"A Way into Your Heart" - Reife (-Grade) für Medizin-Cybersecurity: Darstellung an einem praktischen Beispiel - cogitron

Die Seite wird erstellt Hein-Peter Seidl
 
WEITER LESEN
"A Way into Your Heart" - Reife (-Grade) für Medizin-Cybersecurity: Darstellung an einem praktischen Beispiel - cogitron
Dr. H. Herrmann
        MSc. M. Huber
          Dr. H. Putzer   “A Way into Your Heart”

                                                                      Medconf 2020 - A Way into Your Haert
(v1.0) 22. Oktober 2020   Reife (-Grade) für Medizin-Cybersecurity:
                          Darstellung an einem praktischen Beispiel
       MEDCONF 2020
            
                                                                                1
"A Way into Your Heart" - Reife (-Grade) für Medizin-Cybersecurity: Darstellung an einem praktischen Beispiel - cogitron
A Way into Your Heart
Motivation

                                                                                                                                                                                                                                                                                               (v1.0) 22. Oktober 2020 ©cogitron
                                                                                                                                                                                          HALLO!
                                                                                                                                                                                          Ihre Herzschlagrate zeigt uns
                                                                                                                                                                                          Ihr Interesse an der Handtasche:
                                                                                                                                                                                          für Sie und nur jetzt: 20% off!

                                                                                                                                                                                                                                            ▪ Uns umgeben IoT-
                                                                                                                                                                                                                                              Geräte mit komplexen
                                                                                                                                                                                                                                              Schnittstellen.
                                                                                                                                                                                                                                            ▪ Können wir diesen
                                                                                                                                                                                                                                              Schnittstellen
                                                                                                                                                                                                                                              vertrauen?

                                                                                                                                                                                                                                                                                               Medconf 2020 - A Way into Your Haert
                                                                                                                                                                                                                                            ▪ Auch Medizingeräte
                                                                                                                                                                                                                                              sind betroffen.
Bildquelle: iStock Photo

                                                                                                                                                                                                                                            ▪ Es gibt Fälle, welche
                                                                                                                                                                                                                                              das Ziel „safe &
                                                                                                                                                                                                                                              effective“ verletzen
                                                                                                                                                                                                                                              (z.B. [1] & [2]).
                           [1] Fabian A. Scherschel: “Möchten Sie sterben? Malware gegen Herzschrittmacher lässt Hersteller kalt“, HEISE, https://www.heise.de/security/meldung/Moechten-Sie-sterben-Malware-gegen-Herzschrittmacher-laesst-Hersteller-kalt-4133625.html
                                                                                                                                                                                                                                                                                                         2
Ref:

                           [2] Kerkmann, Nagel: „Todesfall nach Hackerangriff auf Uni-Klinik Düsseldorf “, HANDELSBLATT, https://www.handelsblatt.com/technik/sicherheit-im-netz/cyberkriminalitaet-todesfall-nach-hackerangriff-auf-uni-klinik-duesseldorf/v_detail_tab_print/26198688.html
"A Way into Your Heart" - Reife (-Grade) für Medizin-Cybersecurity: Darstellung an einem praktischen Beispiel - cogitron
A Way into Your Heart
Beispiel: Herzschrittmacher

                                                                                                       (v1.0) 22. Oktober 2020 ©cogitron
                 Updates(Programmer)                      Parametrierung
                   Updates(Pacemaker)                 Updates(Pacemaker)
Software Delivery Network (SDN)          Programmer                        Patient
                                                                                Pacemaker

                                                                                 Ungesicherter Kanal

                                                                                 Zugriffskontrolle
                                                                                 + Verschlüsselung

                                                                                 Breaking-the-Glass
                                                                                 Policy
▪ Herzschrittmacher als lebenswichtiges Medizingerät

                                                                                                       Medconf 2020 - A Way into Your Haert
                                                                                 Rechtemanagement

▪ Herzschrittmacher hat notwendige Schnittstellen (Parameter, Firmware)
                                                                                 Back End
▪ Herzschrittmacher wird angreifbar.
                                                                                 
