In einer Zeit, in der Krankenhäuser mit lähmenden Ransomware-Angriffen konfrontiert sind und lebensrettende medizinische Geräte Cyberkriminellen zum Opfer fallen, befinden sich viele Hersteller medizinischer Geräte inmitten eines digitalen Schlachtfelds. Mit der kontinuierlichen Zunahme von Cybersecurity-Bedrohungen hat sich die behördliche Kontrolle der Cybersicherheit von Medizinprodukten weltweit rapide verschärft. Cybersicherheit ist zu einem heißen Thema in der Medizinprodukteindustrie geworden und hat eine Reihe neuer Begriffe in den täglichen Wortschatz von Produktmanagern, Entwicklungsingenieuren, Regulierungs- und Qualitätsspezialisten gebracht. Diese Begriffe erscheinen Fachleuten, die neu im Bereich der Cybersicherheit sind, oft fremd" und rätselhaft, und es ist nicht sofort klar, wie sie in etablierte Rahmenwerke für die Entwicklung von Medizinprodukten wie die ISO 14971 passen. Ein solcher Begriff ist die Bedrohungsmodellierung. Was ist eine Bedrohung der Cybersicherheit? Warum müssen wir sie modellieren? Was genau ist STRIDE, und wie wird es verwendet?
In diesem Blogbeitrag werden wir uns mit der Bedrohungsmodellierung befassen, um Klarheit zu schaffen und umsetzbare Empfehlungen zu diesem Schlüsselkonzept der Cybersicherheit von Medizinprodukten zu geben.
Eine Bedrohung der Cybersicherheit ist definiert als das Potenzial für eine Sicherheitsverletzung, die sich aus Umständen, Fähigkeiten, Handlungen oder Ereignissen ergibt, die die Sicherheit verletzen und Schäden an der Vertraulichkeit, Integrität und Verfügbarkeit von Informationswerten verursachen könnten (IEC 81001-5-1). Vereinfacht ausgedrückt handelt es sich um das, was bei Informationsgütern schief gehen könnte. Eine Sicherheitsverletzung liegt nur dann vor, wenn Schwachstellen vorhanden sind und von einem Bedrohungsakteur ausgenutzt werden. Schwachstellen sind Schwachstellen oder Fehler in einem System, einer Anwendung, einem Netzwerk oder einem Gerät, die ausgenutzt werden können, um die Vertraulichkeit, Integrität und Verfügbarkeit des Systems zu gefährden. Diese Schwachstellen können in Softwarecode, Konfigurationen, Protokollen oder sogar in menschlichen Prozessen vorhanden sein und können entweder unbeabsichtigt oder absichtlich eingeführt werden.
Was ist Bedrohungsmodellierung und warum müssen wir Bedrohungen modellieren? Welchen Nutzen haben wir davon? Die Modellierung von Bedrohungen ist ein Ansatz zur strukturierten Analyse von Bedrohungen, denen ein Gerät ausgesetzt ist, so dass mögliche Schwachstellen (oder Bugs), die mit jeder Bedrohung verbunden sind, identifiziert, aufgezählt und priorisiert werden können. Einfach ausgedrückt: Sobald wir verstehen, was schief gehen könnte (d. h. Bedrohungen), modellieren wir die Bedrohungen auf der Grundlage des Designs eines Geräts, um zu sehen, wie sich die Bedrohungen in einem Gerät und dem damit verbundenen IT-System manifestieren können. Nehmen wir zum Beispiel ein Gerät, das Bluetooth zur drahtlosen Übertragung von Gesundheitsdaten verwendet. Eine vorhersehbare Bedrohung in diesem Zusammenhang ist die Offenlegung von Gesundheitsdaten. Bei der Modellierung dieser Bedrohung stellen wir fest, dass die unverschlüsselte Bluetooth-Datenübertragung eine Schwachstelle ist, die ein Angreifer ausnutzen könnte, um diese Bedrohung zu verwirklichen. Folglich fügen wir eine Entwurfsanforderung für die Bluetooth-Datenverschlüsselung hinzu, um diese Schwachstelle und damit die Bedrohung zu entschärfen. Dieses vereinfachte Beispiel veranschaulicht, dass es bei der Bedrohungsmodellierung darum geht, den Modus Operandi von Bedrohungen innerhalb des Designs eines Geräts zu verstehen, um Schwachstellen zu identifizieren und zu beseitigen, damit die Sicherheit des Geräts gewährleistet ist.
