Anforderungen für die Gewährleistung der Cybersicherheit von IoT-Systemen im Gesundheitswesen

IoT-Systeme im Gesundheitswesen bringen vielversprechende Lösungen in das tägliche Leben. Dies senkt die Betriebskosten, erhöht die Beliebtheit solcher Gesundheitsdienste bei den Patienten, die Geschwindigkeit der Datenverarbeitung und den einfachen Zugang zu solchen Diensten, die optimale Nutzung von Ressourcen, die gemeinsame Nutzung von Aufzeichnungen und die Unterstützung der wissenschaftlichen Forschung usw. Auf der anderen Seite stehen solche Systeme vor dem Problem der Sicherheit im Allgemeinen, die auch den Datenschutz und die Cybersicherheit umfassen kann.

Zu diesen Systemen gehören auch die Endgeräte der Patienten, Gesundheitsorganisationen und Ärzte (Abb. 1). In den meisten Fällen erfordert ihre Interaktion eine permanente drahtlose Kommunikation, die notwendig ist, um Daten zu erhalten und zu senden.

Abbildung 1 - Interaktion zwischen den Hauptkomponenten von IoT-Systemen im Gesundheitswesen

Abbildung 2 zeigt den allgemeinen Prozess der Funktionsweise solcher Systeme im Hinblick auf die Cybersicherheit.

Abbildung 2 - Funktionsweise der Cybersicherheit von IoT-Systemen im Gesundheitswesen

Nach diesem Prozess erfolgt die Synthese und Analyse des IoT-Systems im Gesundheitswesen, das entwickelt werden muss, entwickelt wird oder bereits entwickelt wurde und derzeit vom Support betreut wird, um die Anforderungen an die Cybersicherheit zu ermitteln. Um die Cybersicherheit zu gewährleisten, ist es notwendig, den Ist-Zustand mit Hilfe spezieller technischer Werkzeuge ständig zu überwachen und zu bewerten.

Es ist wichtig zu betonen, dass die ständige Bewertung des aktuellen Zustands der Cybersicherheit es ermöglicht, ein hohes Funktionsniveau zu gewährleisten und Fehler bei der Spezifikation von IoT-Systemen im Gesundheitswesen in den frühen Phasen des Lebenszyklus zu vermeiden.

Analyse bestehender internationaler Regulierungsdokumente

Die Anforderungen und Standards für die Funktionsweise von IoT-Systemen im Gesundheitswesen und für die medizinischen Geräte der Endnutzer werden größtenteils durch die Bundesgesetze der USA und der Food and Drug Administration (FDA) geregelt, auf deren Grundlage nationale Normen anderer Länder entwickelt wurden. Zu beachten ist auch, dass solche Systeme nicht nur Soft- und Hardware umfassen, sondern auch Menschen, Prozesse und Organisationspolitik (Abb. 3), d.h. alle Anforderungsebenen sollten berücksichtigt werden.

Abbildung 3 - Eine mehrschichtige Struktur zur Ermittlung der Quellen von Anforderungen an IoT-Systeme im Gesundheitswesen

Es gibt mehrere internationale Normen für die Zertifizierung von Gesundheitssystemen, darunter solche, die Fragen der Cybersicherheit und anderer Arten von Sicherheit regeln, zum Beispiel ISO/IEC 27032:2012, IEC 62304:2006, ISO 82304:2016.

Eine Erläuterung des US-Bundesgesetzes "Health Insurance Portability and Accountability Act" sind die Regeln für Datenschutz und Sicherheit. Zweck dieses Dokuments ist es, die persönlichen Daten von Patienten zu schützen, die Weitergabe medizinischer Geheimnisse zu verbieten und die Schuldigen bei Verstößen gegen bestimmte Regeln zu bestrafen.

Das Center for Devices and Radiological Health (CDHR), eine Abteilung der FDA, ist für die Zulassung aller Medizinprodukte vor dem Inverkehrbringen sowie für die Überwachung der Herstellung, Leistung und Sicherheit dieser Produkte zuständig. Sie verlangt von den Herstellern von Medizinprodukten, dass sie die Sicherheit ihrer Produkte sowohl in der Entwicklungsphase als auch während der gesamten Lebensdauer dieser Geräte gewährleisten.

Das Dokument "Pre-Market Approval of Medical Devices" (Vorabgenehmigung für Medizinprodukte) wurde von der FDA veröffentlicht.

In dem Dokument "Premarket Submissions for Management of Cybersecurity in Medical Devices" empfiehlt die FDA den Herstellern von Gesundheitssystemen, eine Reihe von Managementdokumenten zu entwickeln, um die Wahrscheinlichkeit einer Beeinträchtigung der Funktionsfähigkeit durch unzureichende Sicherheitsvorkehrungen zur Aufrechterhaltung der Integrität und Funktionalität von Gesundheitsprodukten zu verringern. Gleichzeitig schlägt die FDA vor, dass Hersteller von Gesundheitssystemen ständig:

• Identifizierung von Anlagen, Bedrohungen und Schwachstellen;
• Bewertung der Auswirkungen von Bedrohungen und Schwachstellen;
• Bewertung der Wahrscheinlichkeit von Bedrohungen und Schwachstellen;
• Bestimmung der Risikostufen und möglicher Strategien zur Reduzierung der Auswirkungen;
• Bewertung des ermittelten Risikos und der Risikoakzeptanzkriterien.

