Het belang van security voor medische toestellen kan niet genoeg worden benadrukt. Medische toestellen bestaan in verschillende vormen. Zo wordt er een onderscheid gemaakt tussen systemen die dienen voor diagnose, preventie, prognoses, behandeling, pathologie of wijziging van anatomie zoals protheses. Nog gevoeliger wordt het als het gaat over actieve implantaten of software die gebruikt wordt om medische apparatuur aan te sturen. Deze software kan zowel lokaal in het ziekenhuis als in de Cloud draaien.
Medische systemen moeten met de hoogste zorg ontwikkeld worden als het gaat over security en safety van een patiënt. Denk hierbij aan een medisch toestel zoals een insuline pomp, maar ook software voor pathologische doeleinden. Het spreekt voor zich dat medische toestellen de allerhoogste eisen verdienen wat betreft confidentialiteit, integriteit en beschikbaarheid van het systeem en de informatie die het verwerkt. Het is in het belang van de patiënt dat security en safety risico’s nauwkeurig geanalyseerd moeten worden bij het ontwikkelen van het medisch toestel. Dit is niet alleen van toepassing voor het medisch toestel, maar ook de software waarvan medische apparatuur gebruik maakt. De standaard ISO 14971 kan gebruikt worden als richtlijn voor het beheren van risico’s die geassocieerd worden met medische toestellen.
Internet of Medical Things (IoMT)
De medische sector maakt steeds meer gebruik van medische toestellen die verbonden zijn met het netwerk. Hiervoor wordt de term Internet of Medical Things gebruikt omdat deze kunnen ingezet worden om bijvoorbeeld patiënten van thuis uit te monitoren. Hierbij zal het medische toestel op regelmatige tijdstippen een verbinding opzetten met het hospitaal om bijvoorbeeld de suikerwaarde van een patiënt door te geven.
Bij IT-systemen is het belangrijk om te weten welk type van informatie er verwerkt wordt om passende bescherming te kunnen opzetten. Zo moet strikt confidentiële data beter beschermd worden dan andere informatie. Ook bij medische toestellen is het belangrijk om te analyseren wat verwerkt wordt om het medisch toestel te kunnen voorzien van de juiste security controls. Dit wordt ook opgelegd door de Medical Device Regulation (2017/745), een Europese Verordening met als doel om de kwaliteit en veiligheid van een medisch toestel in de EU te garanderen.
EU versus US
In de EU moet je als fabrikant of distributeur van medische toestellen voldoen aan de Medical Device Regulation (2017/745). Wanneer er plannen zijn om het medische toestel te verkopen in de US, is er een FDA 510(k) clearance nodig. Hiervoor moet een technisch document ingediend worden dat onder andere het volgende bevat:
- Lijst van alle cybersecurity risico’s met betrekking tot het design.
- Traceability matrix die cybersecurity controls linkt naar de cybersecurity risico’s die ze mitigeren.
- Cybersecurity management plan.
- Plan voor het onderhouden van de software.
- Plan voor het valideren van software updates en patches.
Secure Development Lifecycle (SDLC)
Organisaties die medische toestellen ontwikkelen dienen een SDLC-proces op te zetten. Dit proces moet ervoor zorgen dat alle noodzakelijke security vereisten correct geïmplementeerd worden. Enkele voorbeelden zijn:
- Paswoord policies: lengte, complexiteit en beveiliging van paswoorden.
- Authenticatie: selecteren van authenticatie mechanisme (passwordless authentication, two-factor authentication, …) voor het authenticeren van een patiënt/arts alsook geconnecteerde systemen.
- Encryptie: implementeren van cryptografische algoritmes, bewaren en herstellen van (master) sleutels.
- Input validatie: manieren om de input te valideren, zowel via een user interface als netwerk connecties.
- Error handling en logging: bewaren van events, kloksynchronisatie, bescherming van logs tegen ongeoorloofde toegang en vernietiging.
- Data protection: bescherming van gevoelige gegevens tegen ongeoorloofde toegang.
- …
Security én safety risks
Een Security Risk Assessment voor het ontwikkelen van een medisch toestel is complexer omdat ook safety risico’s geanalyseerd moeten worden. Threat modeling is belangrijk om te begrijpen hoe een medisch toestel kan beveiligd worden en om een overzicht te krijgen van de data flow van gevoelige gegevens binnen en buiten het medisch toestel. Als voorbeeld kan er gebruik gemaakt worden van Microsoft Threat Modeling Tool. Deze tool kan gebruikt worden in het SDLC proces voor het identificeren en mitigeren van potentiële security issues.
Kwetsbaarheden beperken zich niet tot het operating systeem of software, maar kunnen zich ook voordoen in de ontwikkeling van het medische toestel of implementatie ervan. Om dergelijke kwetsbaarheden te detecteren is penetration testing noodzakelijk. Voorbeelden zijn robustness en fuzzing testen waarbij malformed data naar het medische toestel gestuurd wordt om te kijken hoe het systeem reageert. De veiligheid van de patiënt moet te allen tijde gegarandeerd worden wanneer de werking van een medische toestel faalt.
Conclusie
Voor het ontwikkelen van een medisch toestel (medical device, medical software,…) is wet- en regelgeving beschikbaar. Verschillende standaarden (bv. ISO 14971) en technieken (SDLC, threat modeling, penetration testing) kunnen helpen bij de veilige ontwikkeling van een medisch toestel. Hierbij moet telkens rekening gehouden worden met zowel cybersecurity als safety.
De Medical Device Regulation heeft een classificatieschema voor medische toestellen. Al naargelang de classificatie van het medische toestel zijn bijkomende security controles toepasbaar. Als referentie kan er gebruik gemaakt worden van bv NIST SP 800-53.
Johan Loos
Information Security & Privacy Expert
Via een Information security implementatieprogramma ontzorgen we uw organisatie bij de implementatie van een matuur informatiebeveiligingsbeleid.
Wat is het ISO27001 certificaat en wat houdt het in? Wat zijn de voordelen en meerwaarde? En hoe pak je dat nu gestructureerd aan?
Permanente in-house ondersteuning nodig? Schakel onze experten flexibel in als CISO via ons CISOaaS model.