet Risikomanagement. Gleichzeitig bietet es wertvolle Ratschläge zur Erstellung und Aufrechterhaltung eines Qualitätsmanagementsystems (QMS), das dabei hilft, Risiken zu erkennen, zu priorisieren und zu minimieren.

Hinweise und Empfehlungen für Hersteller medizinischer Geräte

Aufbauend auf einem umfangreichen Dokument des National Institute of Standards and Technology („Framework for Improving Critical Infrastructure Cybersecurity“) nutzt die FDA eigene Leitlinien, um Herstellern von Medizinprodukten Hinweise und Empfehlungen zu geben. Hier sind einige der wichtigsten Tipps:

• Definitionen Ein umfassender Plan zum Risikomanagement der Cybersicherheit sollte klare Richtlinien zur Überwachung der Sicherheit und der wesentlichen Leistung eines Medizinprodukts, zur Erfassung potenzieller Patientenschäden im Problemfall und zu Risikoakzeptanzkriterien enthalten. Hersteller von Medizinprodukten sollten diese Schritte nutzen, um Schwachstellen für die Behebung zu priorisieren.
• Beschwerde Management – Die FDA weist darauf hin, dass Hersteller medizinischer Geräte verpflichtet sind, Beschwerden, zurückgegebene Produkte, Serviceaufzeichnungen und andere Quellen von Qualitätsdaten zu analysieren, um bestehende und potenzielle Ursachen für nicht konforme Produkte oder andere Qualitätsprobleme zu ermitteln.
• Risikoabschätzung - Die FDA empfiehlt Herstellern medizinischer Geräte, identifizierte Schwachstellen zu charakterisieren und zu bewerten. Eine effektive Vorgehensweise liefert Informationen, die auch zur Triage bei erkannten Problemen genutzt werden können.
• Bedrohungsmodellierung Hersteller medizinischer Geräte sollten für jedes ihrer Geräte Cybersicherheits-Risikoanalysen durchführen, die eine Bedrohungsmodellierung beinhalten, und diese vor allem regelmäßig aktualisieren. Richtig umgesetzt, liefert die Bedrohungsmodellierung traditionelle Paradigmen für Risikomanagement und Fehlermöglichkeitsanalyse. Darüber hinaus bietet sie den Herstellern einen Rahmen, um die Bedrohung durch „aktive Angreifer/böswillige Nutzung“ (wie die FDA sie nennt) zu bewerten.
• Bedrohungsquellen, Erkennung und Auswirkungen Bedrohungsquellen sollten nach Schweregrad charakterisiert werden. Medizinische Geräte können Bedrohungsaktivitäten möglicherweise nicht erkennen und sind in vielen Fällen auf Netzwerküberwachung angewiesen. Die FDA empfiehlt Herstellern medizinischer Geräte dringend, die Auswirkungen eines Cybersicherheitssignals sowohl horizontal als auch vertikal zu bewerten. In diesem Zusammenhang könnte die horizontale Analyse ein Problem im gesamten Produktportfolio des Herstellers aufdecken. Ein vertikaler Fokus hingegen würde hoffentlich erkennen, ob bestimmte Komponenten des Medizinprodukts betroffen sind.

Cybersicherheitsverletzung: Schutz, Reaktion und Wiederherstellung

Die Leitlinien der FDA konzentrieren sich auf den Schutz, die Reaktion und die Wiederherstellung nach einer Cybersicherheitsverletzung oder einem anderen Problem. Die Behörde empfiehlt Herstellern medizinischer Geräte die Implementierung gerätebasierter Funktionen, wie z. B. Designkontrollen, als primäres Mittel zur Risikominimierung für Endnutzer medizinischer Geräte.

Entdecken Sie die automatisierte #Risikomanagement Lösung durch das Qualitätsmanagementsystem AssurX #QMS http://ow.ly/dPMT3083CvP 

— AssurX (@AssurX) 17. Januar 2017

Einführung einer koordinierten Richtlinie zur Offenlegung von Sicherheitslücken

Die FDA fordert die Hersteller medizinischer Geräte außerdem dringend dazu auf, eine koordinierte Richtlinie und Vorgehensweise zur Offenlegung von Schwachstellen einzuführen, die eine klare Möglichkeit vorsieht, dem Übermittler der Schwachstelle den Erhalt dieser Schwachstelle innerhalb eines klar definierten Zeitrahmens zu bestätigen.

Nutzung des Cybersicherheits-Schwachstellenplans

Sobald ein Plan intern genehmigt und umgesetzt wurde, sollten Hersteller medizinischer Geräte ihn auf verschiedene Weise nutzen, unter anderem:

• Risikomanagement - Feststellen, ob die durch die Sicherheitslücke bedingte Gefahr einer Patientenschädigung durch vorhandene Funktionen und/oder definierte Ausgleichskontrollen angemessen berücksichtigt und kontrolliert wird, d. h., ob die Restrisikoniveaus auf der Grundlage eines vertretbaren Kriteriums als akzeptabel erachtet wurden.
• Aktionsplan – Es sollte ein Aktionsplan vorhanden sein, der das Ausmaß des festgestellten Problems widerspiegelt und ihn mit den nachgewiesenen und potenziellen Risiken in Einklang bringt.
• Transparente Bewertung – Hersteller medizinischer Geräte sollten außerdem eine detaillierte und transparente Bewertung des Restrisikos sowie aller Risiken vornehmen, die durch die Sanierung selbst entstehen.

Verbesserung oder Rückruf eines Medizinprodukts?

Schließlich stellt die Richtlinie klar, dass Änderungen, die aufgrund kontrollierter Risiken vorgenommen werden, grundsätzlich als Verbesserungen an Medizinprodukten gelten und nicht als umfassende Rückrufaktionen. Auch routinemäßige Updates von Cybersicherheitsprogrammen und die Verwendung von Patches gelten in der Regel nicht als Verbesserungen an Medizinprodukten.

Wenn Versorgungsunternehmen angegriffen werden können …

Cybersicherheitsbedrohungen sind so aktuell wie die heutigen Schlagzeilen. Als die Nation Dienstprogramme Da kürzlich ein Datenleck gemeldet wurde, ist es offensichtlich, dass auch Hersteller medizinischer Geräte gefährdet sind. Zwar verfügen die meisten Hacker nicht über die Fähigkeiten derjenigen, die heute Schlagzeilen machen, doch ist es wichtig zu beachten, dass ein Hersteller medizinischer Geräte ein viel leichteres Ziel darstellt als Institutionen mit weitaus strengeren Schutzmaßnahmen, die bereits angegriffen wurden.

Einhaltung des manuellen Risikomanagementsystems?

Cybersicherheit für Hersteller medizinischer Geräte wird auch 2017 ein beständiges Thema bleiben. Wie können Sie die FDA-Konformität aufrechterhalten, wenn Ihr aktuelles Qualitätsmanagementsystem Risikomanagement-Lösung Enthält eine manuelle Komponente? Ein automatisiertes Qualitätsmanagementsystem wie AssurX bietet zusätzlichen Schutz vor Cybersicherheitsbedrohungen durch kontinuierliche Updates und einfachere Analysen. Handeln Sie jetzt. Lohnt es sich, abzuwarten, wie Ihr Unternehmen mit einem manuellen Prozess auf eine Cybersicherheitsverletzung reagiert?