"A Way into Your Heart" - Reife (-Grade) für Medizin-Cybersecurity: Darstellung an einem praktischen Beispiel - cogitron
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Dr. H. Herrmann MSc. M. Huber Dr. H. Putzer “A Way into Your Heart” Medconf 2020 - A Way into Your Haert (v1.0) 22. Oktober 2020 Reife (-Grade) für Medizin-Cybersecurity: Darstellung an einem praktischen Beispiel MEDCONF 2020 1
A Way into Your Heart Motivation (v1.0) 22. Oktober 2020 ©cogitron HALLO! Ihre Herzschlagrate zeigt uns Ihr Interesse an der Handtasche: für Sie und nur jetzt: 20% off! ▪ Uns umgeben IoT- Geräte mit komplexen Schnittstellen. ▪ Können wir diesen Schnittstellen vertrauen? Medconf 2020 - A Way into Your Haert ▪ Auch Medizingeräte sind betroffen. Bildquelle: iStock Photo ▪ Es gibt Fälle, welche das Ziel „safe & effective“ verletzen (z.B. [1] & [2]). [1] Fabian A. Scherschel: “Möchten Sie sterben? Malware gegen Herzschrittmacher lässt Hersteller kalt“, HEISE, https://www.heise.de/security/meldung/Moechten-Sie-sterben-Malware-gegen-Herzschrittmacher-laesst-Hersteller-kalt-4133625.html 2 Ref: [2] Kerkmann, Nagel: „Todesfall nach Hackerangriff auf Uni-Klinik Düsseldorf “, HANDELSBLATT, https://www.handelsblatt.com/technik/sicherheit-im-netz/cyberkriminalitaet-todesfall-nach-hackerangriff-auf-uni-klinik-duesseldorf/v_detail_tab_print/26198688.html
A Way into Your Heart Beispiel: Herzschrittmacher (v1.0) 22. Oktober 2020 ©cogitron Updates(Programmer) Parametrierung Updates(Pacemaker) Updates(Pacemaker) Software Delivery Network (SDN) Programmer Patient Pacemaker Ungesicherter Kanal Zugriffskontrolle + Verschlüsselung Breaking-the-Glass Policy ▪ Herzschrittmacher als lebenswichtiges Medizingerät Medconf 2020 - A Way into Your Haert Rechtemanagement ▪ Herzschrittmacher hat notwendige Schnittstellen (Parameter, Firmware) Back End ▪ Herzschrittmacher wird angreifbar. ➢ Cybersecurity des Herstellers lebenswichtig für Patient! 3
A Way into Your Heart Beispiel: Herzschrittmacher - Handlungsbedarf (v1.0) 22. Oktober 2020 ©cogitron Updates(Programmer) Parametrierung Updates(Pacemaker) Updates(Pacemaker) Software Delivery Network (SDN) Programmer Patient Pacemaker INITIAL Cybersecurity ist wichtig. Bei Bedarf wird Medconf 2020 - A Way into Your Haert gehandelt. Es kommen Methoden des Handlungsbedarf: Projekt- Cybersecurity etablieren! managements zum Einsatz. 4
A Way into Your Heart Reifegrade (v1.0) 22. Oktober 2020 ©cogitron ▪ Initial Die Notwendigkeit zum Handeln ist erkannt. Tritt der Bedarf auf, wird zur Tat geschritten. KOMPETENT ▪ Informiert Proaktives Grundsätzlich ist der Cybersecurity- INFORMIERT Handeln ist die Prozess definiert. Die Risiken werden gewohnte analysiert und bewertet. Maßnahmen INITIAL Prozesse sind Herangehens- zur Risikominderung werden betrieben. Es gibt ein System zur definiert. Es weise in der Verfolgung und Erfassung von Cybersecurity ist erfolgt eine gesamten Security-Vorfällen und/oder der wichtig. Bei indirekte Organisation. Veröffentlichung von Schwachstellen. Bedarf wird Reaktion auf Medconf 2020 - A Way into Your Haert Der gehandelt. aufkommende kontinuierliche ▪ Kompetent Es kommen Jeder in der Organisation weiß, was Probleme. Verbesserungs- Methoden des zu tun ist, wenn ein Vorfall auftritt prozess wird Projekt- (Cybersecurity Kultur). Prozesse sind gelebt. messbar – Aufwände und Kosten sind managements zum Einsatz. transparent. Der kontinuierliche Verbesserungsprozess (KVP) wird gelebt. 5
