Viele Hersteller von Medizinprodukten befinden sich inmitten eines digitalen Schlachtfelds, in dem Krankenhäuser durch Ransomware-Angriffe lahmgelegt werden und lebensrettende Medizinprodukte ins Visier von Cyberkriminellen geraten. Angesichts der ständig wachsenden Bedrohungen im Bereich der Cybersicherheit nehmen die regulatorischen Anforderungen an die Cybersicherheit von Medizinprodukten weltweit rapide zu. Cybersicherheit ist zu einem heißen Thema in der Medizinprodukteindustrie geworden und bringt eine Vielzahl neuer Begriffe in das tägliche Vokabular von Produktmanagern, Entwicklungsingenieuren sowie Regulierungs- und Qualitätsspezialisten. Diese Begriffe erscheinen Fachleuten, die neu auf dem Gebiet der Cybersicherheit sind, oft „fremd“ und geheimnisvoll, und es ist nicht sofort klar, wie sie in etablierte Entwicklungsrahmen für Medizinprodukte wie der ISO 14971 passen. Einer dieser Begriffe ist Threat Modeling. Was ist eine Cyber-Sicherheitsbedrohung? Warum müssen wir sie modellieren? Was genau ist STRIDE und wie verwenden wir es?
In diesem Blogbeitrag werden wir uns mit der Modellierung von Bedrohungen befassen, um Klarheit und umsetzbare Empfehlungen zu diesem Schlüsselkonzept der Cybersicherheit für Medizinprodukte zu bieten.
Bedrohungen der Cybersicherheit von Medizinprodukten und ihre Beziehung zu Schwachstellen verstehen
Eine Bedrohung der Cyber-Sicherheit ist definiert als das Potenzial für eine Sicherheitsverletzung, die sich aus Umständen, Fähigkeiten, Handlungen oder Ereignissen ergibt, die die Sicherheit gefährden und Schaden an der Vertraulichkeit, Integrität und Verfügbarkeit von Informationswerten verursachen können (IEC 81001-5-1). Einfacher ausgedrückt geht es darum, was mit Informationswerten schief gehen kann. Eine Sicherheitsverletzung tritt nur dann auf, wenn Schwachstellen vorhanden sind und von einem Bedrohungsakteur ausgenutzt werden. Schwachstellen sind Schwächen oder Mängel in einem System, einer Anwendung, einem Netzwerk oder einem Gerät, die ausgenutzt werden können, um die Vertraulichkeit, Integrität und Verfügbarkeit des Systems zu gefährden. Diese Schwachstellen können im Softwarecode, in Konfigurationen, Protokollen oder sogar in menschlichen Prozessen vorhanden sein und entweder unbeabsichtigt oder absichtlich eingeführt werden.
Die Bedeutung von Threat Modeling für die Cyber-Sicherheit von Medizinprodukten
Was ist Threat Modeling und warum müssen wir Bedrohungen modellieren? Was gewinnen wir dadurch? Threat Modeling ist ein Ansatz zur strukturierten Analyse von Bedrohungen, denen ein Produkt ausgesetzt ist, um mögliche Schwachstellen (oder Fehler) in Bezug auf jede Bedrohung zu identifizieren, aufzulisten und zu priorisieren. Einfach ausgedrückt: Sobald wir verstehen, was schief gehen kann (d. h. Bedrohungen), modellieren wir diese Bedrohungen auf der Grundlage des Designs eines Produktess, um zu sehen, wie sich Bedrohungen in einem Produkt und dem damit verbundenen IT-System manifestieren können. Ein Beispiel: Ein Produkt, das Bluetooth verwendet, um Gesundheitsdaten drahtlos zu übertragen. Eine vorhersehbare Bedrohung in diesem Zusammenhang ist die Offenlegung von Gesundheitsdaten. Bei der Modellierung dieser Bedrohung stellen wir fest, dass eine unverschlüsselte Bluetooth-Datenübertragung eine Schwachstelle darstellt, die ein Angreifer ausnutzen könnte, um diese Bedrohung auszuführen. Daher fügen wir eine Designanforderung für die Verschlüsselung von Bluetooth-Daten hinzu, um diese Schwachstelle und damit die Bedrohung zu reduzieren. Dieses vereinfachte Beispiel zeigt, dass es beim Threat Modeling darum geht, zu verstehen, wie Bedrohungen in das Design eines Produktes eingreifen, und Schwachstellen zu identifizieren und zu beheben, um die Sicherheit und den Schutz des Produktes zu gewährleisten.
