90. Deutscher Röntgenkongress

Transkript

1 90. Deutscher Röntgenkongress Medizintechnik in der Praxis wenn das CT Schnupfen bekommt IT-Sicherheitsaspekte vernetzter Medizintechnik IT-Sicherheitsbeauftragter des Universitätsklinikums Erlangen

2 Vorstellung und Inhalte Seite 2 Dipl. Inf. IT Sicherheitsbeauftragter h i (CISO) Universitätsklinikum Erlangen Inhalte 1. Einführung in die Problematik vernetzter medizinischer Systeme 2. Hinweise zu wichtigen Themen im Kaufgespräch mit den Herstellern 3. Hilfestellung in Form von einfachen Beispielen und Checklisten zur Lösung der Probleme e 4. Hilfestellung im Krisenfall: Wer trägt die Milj h k k l d Verantwortung, wie motiviere ich meine Vertragspartner mir zu helfen? jochen.kaiser@uk erlangen.de Mitarbeiter der DIN/DKE: DIN EN 80001

3 Seite 3 Problem #1 SCHADHAFTE SOFTWARE

4 Hoher Zuwachs an Malware Seite 4 Malware und unerwünschte Programme (PUP) (Hauptvarianten) Quelle: McAfee Viren und Bots PUP Trojaner

5 Anzahl Malware-Samples AV-Hersteller Seite 5 Quelle: McAfee

6 Einfallstore Malicious Software hochinfektiöse Software Seite 6 USB-Sticks Mitarbeiter Fehler Konfigurationsmanagement Fernwartung Surfverhalten Intersektorale Vernetzungng Mails mit Anhang Medien Patient Institutionelle Vernetzungng Laptop Service- Techniker Fehler Patch. feld mobile Nutzung (unterschiedliche Sicherheitszonen)

7 Fehlende Sicherheitsmaßnahmen Seite 7 Host-based IPS fehlt Wartungs- vertrag? Anwendungspatches fehlen Virenschutz fehlt Monokultur Betriebssysem IT-Dienstleister i t kennt MPG nicht Firewall fehlt

8 Konsequenzen für Ihr Praxis-Netzwerk Seite 8 schwindendes Vertrauen schwindende Patientensicherheit

9 Unterschied Virus zu Wurm Seite 9 Virus Auf Anwendungsebene Wurm Auf Netzwerkebene Als Anhängsel in einer Mail, Springt von System zu System Applikation Passiv: Infektion ohne Zutun des Aktives Verhalten erforderlich Nutzers möglich Netz Netz

10 Betreiberpflichten aus MPBetreibV 2 (1) Seite 10 Gesetzestext MPBetreibV 2 (1) Medizinprodukte dürfen nur ihrer Zweckbestimmung entsprechend und nach den Vorschriften dieser Verordnung, den allgemein anerkannten Regeln der Technik sowie den Arbeitsschutz- und Unfallverhütungsvorschriften errichtet, betrieben, angewendet und in Stand gehalten werden. Implizite Verknüpfungen Medizinprodukthandbuch bestimmte Normen

11 Diskussion der Verantwortung Seite 11 WP 2 color displays PACS ARCHIV Praxisnetz CT WP one color display XR Haftung Betreiber Haftung Hersteller (genaue Situation im Einzelfall klären)

12 Genauere Betrachtung der Verantwortung Prämisse: Einsatz laut Zweckbestimmung Seite 12 Wurm-Infektion Netzwerk Netzwerkanschluss = Zweckbestimmung WP 2 color displays Virus-Infektion Mail / Surfen Surfen / Mail!= Zweckbestimmung CT Infektion Virus Anschluss USB-Medien USB-Stick / CD-Rom!= Zweckbestimmung

13 Diskussion von Maßnahmen Seite 13 Gnothi seauton Netzwerkdesign Praxisnetz Kommunikation mit den Herstellern Forderungen gegenüber den IT-Dienstleistern

14 Gnothi seauton Seite 14 Kritische Verhaltensweisen abstellen Definieren Sie das Netz als Sicherheitszone (Willenserklärung!) Surfen tabu / -lesen tabu (Firewall!) Laptop sichern: Firewall, keine Daten verschlüsseln Mitarbeiter aufklären (Rechtslage, Ziele und Anforderungen) Datenschutz Datensicherheit MPG IT-Dienstleister fordern muss mittelfristig zum Integrator für Medizinprodukte werden, muss mit dem Begriff Medizinprodukte etwas anfangen können

15 Netzwerkdesign Praxisnetz Seite 15 Definieren Sie eine Sicherheitszone und Ziele Medizinprodukte sollen einwandfrei funktionieren Keine Schädlinge Datenschutz soll gewährleistet sein Technische Maßnahmen Extra Mini-PC für Patientenmedien: Virenschutz, Patches, IPS Risiko einer Infektion mit Patientenmedien wird verringert Lesen Sie in den Handbüchern der Medizinprodukte über den passenden Virenschutz Verhindern Sie unberechtigten Zugriff (Netzwerkswitch einchalten) Organisatorische Maßnahmen Netzwerkanschluss nur für Malware-freie Systeme Dienstleister, Wartungspersonal MP-Hersteller Mitarbeiter

16 Seite 16 Hinweise zu wichtigen Themen im Verkaufsgespräch mit den Herstellern Allgemeine Tipps: Gespräch nicht nur über die diagnostischen Parameter führen Besprechen Sie Ihr Netzwerk mit dem Hersteller Nennen Sie die wesentlichen Anforderungen Sicherheit, Vertrauen, Verfügbarkeit Zeigen Sie ihr Sicherheitskonzept Nehmen Sie den Hersteller in die Pflicht: Sie wollen das selbe von Ihm. Sicherheit bedeutet Stabilität Virenschutz Aktualisierungen Betriebssystem Aktualisierunen Anwendungen

17 Seite 17 Hilfestellung im Krisenfall: wie motiviere ich meine Vertragspartner/Hersteler mir zu helfen? Tipp: Bleiben Sie am Ball, Zeigen Sie Ihre Fachkenntnis Sie Sekennen e das MPG Sie haben das System zusammen mit dem MP-Hersteller im Rahmen der Zweckbindung eingebunden Sie haben nichts unerlaubtes getan, das Produkt funktioniert nicht Erklären Sie, dass Sie den Vorfall an die Bundesbehörde BfArM melden müssen Sie haben in Ihrem Netzwerk den Stand der Technik implementiert.

18 Vorstellung der ISO wird auch für Arztpraxen gelten Seite 18 Kommende Norm DIN EN (Antrag auf Harmonisierung) Definiert Haftung: Hersteller oder Betreiber Haftung für Gerät: Hersteller Haftung für Netzwerk: Betreiber Beschreibt Kommunikation Was muss Betreiber wissen Was muss Betreiber vorbereiten Was muss Hersteller wissen Was muss Hersteller vorbereiten Beschreibt Integration Risikomanagement Interaktion mit anderen Komponenten

19 Seite 19 Vielen Dank für Ihre Aufmerksamkeit! Lust auf mehr? Artikel in der aktuellen Ausgabe der Zeitschrift E-Health.com I/2009 Bitte stellen Sie doch Fragen! z.b. Krisenmanagement nach Wurm- Infektion.