➢ Cybersecurity des Herstellers lebenswichtig für Patient!                       
                                                                                                                 3
"A Way into Your Heart" - Reife (-Grade) für Medizin-Cybersecurity: Darstellung an einem praktischen Beispiel - cogitron
A Way into Your Heart
Beispiel: Herzschrittmacher - Handlungsbedarf

                                                                                                (v1.0) 22. Oktober 2020 ©cogitron
                  Updates(Programmer)                         Parametrierung
                      Updates(Pacemaker)                 Updates(Pacemaker)
Software Delivery Network (SDN)             Programmer                         Patient
                                                                                    Pacemaker

      INITIAL

  Cybersecurity ist
    wichtig. Bei
    Bedarf wird

                                                                                                Medconf 2020 - A Way into Your Haert
     gehandelt.
    Es kommen
   Methoden des                                    Handlungsbedarf:
      Projekt-                                  Cybersecurity etablieren!
   managements
    zum Einsatz.

                                                                                                          4
"A Way into Your Heart" - Reife (-Grade) für Medizin-Cybersecurity: Darstellung an einem praktischen Beispiel - cogitron
A Way into Your Heart
Reifegrade

                                                                                                          (v1.0) 22. Oktober 2020 ©cogitron
                                                           ▪ Initial
                                                              Die Notwendigkeit zum Handeln ist
                                                                erkannt. Tritt der Bedarf auf, wird zur
                                                                Tat geschritten.
                                          KOMPETENT
                                                           ▪ Informiert
                                            Proaktives        Grundsätzlich ist der Cybersecurity-
                        INFORMIERT       Handeln ist die        Prozess definiert. Die Risiken werden
                                            gewohnte            analysiert und bewertet. Maßnahmen
      INITIAL
                        Prozesse sind     Herangehens-
                                                                zur Risikominderung werden
                                                                betrieben. Es gibt ein System zur
                         definiert. Es     weise in der         Verfolgung und Erfassung von
  Cybersecurity ist
                         erfolgt eine       gesamten            Security-Vorfällen und/oder der
    wichtig. Bei
                           indirekte      Organisation.         Veröffentlichung von Schwachstellen.
    Bedarf wird
                         Reaktion auf

                                                                                                          Medconf 2020 - A Way into Your Haert
                                               Der
     gehandelt.
                        aufkommende      kontinuierliche   ▪ Kompetent
    Es kommen                                                 Jeder in der Organisation weiß, was
                          Probleme.      Verbesserungs-
   Methoden des                                                 zu tun ist, wenn ein Vorfall auftritt
                                           prozess wird
      Projekt-                                                  (Cybersecurity Kultur). Prozesse sind
                                              gelebt.           messbar – Aufwände und Kosten sind
   managements
    zum Einsatz.                                                transparent. Der kontinuierliche
                                                                Verbesserungsprozess (KVP) wird
                                                                gelebt.
                                                                                                                    5
"A Way into Your Heart" - Reife (-Grade) für Medizin-Cybersecurity: Darstellung an einem praktischen Beispiel - cogitron
A Way into Your Heart
Reifegrad INITIAL

                                                                      (v1.0) 22. Oktober 2020 ©cogitron
▪ Die Notwendigkeit zum Handeln ist erkannt.
▪ Tritt der Bedarf auf, wird zur Tat geschritten.
▪ Quartalsweise Prüfung der
  Warn- und Informationsdienste.
▪ Risiken, die man nicht kennt,
  kann man auch nicht verwalten.
▪ Projekt oder Task Force:
     Plan

                                                                      Medconf 2020 - A Way into Your Haert
     Mannschaft allokiert
     Fachleute suchen (Beispielweise wenn kein PEN-Tester im Haus)
     Ausführung, etc.
▪ Konformität gegeben: z.B. MDR Artikel 87 (Vigilanz)
                                                                                6
"A Way into Your Heart" - Reife (-Grade) für Medizin-Cybersecurity: Darstellung an einem praktischen Beispiel - cogitron
A Way into Your Heart
Reifegrad INITIAL