Vorbereitungen: Darstellung der Produktfunktionen
Die nächste logische Frage ist, wie wir die Gefahrenmodellierung durchführen. Ein entscheidender Schritt vor Beginn einer Gefahrenmodellierungsübung ist eine gute Darstellung der Funktionsweise des betreffenden Produktes. Ohne dieses Verständnis ist es schwierig, Bedrohungen umfassend zu identifizieren und zu modellieren, wobei alle verwundbaren Angriffsflächen, Datenströme und kritischen Komponenten berücksichtigt werden müssen. Diese Darstellung sollte in einem leicht verständlichen Format erfolgen, da die Bedrohungsmodellierung eine Gruppenaufgabe ist, die die Beteiligung eines funktionsübergreifenden Teams erfordert. Eine sehr detaillierte, aber lange Textbeschreibung des Produktdesigns ist möglicherweise nicht die produktivste Wahl für eine Bedrohungsmodellierungssitzung.
Eine häufig verwendete Methode zur Darstellung des Produkts im Threat Modeling ist das Data Flow Diagram (DFD). Diese Methode bietet dem Threat Modeling Team eine effektive Möglichkeit, das Produkt zu visualisieren. Version 3 des DFD verwendet fünf einfache Symbole, um dem Benutzer die internen und externen Komponenten, die an der Funktion eines Produkts beteiligt sind, ihre Interaktion (d. h. den Datenfluss zwischen ihnen) und ihre Vertrauensgrenzen, d. h. imaginäre Linien, die die Komponenten auf der Grundlage des ihnen zugewiesenen Vertrauensniveaus voneinander trennen, zu veranschaulichen.
Das folgende Diagramm veranschaulicht das DFD eines fiktiven Produkts: ein Sensor, der einen physiologischen Parameter im Körper des Patienten misst und ihn dann an eine Anwendung auf dem Mobiltelefon des Patienten überträgt. Die mobile Anwendung lädt die Messdaten des Patienten in ein Cloud-Speichersystem hoch, auf das der Patient und sein Gesundheitsdienstleister über eine Webschnittstelle zugreifen können.
Das obige DFD ist nicht vollständig, da es nicht alle möglichen Datenflüsse und Interaktionen abdeckt und die Systemkomponenten übergeordnet und nicht detailliert darstellt. Der Detaillierungsgrad ist jedoch ausreichend, um mit dem Threat Modeling zu beginnen. Wie viele Aspekte der Entwicklung von Medizinprodukten ist auch das Threat Modeling ein iterativer Prozess. Während das Threat Modeling Team die Bedrohungsidentifikation vertieft, werden dem Diagramm zusätzliche Komponenten, Ströme und Details hinzugefügt..
Einführung von STRIDE in das Threat Modeling
Mit einem funktionierenden Systemdiagramm können wir nun mit dem Threat Modeling beginnen. An dieser Stelle kommt das Konzept STRIDE ins Spiel. STRIDE steht für Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service und Elevation of Privilege. Diese sechs Kategorien repräsentieren gängige Bedrohungsarten, denen IT-Systeme ausgesetzt sind, ähnlich den Bedrohungen in ISO 14971 für Medizinprodukte. STRIDE wurde 1999 von Sicherheitsforschern bei Microsoft entwickelt und ist die wohl am weitesten verbreitete strukturierte Modellierungstechnik für Bedrohungen.
Bei der Anwendung von STRIDE sollte das Modellierungsteam das mögliche Vorhandensein jeder der sechs Bedrohungsarten im Produkt berücksichtigen. Dies kann auf verschiedene Weise geschehen, z.B. pro Element, pro Datenfluss, pro Interaktion, pro Workflow/Use Case oder pro Überschreitung einer Vertrauensschwelle. Für die initiale Threat Modeling-Iteration für das fiktive Produkt verwenden wir den STRIDE-Ansatz pro Überschreitung einer Vertrauensschwelle. Diese Methode ermöglicht es uns, uns auf die verwundbaren Angriffsflächen zu konzentrieren, während wir die internen Komplexitäten innerhalb einer Vertrauensschwelle vorübergehend vernachlässigen.
