90. Deutscher Röntgenkongress 20.5-23.5.2009 23 5 2009 Medizintechnik in der Praxis wenn das CT Schnupfen bekommt IT-Sicherheitsaspekte vernetzter Medizintechnik 20.5.2009 IT-Sicherheitsbeauftragter des Universitätsklinikums Erlangen
Vorstellung und Inhalte Seite 2 Dipl. Inf. IT Sicherheitsbeauftragter h i (CISO) Universitätsklinikum Erlangen 09131 85.36205 Inhalte 1. Einführung in die Problematik vernetzter medizinischer Systeme 2. Hinweise zu wichtigen Themen im Kaufgespräch mit den Herstellern 3. Hilfestellung in Form von einfachen Beispielen und Checklisten zur Lösung der Probleme e 4. Hilfestellung im Krisenfall: Wer trägt die Milj h k i @ k l d Verantwortung, wie motiviere ich meine Vertragspartner mir zu helfen? email: jochen.kaiser@uk erlangen.de Mitarbeiter der DIN/DKE: DIN EN 80001
Seite 3 Problem #1 SCHADHAFTE SOFTWARE
Hoher Zuwachs an Malware Seite 4 Malware und unerwünschte Programme (PUP) (Hauptvarianten) 2 200 000 2 000 000 1 800 000 1 600 000 1 400 000 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 Quelle: McAfee Viren und Bots PUP Trojaner
Anzahl Malware-Samples AV-Hersteller Seite 5 Quelle: McAfee
Einfallstore Malicious Software hochinfektiöse Software Seite 6 USB-Sticks Mitarbeiter Fehler Konfigurationsmanagement Fernwartung Surfverhalten Intersektorale Vernetzungng Mails mit Anhang Medien Patient Institutionelle Vernetzungng Laptop Service- Techniker Fehler Patch. feld mobile Nutzung (unterschiedliche Sicherheitszonen)
Fehlende Sicherheitsmaßnahmen Seite 7 Host-based IPS fehlt Wartungs- vertrag? Anwendungspatches fehlen Virenschutz fehlt Monokultur Betriebssysem IT-Dienstleister i t kennt MPG nicht Firewall fehlt
Konsequenzen für Ihr Praxis-Netzwerk Seite 8 schwindendes Vertrauen schwindende Patientensicherheit
Unterschied Virus zu Wurm Seite 9 Virus Auf Anwendungsebene Wurm Auf Netzwerkebene Als Anhängsel in einer Mail, Springt von System zu System Applikation Passiv: Infektion ohne Zutun des Aktives Verhalten erforderlich Nutzers möglich Netz Netz
Betreiberpflichten aus MPBetreibV 2 (1) Seite 10 Gesetzestext MPBetreibV 2 (1) Medizinprodukte dürfen nur ihrer Zweckbestimmung entsprechend und nach den Vorschriften dieser Verordnung, den allgemein anerkannten Regeln der Technik sowie den Arbeitsschutz- und Unfallverhütungsvorschriften errichtet, betrieben, angewendet und in Stand gehalten werden. Implizite Verknüpfungen Medizinprodukthandbuch bestimmte Normen
Diskussion der Verantwortung Seite 11 WP 2 color displays PACS ARCHIV Praxisnetz CT WP one color display XR Haftung Betreiber Haftung Hersteller (genaue Situation im Einzelfall klären)
Genauere Betrachtung der Verantwortung Prämisse: Einsatz laut Zweckbestimmung Seite 12 Wurm-Infektion Netzwerk Netzwerkanschluss = Zweckbestimmung WP 2 color displays Virus-Infektion Mail / Surfen Surfen / Mail!= Zweckbestimmung CT Infektion Virus Anschluss USB-Medien USB-Stick / CD-Rom!= Zweckbestimmung
Diskussion von Maßnahmen Seite 13 Gnothi seauton Netzwerkdesign Praxisnetz Kommunikation mit den Herstellern Forderungen gegenüber den IT-Dienstleistern
Gnothi seauton Seite 14 Kritische Verhaltensweisen abstellen Definieren Sie das Netz als Sicherheitszone (Willenserklärung!) Surfen tabu / E-Mail-lesen tabu (Firewall!) Laptop sichern: Firewall, keine E-Mail Daten verschlüsseln Mitarbeiter aufklären (Rechtslage, Ziele und Anforderungen) Datenschutz Datensicherheit MPG IT-Dienstleister fordern muss mittelfristig zum Integrator für Medizinprodukte werden, muss mit dem Begriff Medizinprodukte etwas anfangen können
Netzwerkdesign Praxisnetz Seite 15 Definieren Sie eine Sicherheitszone und Ziele Medizinprodukte sollen einwandfrei funktionieren Keine Schädlinge Datenschutz soll gewährleistet sein Technische Maßnahmen Extra Mini-PC für Patientenmedien: Virenschutz, Patches, IPS Risiko einer Infektion mit Patientenmedien wird verringert Lesen Sie in den Handbüchern der Medizinprodukte über den passenden Virenschutz Verhindern Sie unberechtigten Zugriff (Netzwerkswitch einchalten) Organisatorische Maßnahmen Netzwerkanschluss nur für Malware-freie Systeme Dienstleister, Wartungspersonal MP-Hersteller Mitarbeiter
Seite 16 Hinweise zu wichtigen Themen im Verkaufsgespräch mit den Herstellern Allgemeine Tipps: Gespräch nicht nur über die diagnostischen Parameter führen Besprechen Sie Ihr Netzwerk mit dem Hersteller Nennen Sie die wesentlichen Anforderungen Sicherheit, Vertrauen, Verfügbarkeit Zeigen Sie ihr Sicherheitskonzept Nehmen Sie den Hersteller in die Pflicht: Sie wollen das selbe von Ihm. Sicherheit bedeutet Stabilität Virenschutz Aktualisierungen Betriebssystem Aktualisierunen Anwendungen
Seite 17 Hilfestellung im Krisenfall: wie motiviere ich meine Vertragspartner/Hersteler mir zu helfen? Tipp: Bleiben Sie am Ball, Zeigen Sie Ihre Fachkenntnis Sie Sekennen e das MPG Sie haben das System zusammen mit dem MP-Hersteller im Rahmen der Zweckbindung eingebunden Sie haben nichts unerlaubtes getan, das Produkt funktioniert nicht Erklären Sie, dass Sie den Vorfall an die Bundesbehörde BfArM melden müssen Sie haben in Ihrem Netzwerk den Stand der Technik implementiert.
Vorstellung der ISO 80001 wird auch für Arztpraxen gelten Seite 18 Kommende Norm DIN EN 80001 (Antrag auf Harmonisierung) Definiert Haftung: Hersteller oder Betreiber Haftung für Gerät: Hersteller Haftung für Netzwerk: Betreiber Beschreibt Kommunikation Was muss Betreiber wissen Was muss Betreiber vorbereiten Was muss Hersteller wissen Was muss Hersteller vorbereiten Beschreibt Integration Risikomanagement Interaktion mit anderen Komponenten
Seite 19 Vielen Dank für Ihre Aufmerksamkeit! Lust auf mehr? Artikel in der aktuellen Ausgabe der Zeitschrift E-Health.com I/2009 Bitte stellen Sie doch Fragen! z.b. Krisenmanagement nach Wurm- Infektion.