Die nächste logische Frage lautet: Wie geht man bei der Bedrohungsmodellierung vor? Halten wir uns für eine Sekunde zurück, um einige wichtige Vorbereitungen zu treffen. Ein entscheidender Schritt vor dem Beginn einer Bedrohungsmodellierung ist eine gute Darstellung der Funktionsweise des fraglichen Geräts. Ohne dieses Verständnis wird es schwierig, Bedrohungen umfassend zu identifizieren und zu modellieren und dabei alle anfälligen Angriffsflächen, Datenflüsse und kritischen Komponenten zu berücksichtigen. Diese Darstellung sollte in einem benutzerfreundlichen Format erfolgen, da die Modellierung von Bedrohungen eine Gruppenübung ist, die die Beteiligung eines funktionsübergreifenden Teams erfordert. Eine sehr detaillierte, aber langatmige Textbeschreibung des Gerätedesigns ist möglicherweise nicht die produktivste Wahl für eine Bedrohungsmodellierungssitzung.
Eine häufig verwendete Methode zur Gerätedarstellung bei der Bedrohungsmodellierung ist das Datenflussdiagramm (DFD). Diese Methode bietet dem Bedrohungsmodellierungsteam eine effektive Möglichkeit zur Visualisierung des Geräts. Version 3 des DFD verwendet fünf einfache Symbole, mit denen der Benutzer die internen und externen Komponenten darstellen kann, die an der Funktionsweise eines Geräts beteiligt sind, wie sie interagieren (d. h. wie die Daten zwischen ihnen fließen) und ihre Vertrauensgrenzen, die imaginäre Linien sind, die die Komponenten auf der Grundlage der ihnen gewährten Vertrauensstufe trennen.
Die nachstehende Abbildung veranschaulicht die DFD eines fiktiven Geräts: ein Sensor, der einen physiologischen Parameter am Körper des Patienten misst und diesen dann an eine App auf dem Mobiltelefon des Patienten überträgt. Die Handy-App lädt die Messdaten des Patienten in ein Cloud-Speichersystem hoch, wo der Patient und sein Gesundheitsdienstleister über eine Webschnittstelle darauf zugreifen können.
Das obige DFD ist nicht vollständig, da es nicht alle möglichen Datenflüsse und Interaktionen erfasst, und die Systemkomponenten sind eher auf einer hohen Ebene als im Detail dargestellt. Dieser Detaillierungsgrad ist jedoch für den Beginn einer Bedrohungsmodellierung ausreichend. Wie viele Aspekte bei der Entwicklung von Medizinprodukten ist auch die Bedrohungsmodellierung ein iterativer Prozess. Wenn das Bedrohungsmodellierungsteam tiefer in die Identifizierung von Bedrohungen eindringt, werden zusätzliche Komponenten, Abläufe und Details in das Diagramm aufgenommen.
Mit einem funktionierenden Systemdiagramm können wir nun mit der Bedrohungsmodellierung beginnen. An dieser Stelle kommt das Konzept STRIDE ins Spiel. STRIDE steht für Spoofing, Tampering, Repudiation, InformationDisclosure, Denialof Service und Elevationof Privilege. Diese sechs Kategorien stellen gängige Arten von Bedrohungen dar, denen IT-Systeme ausgesetzt sind, ähnlich wie die Gefahren in ISO 14971 für medizinische Geräte. STRIDE wurde 1999 von Sicherheitsforschern bei Microsoft entwickelt und ist vielleicht die am weitesten verbreitete Technik zur strukturierten Bedrohungsmodellierung.
Bei der Anwendung von STRIDE sollte das Modellierungsteam das potenzielle Vorhandensein jeder der sechs Arten von Bedrohungen innerhalb des Geräts berücksichtigen. Dies kann auf verschiedene Weise geschehen, z. B. pro Element, pro Datenfluss, pro Interaktion, pro Arbeitsablauf/Nutzungsfall oder pro Überschreitung der Vertrauensgrenze. Für die erste Iteration der Bedrohungsmodellierung für das fiktive Gerät werden wir den STRIDE-Ansatz pro Grenzüberschreitung verwenden. Diese Methode ermöglicht es uns, uns auf verwundbare Angriffsflächen zu konzentrieren, während wir die internen Komplexitäten innerhalb einer Vertrauensgrenze vorübergehend außer Acht lassen.