                                                                                                                         (v1.0) 22. Oktober 2020 ©cogitron
▪ Beispiel – Incident-Management
  Nur sporadisches Prüfen von Warn- und
   Informationsdiensten                                                                       Ungesicherter Kanal
  Weitgehend Reaktiv
                                                                                              Zugriffskontrolle
                                                                                              + Verschlüsselung
▪ Ping-Pong zwischen Angreifern und Hersteller
  kostspielig                                                                                 Breaking-the-Glass
                                                                                              Policy
                                                                                              Rechtemanagement
        Discovery                Disclosure
                                                      Patch                  Patch
                      Exploit                                                                 Back End
                                                     available             installed

                                                                                                                         Medconf 2020 - A Way into Your Haert
                                                                                              
                                                                                       Zeit
                    Black Risk            Gray Risk          White Risk                       

   Black Risk – Zeitraum Entdeckung bis Veröffentlichung
   Gray Risk – Zeitraum Veröffentlichung bis Verfügbarkeit eines Patches
   White Risk – Zeitraum Verfügbarkeit eines Patches bis Implementierung

                                                                                                                                   7
A Way into Your Heart
Reifegrad INFORMIERT

                                                                       (v1.0) 22. Oktober 2020 ©cogitron
▪ Cybersecurity Prozesse für:
   Analyse von Gefahren-Szenarien
   Möglichkeiten von Angriffen (attack feasability, attack path, …)
   Lieferantenmanagement

▪ Regelmäßige Prüfung der Warn- und Informationsdienste
   CERT-Bund
   “Common Vulnerabilities and Exposures” (CVE)
   Oder andere “Detection and Response Services”

                                                                       Medconf 2020 - A Way into Your Haert
▪ Prozesslandschaft zu komplex
   Alle Vorgaben wurden in Prozessen verankert
   und nicht verzahnt mit anderen Tätigkeiten
     = eher ein Labyrinth

                                                                                 8
A Way into Your Heart
Reifegrad INFORMIERT

                                                                                                     (v1.0) 22. Oktober 2020 ©cogitron
                                                          ▪ Beispiel – Prozesslandschaft
                                                            Komplette Entwicklungsprozesse werden
        Security-                                             wiederholt
          Vorfall

                    Updates(Programmer)                    Parametrierung
                     Updates(Pacemaker)                Updates(Pacemaker)

                                                                                                     Medconf 2020 - A Way into Your Haert
Software Delivery Network (SDN)           Programmer                          Patient
                                                                                   Pacemaker

                                                                                                               9
A Way into Your Heart
Reifegrad KOMPETENT

                                                                 (v1.0) 22. Oktober 2020 ©cogitron
▪ Die Zuständigkeiten für die Prozesse sind klar geregelt.
▪ Im Rahmen von Konzeptentscheidungen genießt die
  Cybersecurity immer die nötige Priorität.
▪ Verifikation und Validierung werden von ausreichend
  unabhängigen Mitarbeitern übernommen.

                                                             ✓
▪ Proaktives Handeln des Projekts bzw. der Mitarbeiter:
   Security by Design
   Privacy by Design

                                                                 Medconf 2020 - A Way into Your Haert
▪ Es sind ausreichend Ressourcen für die operative Arbeit
  vorhanden.
▪ Alle eingebundenen Mitarbeiter sind entsprechend ihren
  Aufgaben entsprechend geschult.

