Eingeschränkt verwendbar © CyOne Security AG.Alle Rechte vorbehalten.

06.06.2019

Integrierte Sicherheit in vernetzten Medizintechnik-geräten

Dr. Esther GelleAdrian Helfenstein

2 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.2 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.

Inhalt01 – Vernetzte Medizintechnikgeräte02 – Zentrale Sicherheitsanforderungen03 – Lösungskonzepte und Mechanismen04 – Fazit

3 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.3 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.

Vernetzte Medizintechnikgeräte

4 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.

AKTORENPumpen

Wärmetauscher

Servos, Motoren

…

Vernetzte Medizintechnikgeräte

Digitalisierung z.B. Aufzeichnungenin elektronischer Form

Remote Administration, Konfiguration, Kalibrierung, Überwachung, Wartung wie

z.B. Backup und Update, Integration,

…

INDUSTRIE 4.0

SENSORENTemperatur, Glukose, Luft

Video-Objektive

Elektrokardiogramm (EKG)

Navigation

…

Digitalanzeigen

Monitore

Drucker

…

MONITORE

5 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.

Vernetzte Medizintechnikgeräte

Zunehmende Kommunikationsbedürfnisse …

… zunehmende Anzahl und verschiedenartige Schnittstellen …

… und noch viel mehr unterschiedliche Kommunikationsprotokolle!

Digital I/O

RJ45Sto-rage

Wire-less

…

Serial, parallel

6 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.

Herausforderungen für Herstellerund Betreiber

Herausforderungen für Hersteller und Betreiber sind sich verändernde …

Hersteller berücksichtigen diese Indikatoren insbesondere bei …

• … Prozesse, regulatorische (Sicherheits-)Anforderungen,

• … IT-Infrastrukturen und

• … Cyberbedrohungen

• … Architekturwahl

• … Updatefähigkeit

• … Security by Design

Wesentliche Indikatoren:

Widerstands- und Anpassungsfähigkeit von Produkten und Lösungen

Betreiber berücksichtigen diese Indikatoren beim Design der Gesamtlösung, der Wahl der Produkte und der Hersteller

7 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.7 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.

Zentrale Sicherheitsanforderungen

8 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.

Zentrale Sicherheitsanforderungen

Persons who use open systems shall

Ensure the authenticity, integrity, and, as apporpriate, confidentiality of electronicrecords from the point of their creation to the point of their receipt

Electronic record

• Any combination of text, graphics, data, …,

• Information representation in digital form

• Created, modified, maintained, archived, retrieved, or distributed by a computer system

• Ensure integrity, authenticity, and when appropriate, the confidentiality of electronic records and to ensure that the signer cannot readily repudiate the signed record as not genuine

Aufbewahrungs-frist! Dauer?

(FDA, CFR 21, part 11)

9 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.

Zentrale Anforderungen

(DSG, Art.7, Abs. 1)

Audit trails• Secure, computer-generated,

time-stamped

• To record operator entries and actions that create, modify, or delete electronic records

• Record changes shall not obscure previously recorded information.

• Shall be retained (at least as long as that required for the subject electronic records)

• Available for review

Weitere Gesetze und VerordnungenPersonendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden.

(FDA, CFR 21, part 11, sec. 11.10)

(VDSG, Art. 8)

• Personendaten bearbeiten, Kommunikationsnetz zur Verfügung stellen

• Vertraulichkeit, Verfügbarkeit und Integrität der Daten

• Gegenwärtiger Stand der Technik

• Massnahmen periodisch überprüfen

10 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.

Geforderte Sicherheitsziele

Vertraulichkeit

Informationen sind nur autorisierten Personen, Entitäten, Prozesse, etc. zugänglich und bekannt

Integrität Authentizität (Daten und Entitäten)

Non-Repudiation

Die Richtigkeit, Komplettheit und Unveränderbarkeit von Daten über ihren ganzen Lebenszyklus hinweg sicherstellen; nicht autorisiertes Verändern von Daten wird verhindert oder festgestellt

Beweis der Rechtmässigkeit von Identitätsansprüchen oder des Ursprungs von Daten

Aktionen/Ereignisse eindeutig mit einer Person, Entität, Prozess, etc. assoziieren; nur mit vernachlässigbarer Wahrscheinlichkeit bestreitbar und «öffentlich» verifizierbar

11 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.