In der nachstehenden Tabelle sind mehrere Bedrohungen aufgeführt, die für Datenflüsse identifiziert wurden, die Vertrauensgrenzen in dem fiktiven Gerät überschreiten, wie im DFD oben nach der ersten Brainstorming-Runde in einer Bedrohungsmodellierungssitzung dargestellt. In der ersten Tabelle sind die Bedrohungen für jeden grenzüberschreitenden Datenfluss nach den STRIDE-Kategorien geordnet. Die folgende Tabelle enthält Beschreibungen für jede Bedrohung.
Es ist wichtig zu beachten, dass die Beschreibungen der einzelnen Bedrohungen sehr allgemein gehalten sein können und keine technischen Details enthalten. Dies ist häufig der Fall bei Bedrohungsmodellen nach einer ersten Modellierungsrunde oder in den frühen Stadien des F&E-Prozesses, wenn nur wenige Informationen zur Verfügung stehen. Dies zeigt, dass weitere Analysen erforderlich sind, um diese Bedrohungsmodelle mit identifizierten Schwachstellen zu untermauern. Bei einem bereits entworfenen Gerät sollten die relevanten Elemente im DFD für weitere Analysen erweitert werden. Bei einem Gerät, das sich noch in der Entwurfsphase befindet, sollte die Bedrohungsmodellierung wiederholt werden, um neue Entwurfsdetails einzubeziehen, sobald diese verfügbar sind, und die abgeleiteten Bedrohungsinformationen sollten wieder in den Entwurfsprozess einfließen, um etwaige Schwachstellen zu beheben oder zu verhindern.
Die Modellierung von Bedrohungen ist ein iterativer Prozess, der während des gesamten Lebenszyklus eines Geräts fortgesetzt werden sollte. Bei jeder Iteration werden zusätzliche Informationen berücksichtigt, z. B. neue Konstruktionsdetails, Konstruktionsänderungen und neu entdeckte Schwachstellen aus verschiedenen Quellen wie Penetrationstests, Überwachung nach der Markteinführung sowie öffentliche Bedrohungsdatenbanken und Schwachstellendatenbanken. Darüber hinaus können Bedrohungsmodelle durch die Verwendung zusätzlicher Modellierungsmethoden verbessert werden, die unterschiedliche Perspektiven auf eine bestimmte Bedrohung bieten.
So können beispielsweise Angriffsbäume zur Ergänzung von STRIDE verwendet werden, indem mehrere Angriffsvektoren untersucht, die Ausnutzbarkeit von Schwachstellen bewertet und risikoreiche Komponenten oder Arbeitsabläufe analysiert werden. In ähnlicher Weise wird die Cyber Kill Chain häufig zusammen mit STRIDE verwendet, um den gesamten Lebenszyklus potenzieller Angriffe zu verstehen, insbesondere bei fortschrittlichen, dauerhaften Bedrohungen, die auf Geräte abzielen, und um Bedrohungen durch hochentwickelte Bedrohungsakteure zu analysieren, die möglicherweise mehrstufige Angriffe einsetzen.
Die Bedrohungsmodellierung endet nicht mit der Identifizierung von Bedrohungen und den damit verbundenen Schwachstellen. In der nächsten Folge dieser Cybersicherheitsreihe werden wir uns mit den entscheidenden nächsten Schritten im Prozess der Bedrohungsmodellierung befassen: Bewertung und Priorisierung der identifizierten Bedrohungen und Schwachstellen sowie Integration der Bedrohungsinformationen in das Risikomanagementsystem eines Geräts. Bleiben Sie dran, wenn wir unsere kleine Einführungsreise in die Welt der Cybersicherheit für Medizinprodukte fortsetzen.
Weitere Informationen über Methoden zur Bedrohungsmodellierung und ihre Anwendung bei der Entwicklung von Medizinprodukten finden Sie im Playbook for Threat Modeling Medical Devices, das von der MITRE-Organisation mit Unterstützung der US-FDA erstellt wurde.
Wie kann Qserve helfen?
Qserve verfügt über ein internationales Team von Experten in verschiedenen technischen Bereichen der Medizinprodukteindustrie, darunter ein engagiertes Team von SaMD-Experten mit umfassender globaler RA/QA-Erfahrung, das Ihnen praktische Unterstützung in den Bereichen Cybersicherheit, künstliche Intelligenz und Softwaredesign bieten kann. Wenden Sie sich noch heute an uns, um zu erfahren, wie wir Ihr Unternehmen dabei unterstützen können, die Produktentwicklung zu beschleunigen, die Einreichung von Zulassungsanträgen zu rationalisieren und die Einhaltung der sich entwickelnden Cybersicherheitsanforderungen zu gewährleisten.