A Way into Your Heart Reifegrad INITIAL (v1.0) 22. Oktober 2020 ©cogitron ▪ Die Notwendigkeit zum Handeln ist erkannt. ▪ Tritt der Bedarf auf, wird zur Tat geschritten. ▪ Quartalsweise Prüfung der Warn- und Informationsdienste. ▪ Risiken, die man nicht kennt, kann man auch nicht verwalten. ▪ Projekt oder Task Force: Plan Medconf 2020 - A Way into Your Haert Mannschaft allokiert Fachleute suchen (Beispielweise wenn kein PEN-Tester im Haus) Ausführung, etc. ▪ Konformität gegeben: z.B. MDR Artikel 87 (Vigilanz) 6
A Way into Your Heart Reifegrad INITIAL (v1.0) 22. Oktober 2020 ©cogitron ▪ Beispiel – Incident-Management Nur sporadisches Prüfen von Warn- und Informationsdiensten Ungesicherter Kanal Weitgehend Reaktiv Zugriffskontrolle + Verschlüsselung ▪ Ping-Pong zwischen Angreifern und Hersteller kostspielig Breaking-the-Glass Policy Rechtemanagement Discovery Disclosure Patch Patch Exploit Back End available installed Medconf 2020 - A Way into Your Haert Zeit Black Risk Gray Risk White Risk Black Risk – Zeitraum Entdeckung bis Veröffentlichung Gray Risk – Zeitraum Veröffentlichung bis Verfügbarkeit eines Patches White Risk – Zeitraum Verfügbarkeit eines Patches bis Implementierung 7
A Way into Your Heart Reifegrad INFORMIERT (v1.0) 22. Oktober 2020 ©cogitron ▪ Cybersecurity Prozesse für: Analyse von Gefahren-Szenarien Möglichkeiten von Angriffen (attack feasability, attack path, …) Lieferantenmanagement ▪ Regelmäßige Prüfung der Warn- und Informationsdienste CERT-Bund “Common Vulnerabilities and Exposures” (CVE) Oder andere “Detection and Response Services” Medconf 2020 - A Way into Your Haert ▪ Prozesslandschaft zu komplex Alle Vorgaben wurden in Prozessen verankert und nicht verzahnt mit anderen Tätigkeiten = eher ein Labyrinth 8
A Way into Your Heart Reifegrad INFORMIERT (v1.0) 22. Oktober 2020 ©cogitron ▪ Beispiel – Prozesslandschaft Komplette Entwicklungsprozesse werden Security- wiederholt Vorfall Updates(Programmer) Parametrierung Updates(Pacemaker) Updates(Pacemaker) Medconf 2020 - A Way into Your Haert Software Delivery Network (SDN) Programmer Patient Pacemaker 9
A Way into Your Heart Reifegrad KOMPETENT (v1.0) 22. Oktober 2020 ©cogitron ▪ Die Zuständigkeiten für die Prozesse sind klar geregelt. ▪ Im Rahmen von Konzeptentscheidungen genießt die Cybersecurity immer die nötige Priorität. ▪ Verifikation und Validierung werden von ausreichend unabhängigen Mitarbeitern übernommen. ✓ ▪ Proaktives Handeln des Projekts bzw. der Mitarbeiter: Security by Design Privacy by Design Medconf 2020 - A Way into Your Haert ▪ Es sind ausreichend Ressourcen für die operative Arbeit vorhanden. ▪ Alle eingebundenen Mitarbeiter sind entsprechend ihren Aufgaben entsprechend geschult. 10