Das Dokument "Postmarket Management of Cybersecurity in Medical Devices" empfiehlt, alle oben genannten Verfahren nach der Freigabe des Produkts auf dem Markt fortzusetzen. Die FDA empfiehlt den Herstellern außerdem, das NIST Framework for Risk Management sowie Tools zur Erkennung von Cybersicherheitsschwachstellen zu verwenden, um Faktoren wie Angriffsvektor, Angriffskomplexität, erforderliche Privilegien, Benutzerinteraktion, Ausmaß, Auswirkungen auf die Privatsphäre, Integrität, Verfügbarkeit, Grad der Korrekturen, Vertrauen und Vertrauen in den Bericht zu bewerten.

Darüber hinaus empfiehlt die FDA den Herstellern von Gesundheitssystemen, umfassende Risikomanagementprogramme zu entwickeln, um die Cybersicherheit zu gewährleisten, anstatt reaktiv zu sein und Systemfehler erst dann zu beheben, wenn sie bereits Schaden verursacht haben.

Bestimmung der Anforderungen zur Gewährleistung der Cybersicherheit von IoT-Systemen im Gesundheitswesen

Es ist notwendig, die Anforderungen für jede Ebene der Infrastruktur des IoT-Systems im Gesundheitswesen zu berücksichtigen. Die folgende Tabelle zeigt ein Modell der profilbildenden normativen Basis der Anforderungen für jede Ebene solcher Systeme der Infrastruktur.

Zusammenfassend kann man sagen, dass die wichtigsten Anforderungen an die Cybersicherheit von IoT-Systemen im Gesundheitswesen folgende sind:

1. Sicherstellen, dass die Organisation, die solche Systeme nutzt, die Regeln zur Gewährleistung der Cybersicherheit einhält. Es wird dringend empfohlen, bestehende Systeme gemäß den offiziellen Vorschriften zu überprüfen.
2. Einführung einer vertrauenswürdigen Netzarchitektur. Es ist notwendig, anfällige Angriffe während der Übertragung von Daten von einem Gerät zum anderen zu vermeiden, um die Integrität und Verfügbarkeit von Daten zu gewährleisten.
3. Schutz der persönlichen Gesundheitsdaten. Es ist notwendig, die Vertraulichkeit der privaten Daten von Patienten zu gewährleisten.

Referenzen

1. Informationstechnik - Sicherheitstechniken - Leitlinien für Cybersicherheit, ISO/IEC 27032:2012, Brüssel: Europäisches Komitee für elektrotechnische Normung.
2. Medizinische Gerätesoftware - Software-Lebenszyklusprozesse, ISO/IEC 62304:2006, Brüssel: Europäisches Komitee für elektrotechnische Normung.
3. Gesundheitssoftware - Teil 1: Allgemeine Anforderungen an die Produktsicherheit, ISO/IEC 62304-1:2006, Brüssel: Europäisches Komitee für elektrotechnische Normung.
4. "The HIPAA Privacy Rule".
5. "The Security Rule".
6. "Helsi - Die Fragen zur Reform".
7. U.S. Department of Health and Human Services, Food and Drug Administration and Center for Devices and Radiological Health. Leitfaden für die Industrie - Cybersicherheit für vernetzte medizinische Geräte, die OTS-Software (Off-the-Shelf) enthalten.
8. U.S. Department of Health and Human Services, Food and Drug Administration and Center for Devices and Radiological Health (US-Gesundheitsministerium, Food and Drug Administration und Center for Devices and Radiological Health). Inhalt der Premarket Submissions for Management of Cybersecurity in Medical Devices.
9. U.S. Department of Health and Human Services, Food and Drug Administration and Center for Devices and Radiological Health (US-Gesundheitsministerium, Food and Drug Administration und Center for Devices and Radiological Health). Postmarket Management of Cybersecurity in Medical Devices.
10. A. Strielkina, O. Illiashenko, M. Zhydenko und D. Uzun, "Cybersecurity of healthcare IoT-based systems: Regulation and case-oriented assessment", 2018 IEEE 9th International Conference on Dependable Systems, Services and Technologies (DESSERT), pp. 67-73, 2018. DOI: 10.1109/dessert.2018.8409101.
11. NIST Сybersecurity for IoT programs.
12. Informationstechnologie - Cloud Computing - Referenzarchitektur, ISO/IEC 17789:2014. Brüssel: Europäisches Komitee für elektrotechnische Normung.
13. IEEE802.15.4 Low-Rate Wireless Personal Area Networks. US, IEEE Standards Association.
14. ISO/IEC 27033-1:2015 Preview Information technology - Security techniques - Network security. Genf, Die internationale Organisation für Normung.
15. "Security and privacy controls for federal information systems and organizations", NIST Special Publication, rev. 4, pp. 53, 2015.
16. "140-2: Sicherheitsanforderungen für kryptografische Module", Information Technology Laboratory, National Institute of Standards and Technology.
17. ISO/ IEC 27018:2014(E). Schutz für persönlich identifizierbare Informationen, Brüssel: Europäisches Komitee für elektrotechnische Normung.
18. Health Level Seven. http://www.hl7.org.
19. ISO/IEC 27017:2015. Code of Practice for Information Security Controls based on ISO/IEC 27002 for Cloud Services. Geneva, The international organization of standardization.
20. The Health Information Technology for Economic and Clinical Health Act (HITECH) Act.
21. ISO 9001:2015. Qualitätsmanagementsysteme - Anforderungen. Genf, Die internationale Organisation für Normung.
22. ISO/IEC 9126:2001. Softwaretechnik - Produktqualität. Die internationale Organisation für Normung.
23. Medizinprodukte - Anwendung des Risikomanagements auf Medizinprodukte, ISO/IEC 14971, Brüssel: Europäisches Komitee für elektrotechnische Normung.
24. The Healthcare Information and Management Systems Society. http://www.himss.org.
25. "HIPAA Privacy Rules for the Protection of Health and Mental Health Information".

Categories