                                                                  10
A Way into Your Heart
Reifegrad KOMPETENT

                                                                                                                (v1.0) 22. Oktober 2020 ©cogitron
                                                                             Disclosure
                                                    Discovery
▪ Beispiel – Penetrationstests
                                                                              Patch            Patch
  Regelmäßige Durchführung von Penetrationstests               Exploit
                                                                             available       installed
  Regelmäßige Adaptierung/Erweiterung von Tests
   basierend auf Monitoring und Nachforschungen
  Proaktives härten der Technik
                                                                                                         Zeit
  Potentielle Eliminierung der „Gray Risk“-Phase               Black Risk           White Risk

                                                                          Gray Risk elemeniert

                                                                                                                Medconf 2020 - A Way into Your Haert
                                                                                                                 11
A Way into Your Heart
Reifegrade – anderer Blickwinkel

                                                                                                                                      (v1.0) 22. Oktober 2020 ©cogitron
                                                                                                                  Effizienz
      Aspekt \ Reifegrad                 Initial                           Informiert                         Kompetent

Reaktion auf Probleme             CAPA-Prozess (ohne                    Sehr detaillierte            Anpassbare Arbeitsanweisungen,
                             Vorbereitung auf Cybersecurity)          Arbeitsanweisungen                   Adaptive Reaktion
Cybersecurity-Prozess              Pro forma Prozesse                  Prozesslandschaft               Lebende Prozesslandschaft
                                                                         (Zu Komplex)                    Mit Messung und KVP
Incident-Management          Einmal im Quartal Prüfung der      tägliche Prüfung der Warn- und               Wie informiert
                             Warn- und Informationsdienste            Informationsdienste
PEN Test                            Automatisierte                   Nach Standards testen            Wiederholte PENtests mit aus
                                   Vulnerability Scans                  (u.a. IEC 62443),             Marktbeobachtung erstellten
                                                                     Testen von bekannten                     Test-Suits
                                                                         Vulnerabilities

                                                                                                                                      Medconf 2020 - A Way into Your Haert
                                                                      (öffentlich bekannt)
Kontinuierlicher               KVP wird Pro forma für die            KVP wir einmal im Jahr          Verbesserungen werden ständig
Verbesserungsprozess (KVP)     Zertifizierung durch geführt              durchgeführt                 erfasst und zu regelmäßigen
                                                                                                            Terminen im KVP
Return on Invest                   Keine Investitionen          Viele Aktivitäten kosten viel Geld       Performant, Fokussiert

Risiken                      Probleme, die am Markt bereits             Durch komplexe                Aufgrund Marktbeobachtung
                             bekannt sind, werden zu Risiken.   Prozesslandschaft unnötig lange       Reduzierung der potentiellen
                              Sehr lange „Gray Risk“ Phasen.          „Gray Risk“ Phasen                       Probleme
                                                                                                                                       12
A Way into Your Heart
Zusammenfassung

                                                                    (v1.0) 22. Oktober 2020 ©cogitron
▪ Medizingeräte
   Medizingeräte (IoT, auch implantiert) sind ggf. lebenswichtig
   Schnittstellen (Connectivity) …
     ▪ … ermöglicht coole Funktionen
     ▪ … ist medizinisch essentiell (und Wartung!)

▪ Angriffe
   Angriffe der Medizingeräte über die Schnittstellen
   Zulassung bedarf Cybersecurity-Betrachtungen
   „Security machen“ ist nicht ausreichend

                                                                    Medconf 2020 - A Way into Your Haert
▪ Cybersecurity-Reife
   Effizienz (und Effektivität) steigern
   Unternehmensrisiken senken

                                                                     13
Bildquelle: medium.com - Neuralink Launch Event           Bildquelle: greatlakesledger.com

                                                                                                                                                                                    One for the road
                                                                                                                                                                                    A Way into Your Heart

                                              Bildquelle: abovetopsecret.com
                                                                                                                                               frühzeitig beherrschen!
                                                                                                                                             ▪ Cybersecurity (Cyberdependability)

                                                                                     ▪ Beispiel: Elon Musk ~ NEURALINK (www.neuralink.com)

     Medconf 2020 - A Way into Your Haert                                      (v1.0) 22. Oktober 2020 ©cogitron
14
Ihr Partner
für digitale Innovation.

     cogitron GmbH         Tel: +49 15 255 90 10 40
     Stefaniweg 4          Fax: +49 89 20 35 15 53
     85652 Pliening        info@cogitron.de             HRB 234778 München
     Deutschland           www.cogitron.de            UStIdNr: DE 313 565 192
Sie können auch lesen