"A Way into Your Heart" - Reife (-Grade) für Medizin-Cybersecurity: Darstellung an einem praktischen Beispiel - cogitron
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Dr. H. Herrmann
MSc. M. Huber
Dr. H. Putzer “A Way into Your Heart”
Medconf 2020 - A Way into Your Haert
(v1.0) 22. Oktober 2020 Reife (-Grade) für Medizin-Cybersecurity:
Darstellung an einem praktischen Beispiel
MEDCONF 2020
1
A Way into Your Heart
Motivation
(v1.0) 22. Oktober 2020 ©cogitron
HALLO!
Ihre Herzschlagrate zeigt uns
Ihr Interesse an der Handtasche:
für Sie und nur jetzt: 20% off!
▪ Uns umgeben IoT-
Geräte mit komplexen
Schnittstellen.
▪ Können wir diesen
Schnittstellen
vertrauen?
Medconf 2020 - A Way into Your Haert
▪ Auch Medizingeräte
sind betroffen.
Bildquelle: iStock Photo
▪ Es gibt Fälle, welche
das Ziel „safe &
effective“ verletzen
(z.B. [1] & [2]).
[1] Fabian A. Scherschel: “Möchten Sie sterben? Malware gegen Herzschrittmacher lässt Hersteller kalt“, HEISE, https://www.heise.de/security/meldung/Moechten-Sie-sterben-Malware-gegen-Herzschrittmacher-laesst-Hersteller-kalt-4133625.html
2
Ref:
[2] Kerkmann, Nagel: „Todesfall nach Hackerangriff auf Uni-Klinik Düsseldorf “, HANDELSBLATT, https://www.handelsblatt.com/technik/sicherheit-im-netz/cyberkriminalitaet-todesfall-nach-hackerangriff-auf-uni-klinik-duesseldorf/v_detail_tab_print/26198688.html
A Way into Your Heart
Beispiel: Herzschrittmacher
(v1.0) 22. Oktober 2020 ©cogitron
Updates(Programmer) Parametrierung
Updates(Pacemaker) Updates(Pacemaker)
Software Delivery Network (SDN) Programmer Patient
Pacemaker
Ungesicherter Kanal
Zugriffskontrolle
+ Verschlüsselung
Breaking-the-Glass
Policy
▪ Herzschrittmacher als lebenswichtiges Medizingerät
Medconf 2020 - A Way into Your Haert
Rechtemanagement
▪ Herzschrittmacher hat notwendige Schnittstellen (Parameter, Firmware)
Back End
▪ Herzschrittmacher wird angreifbar.
➢ Cybersecurity des Herstellers lebenswichtig für Patient!
3
A Way into Your Heart
Beispiel: Herzschrittmacher - Handlungsbedarf
(v1.0) 22. Oktober 2020 ©cogitron
Updates(Programmer) Parametrierung
Updates(Pacemaker) Updates(Pacemaker)
Software Delivery Network (SDN) Programmer Patient
Pacemaker
INITIAL
Cybersecurity ist
wichtig. Bei
Bedarf wird
Medconf 2020 - A Way into Your Haert
gehandelt.
Es kommen
Methoden des Handlungsbedarf:
Projekt- Cybersecurity etablieren!
managements
zum Einsatz.
4
A Way into Your Heart
Reifegrade
(v1.0) 22. Oktober 2020 ©cogitron
▪ Initial
Die Notwendigkeit zum Handeln ist
erkannt. Tritt der Bedarf auf, wird zur
Tat geschritten.
KOMPETENT
▪ Informiert
Proaktives Grundsätzlich ist der Cybersecurity-
INFORMIERT Handeln ist die Prozess definiert. Die Risiken werden
gewohnte analysiert und bewertet. Maßnahmen
INITIAL
Prozesse sind Herangehens-
zur Risikominderung werden
betrieben. Es gibt ein System zur
definiert. Es weise in der Verfolgung und Erfassung von
Cybersecurity ist
erfolgt eine gesamten Security-Vorfällen und/oder der
wichtig. Bei
indirekte Organisation. Veröffentlichung von Schwachstellen.