Die folgende Tabelle listet eine Reihe von Bedrohungen auf, die nach dem anfänglichen Brainstorming in einer Threat Modeling-Sitzung für Datenflüsse identifiziert wurden, die Vertrauensgrenzen im fiktiven Produkt überschreiten. Die erste Tabelle listet die Bedrohungen für jeden grenzüberschreitenden Datenfluss gemäß den STRIDE-Kategorien auf. Die folgende Tabelle enthält Beschreibungen für jede Bedrohung.
Es ist wichtig zu beachten, dass die Beschreibung jeder Bedrohung allgemein und ohne technische Details sein kann. Dies ist häufig bei Bedrohungsmodellen der Fall, die nach einer ersten Modellierungsrunde oder in frühen Stadien des FuE-Prozesses erstellt werden, wenn nur begrenzte Informationen über das Design vorliegen. Dies deutet darauf hin, dass weitere Analysen erforderlich sind, um diese Bedrohungsmodelle mit identifizierten Schwachstellen zu untermauern. Für ein bereits entworfenes Produkt sollten relevante Elemente im DFD für eine weitere Analyse erweitert werden. Für ein Produkt, das sich noch in der Entwurfsphase befindet, sollte die Bedrohungsmodellierung wiederholt werden, um neue Entwurfsdetails zu integrieren, sobald diese verfügbar sind, und die abgeleiteten Bedrohungsinformationen sollten in den Entwurfsprozess zurückgeführt werden, um Schwachstellen zu beheben oder zu verhindern.
Der fortlaufende Prozess des Threat Modeling und die nächsten Schritte
Threat Modeling ist ein iterativer Prozess, der während des gesamten Lebenszyklus eines Geräts fortgesetzt werden sollte. In jede Iteration fließen zusätzliche Informationen ein, wie z. B. neue Konstruktionsdetails, Konstruktionsänderungen und neu entdeckte Schwachstellen, die aus verschiedenen Quellen wie Penetrationstests, Marktüberwachung und öffentlichen Sammlungen von Bedrohungen und Schwachstellendatenbanken stammen. Darüber hinaus können Bedrohungsmodelle durch den Einsatz zusätzlicher Modellierungsmethoden verbessert werden, die unterschiedliche Perspektiven auf eine bestimmte Bedrohung bieten.
Beispielsweise können Angriffsbäume als Ergänzung zu STRIDE verwendet werden, um mehrere Angriffsvektoren zu untersuchen, die Ausnutzbarkeit von Schwachstellen zu bewerten und Komponenten oder Arbeitsabläufe mit hohem Risiko zu analysieren. In ähnlicher Weise wird die Cyber-Kill-Chain häufig in Verbindung mit STRIDE verwendet, um den gesamten Lebenszyklus potenzieller Angriffe zu verstehen, insbesondere im Hinblick auf hochentwickelte, hartnäckige Bedrohungen, die auf Produkte abzielen, und um Bedrohungen zu analysieren, die von hochentwickelten Bedrohungsakteuren ausgehen, die mehrstufige Angriffe durchführen könnten.
Threat Modeling endet nicht mit der Identifizierung von Bedrohungen und den damit verbundenen Schwachstellen. In der nächsten Episode dieser Serie über Cybersicherheit werden wir uns mit den nächsten wichtigen Schritten des Threat Modeling Prozesses befassen: Die Bewertung und Priorisierung der identifizierten Bedrohungen und Schwachstellen und die Integration der Bedrohungsinformationen in das Risikomanagementsystem einer Organisation. In der nächsten Ausgabe werden wir unseren kleinen Ausflug in die Welt der Cyber-Sicherheit für Medizinprodukte fortsetzen.
Weitere Informationen zu Threat Modeling Methoden und deren Anwendung bei der Entwicklung von Medizinprodukten finden Sie im Playbook for Threat Modeling Medical Devices, das von der MITRE Organisation mit Unterstützung der US FDA erstellt wurde.
Wie kann Qserve helfen?
Qserve verfügt über ein internationales Team von Experten in verschiedenen technischen Bereichen der Medizinprodukteindustrie, einschließlich eines dedizierten Teams von SaMD-Experten mit umfassender globaler RA/QA-Erfahrung, die Ihnen praktische Unterstützung in den Bereichen Cybersicherheit, künstliche Intelligenz und Softwaredesign bieten können. Wenden Sie sich noch heute an uns, um zu erfahren, wie wir Ihr Unternehmen dabei unterstützen können, die Produktentwicklung zu beschleunigen, regulatorische Einreichungen zu rationalisieren und die Einhaltung der sich ständig weiterentwickelnden Cybersicherheitsanforderungen zu gewährleisten.