Zuordnung dieser Sicherheitsziele auf gesetzliche Anforderungen

Vertraulichkeit Integrität Authentizität Non-Repudiation

Security Protocols x x x

Electronic Records (x) x x

Digital Signatures x x x

Audit Trails x x x

Access Control System x x

Passwords x x

Soft- und Firmware x x x

Gute Neuigkeiten: Es gibt Lösungen zur Erreichung dieser Sicherheitsziele!

12 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.12 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.

Lösungskonzepteund Mechanismen

13 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.

Sicherheitsprotokolle

Protokoll

Ein Protokoll ist eine Abfolge von Schritten durchgeführt von zwei oder mehr Parteien.

Sicherheitsprotokoll

Ein Sicherheitsprotokoll ist ein Protokoll welches in einer nicht vertrauenswürdigen Umgebung ablaufen kann und dabei Sicherheitsziele erreicht.

Alice Bob

Vertrauenswürdige Umgebung

Alice Bob

Eve

SichererKanal

Beispiele

IPSec, TLS, HTTPS, …

Beispiele

• Ethernet, IP, TCP, HTTP, SMB, …• Feldbus-Protokolle• Protokolle über serielle Schnittstellen,

z.B. RS-232, RS-485

14 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.

Verschlüsselung für Vertraulichkeit

E D

Schlüssel k1 Schlüssel k2

Plaintext p Ciphertext c Plaintext p

Keine Rückschlüsse auf p durch einen „mächtigen Gegner“

• Dk2(Ek1(p)) = p

• und mathematisch definierte Sicherheitseigenschaften!

Symmetrische Verschlüsselung

• k1 = k2

• k1 und k2 geheim

Asymmetrische Verschlüsselung

• k1 k2

• k2 geheim

15 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.

Kryptographische Hash-Funktionen für Integrität

Eigenschaften von kryptographischen Hash-Funktionen

• Einwegfunktion, deterministisch• Gegeben h, schwer eine Nachricht d zu finden, so dass H(d) = h • Gegeben Nachricht d1, schwer ein d2 zu finden,

so dass H(d1) = H(d2)• Schwer d1, d2 (d1d2) zu finden, so dass H(d1) = H(d2)

HHash-Wert h

Fixe Länge(z.B. 64 Bytes)

Beliebige Länge

Daten d

Integritätsprüfung für Daten d

• Ausgabe von H(d) mit dem bereits bekannten Hash-Wert h von d vergleichen

Typische Representanten

• SHA, RIPEMD, …

Cyclic Redundancy Checks (CRCs) sind KEINE kryptographischen Hash-Funktionen!

16 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.

Message Authentication Codes für Integrität und Authentizität

Generiere TagS(k1, m) t

Verifiziere TagV(k2, m, t) = richtig

S

Schlüssel k1

Meldung m Meldung m, tag tV

Schlüssel k2

Richtig/falsch

Geheim!

17 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.

Authentication und Trusted Third Party für Non-Repudiation

Geheim!

TTPAlice

Schlüssel k1, k2

(Alice, k2)

Trusted Third Party (TTP)

• Identifiziert Alice

• Verifiziert Alice’s Besitz von k1

• Assoziiert k2 mit Alice

Signiere d S(k1, d) s

Alice

k1

Daten d d,sBob

k2

VerifiziereV(k2, d, s) = trueTTP(k2, Alice) = true2

1

3

BeweiseV(k2, d, s) = trueTTP(k2, Alice) = true

Bobd,s,Alice

Charly

k2 k2

18 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.18 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.

Fazit

19 Eingeschränkt verwendbar © CyOne Security AG. Alle Rechte vorbehalten.

Fazit

• Medizintechnikgeräte werden immer mehr vernetzt

• Dadurch entstehen zusätzliche Sicherheits-Anforderungen

• Diese betreffen die Entwicklung sowie den Betrieb von Medizintechnikgeräten und darüber hinaus die Aufbewahrung von Daten

• Konzepte, Mechanismen und Lösungenfür integrierte Sicherheit sind verfügbar

Security by Design !

Adrian Helfensteinadrian.helfenstein@cyone.chTelefon +41 41 748 85 00

Sichere Schweiz.Bit für Bit.

Esther Gelleesther.gelle@cyone.chTelefon +41 41 748 85 00