Bedarf wird
Reaktion auf
Medconf 2020 - A Way into Your Haert
Der
gehandelt.
aufkommende kontinuierliche ▪ Kompetent
Es kommen Jeder in der Organisation weiß, was
Probleme. Verbesserungs-
Methoden des zu tun ist, wenn ein Vorfall auftritt
prozess wird
Projekt- (Cybersecurity Kultur). Prozesse sind
gelebt. messbar – Aufwände und Kosten sind
managements
zum Einsatz. transparent. Der kontinuierliche
Verbesserungsprozess (KVP) wird
gelebt.
5
A Way into Your Heart
Reifegrad INITIAL
(v1.0) 22. Oktober 2020 ©cogitron
▪ Die Notwendigkeit zum Handeln ist erkannt.
▪ Tritt der Bedarf auf, wird zur Tat geschritten.
▪ Quartalsweise Prüfung der
Warn- und Informationsdienste.
▪ Risiken, die man nicht kennt,
kann man auch nicht verwalten.
▪ Projekt oder Task Force:
Plan
Medconf 2020 - A Way into Your Haert
Mannschaft allokiert
Fachleute suchen (Beispielweise wenn kein PEN-Tester im Haus)
Ausführung, etc.
▪ Konformität gegeben: z.B. MDR Artikel 87 (Vigilanz)
6
A Way into Your Heart
Reifegrad INITIAL
(v1.0) 22. Oktober 2020 ©cogitron
▪ Beispiel – Incident-Management
Nur sporadisches Prüfen von Warn- und
Informationsdiensten Ungesicherter Kanal
Weitgehend Reaktiv
Zugriffskontrolle
+ Verschlüsselung
▪ Ping-Pong zwischen Angreifern und Hersteller
kostspielig Breaking-the-Glass
Policy
Rechtemanagement
Discovery Disclosure
Patch Patch
Exploit Back End
available installed
Medconf 2020 - A Way into Your Haert
Zeit
Black Risk Gray Risk White Risk
Black Risk – Zeitraum Entdeckung bis Veröffentlichung
Gray Risk – Zeitraum Veröffentlichung bis Verfügbarkeit eines Patches
White Risk – Zeitraum Verfügbarkeit eines Patches bis Implementierung
7A Way into Your Heart
Reifegrad INFORMIERT
(v1.0) 22. Oktober 2020 ©cogitron
▪ Cybersecurity Prozesse für:
Analyse von Gefahren-Szenarien
Möglichkeiten von Angriffen (attack feasability, attack path, …)
Lieferantenmanagement
▪ Regelmäßige Prüfung der Warn- und Informationsdienste
CERT-Bund
“Common Vulnerabilities and Exposures” (CVE)
Oder andere “Detection and Response Services”
Medconf 2020 - A Way into Your Haert
▪ Prozesslandschaft zu komplex
Alle Vorgaben wurden in Prozessen verankert
und nicht verzahnt mit anderen Tätigkeiten
= eher ein Labyrinth
8A Way into Your Heart
Reifegrad INFORMIERT
(v1.0) 22. Oktober 2020 ©cogitron
▪ Beispiel – Prozesslandschaft
Komplette Entwicklungsprozesse werden
Security- wiederholt
Vorfall
Updates(Programmer) Parametrierung
Updates(Pacemaker) Updates(Pacemaker)
Medconf 2020 - A Way into Your Haert
Software Delivery Network (SDN) Programmer Patient
Pacemaker
9A Way into Your Heart
Reifegrad KOMPETENT
(v1.0) 22. Oktober 2020 ©cogitron
▪ Die Zuständigkeiten für die Prozesse sind klar geregelt.
▪ Im Rahmen von Konzeptentscheidungen genießt die
Cybersecurity immer die nötige Priorität.
▪ Verifikation und Validierung werden von ausreichend
unabhängigen Mitarbeitern übernommen.
✓
▪ Proaktives Handeln des Projekts bzw. der Mitarbeiter:
Security by Design
Privacy by Design
Medconf 2020 - A Way into Your Haert
▪ Es sind ausreichend Ressourcen für die operative Arbeit
vorhanden.