A Way into Your Heart Reifegrad KOMPETENT (v1.0) 22. Oktober 2020 ©cogitron Disclosure Discovery ▪ Beispiel – Penetrationstests Patch Patch Regelmäßige Durchführung von Penetrationstests Exploit available installed Regelmäßige Adaptierung/Erweiterung von Tests basierend auf Monitoring und Nachforschungen Proaktives härten der Technik Zeit Potentielle Eliminierung der „Gray Risk“-Phase Black Risk White Risk Gray Risk elemeniert Medconf 2020 - A Way into Your Haert 11
A Way into Your Heart Reifegrade – anderer Blickwinkel (v1.0) 22. Oktober 2020 ©cogitron Effizienz Aspekt \ Reifegrad Initial Informiert Kompetent Reaktion auf Probleme CAPA-Prozess (ohne Sehr detaillierte Anpassbare Arbeitsanweisungen, Vorbereitung auf Cybersecurity) Arbeitsanweisungen Adaptive Reaktion Cybersecurity-Prozess Pro forma Prozesse Prozesslandschaft Lebende Prozesslandschaft (Zu Komplex) Mit Messung und KVP Incident-Management Einmal im Quartal Prüfung der tägliche Prüfung der Warn- und Wie informiert Warn- und Informationsdienste Informationsdienste PEN Test Automatisierte Nach Standards testen Wiederholte PENtests mit aus Vulnerability Scans (u.a. IEC 62443), Marktbeobachtung erstellten Testen von bekannten Test-Suits Vulnerabilities Medconf 2020 - A Way into Your Haert (öffentlich bekannt) Kontinuierlicher KVP wird Pro forma für die KVP wir einmal im Jahr Verbesserungen werden ständig Verbesserungsprozess (KVP) Zertifizierung durch geführt durchgeführt erfasst und zu regelmäßigen Terminen im KVP Return on Invest Keine Investitionen Viele Aktivitäten kosten viel Geld Performant, Fokussiert Risiken Probleme, die am Markt bereits Durch komplexe Aufgrund Marktbeobachtung bekannt sind, werden zu Risiken. Prozesslandschaft unnötig lange Reduzierung der potentiellen Sehr lange „Gray Risk“ Phasen. „Gray Risk“ Phasen Probleme 12
A Way into Your Heart Zusammenfassung (v1.0) 22. Oktober 2020 ©cogitron ▪ Medizingeräte Medizingeräte (IoT, auch implantiert) sind ggf. lebenswichtig Schnittstellen (Connectivity) … ▪ … ermöglicht coole Funktionen ▪ … ist medizinisch essentiell (und Wartung!) ▪ Angriffe Angriffe der Medizingeräte über die Schnittstellen Zulassung bedarf Cybersecurity-Betrachtungen „Security machen“ ist nicht ausreichend Medconf 2020 - A Way into Your Haert ▪ Cybersecurity-Reife Effizienz (und Effektivität) steigern Unternehmensrisiken senken 13
Bildquelle: medium.com - Neuralink Launch Event Bildquelle: greatlakesledger.com One for the road A Way into Your Heart Bildquelle: abovetopsecret.com frühzeitig beherrschen! ▪ Cybersecurity (Cyberdependability) ▪ Beispiel: Elon Musk ~ NEURALINK (www.neuralink.com) Medconf 2020 - A Way into Your Haert (v1.0) 22. Oktober 2020 ©cogitron 14
Ihr Partner für digitale Innovation. cogitron GmbH Tel: +49 15 255 90 10 40 Stefaniweg 4 Fax: +49 89 20 35 15 53 85652 Pliening info@cogitron.de HRB 234778 München Deutschland www.cogitron.de UStIdNr: DE 313 565 192
Sie können auch lesen