▪ Alle eingebundenen Mitarbeiter sind entsprechend ihren
Aufgaben entsprechend geschult.
10A Way into Your Heart
Reifegrad KOMPETENT
(v1.0) 22. Oktober 2020 ©cogitron
Disclosure
Discovery
▪ Beispiel – Penetrationstests
Patch Patch
Regelmäßige Durchführung von Penetrationstests Exploit
available installed
Regelmäßige Adaptierung/Erweiterung von Tests
basierend auf Monitoring und Nachforschungen
Proaktives härten der Technik
Zeit
Potentielle Eliminierung der „Gray Risk“-Phase Black Risk White Risk
Gray Risk elemeniert
Medconf 2020 - A Way into Your Haert
11A Way into Your Heart
Reifegrade – anderer Blickwinkel
(v1.0) 22. Oktober 2020 ©cogitron
Effizienz
Aspekt \ Reifegrad Initial Informiert Kompetent
Reaktion auf Probleme CAPA-Prozess (ohne Sehr detaillierte Anpassbare Arbeitsanweisungen,
Vorbereitung auf Cybersecurity) Arbeitsanweisungen Adaptive Reaktion
Cybersecurity-Prozess Pro forma Prozesse Prozesslandschaft Lebende Prozesslandschaft
(Zu Komplex) Mit Messung und KVP
Incident-Management Einmal im Quartal Prüfung der tägliche Prüfung der Warn- und Wie informiert
Warn- und Informationsdienste Informationsdienste
PEN Test Automatisierte Nach Standards testen Wiederholte PENtests mit aus
Vulnerability Scans (u.a. IEC 62443), Marktbeobachtung erstellten
Testen von bekannten Test-Suits
Vulnerabilities
Medconf 2020 - A Way into Your Haert
(öffentlich bekannt)
Kontinuierlicher KVP wird Pro forma für die KVP wir einmal im Jahr Verbesserungen werden ständig
Verbesserungsprozess (KVP) Zertifizierung durch geführt durchgeführt erfasst und zu regelmäßigen
Terminen im KVP
Return on Invest Keine Investitionen Viele Aktivitäten kosten viel Geld Performant, Fokussiert
Risiken Probleme, die am Markt bereits Durch komplexe Aufgrund Marktbeobachtung
bekannt sind, werden zu Risiken. Prozesslandschaft unnötig lange Reduzierung der potentiellen
Sehr lange „Gray Risk“ Phasen. „Gray Risk“ Phasen Probleme
12A Way into Your Heart
Zusammenfassung
(v1.0) 22. Oktober 2020 ©cogitron
▪ Medizingeräte
Medizingeräte (IoT, auch implantiert) sind ggf. lebenswichtig
Schnittstellen (Connectivity) …
▪ … ermöglicht coole Funktionen
▪ … ist medizinisch essentiell (und Wartung!)
▪ Angriffe
Angriffe der Medizingeräte über die Schnittstellen
Zulassung bedarf Cybersecurity-Betrachtungen
„Security machen“ ist nicht ausreichend
Medconf 2020 - A Way into Your Haert
▪ Cybersecurity-Reife
Effizienz (und Effektivität) steigern
Unternehmensrisiken senken
13Bildquelle: medium.com - Neuralink Launch Event Bildquelle: greatlakesledger.com
One for the road
A Way into Your Heart
Bildquelle: abovetopsecret.com
frühzeitig beherrschen!
▪ Cybersecurity (Cyberdependability)
▪ Beispiel: Elon Musk ~ NEURALINK (www.neuralink.com)
Medconf 2020 - A Way into Your Haert (v1.0) 22. Oktober 2020 ©cogitron
14Ihr Partner
für digitale Innovation.
cogitron GmbH Tel: +49 15 255 90 10 40
Stefaniweg 4 Fax: +49 89 20 35 15 53
85652 Pliening info@cogitron.de HRB 234778 München
Deutschland www.cogitron.de UStIdNr: DE 313 565 192Sie können auch lesen
