Medisinteknisk utstyr er i økende grad en del av (tingenes) internett, og nye regulatoriske krav fra EU (MDR) og USA (FDA) er nå eksplisitte på at sikkerhet (og ikke bare trygghet) må bygges inn fra starten. I EU har veiledningen MDCG 2019-16 vært tilgjengelig i 3 år, men det er ting som tyder på at den har forbedringspotensial – den er kanskje for generisk, og for lite konkret for spesielt små produsenter. Mange har uttrykt et ønske om enklere, steg-for-steg veiledning for å senke terskelen til dette markedet i Europa og USA.
Ofte møter vi i dette domenet en vanskelig avveining mellom datasikkerhet, personvern og medisinsk etikk – f.eks., isolert sett kan pasienten kanskje maksimere sannsynligheten for best medisinsk behandling ved å dele absolutt all personlig informasjon med sykehuset, men da ender man vanligvis opp med å dele for mye informasjon, noe som er ugunstig for personvernet.
Risikoanalyse iht. ISO 14971 er fokusert på klinisk risiko og klinisk nytte, men i liten grad på datasikkerhet. På den annen side fokuserer datasikkerhetsstandardene ISO/IEC 27001 og ISO/IEC 27005 på virksomheten, mens medisinsk teknologi er ofte virksomhets-overskridende. Risikovurderinger er tradisjonelt statiske, men trusselbildet er dynamisk, så her er det rom for forbedring.
Eksperter har lenge mast om viktigheten av å bygge inn sikkerhet, men utviklere (spesielt i mindre virksomheter) vet enten ikke om det, eller klarer ikke å prioritere sikkerhet over funksjonalitet (ettersom funksjonalitet er det kunden vanligvis fokuserer på). Vi har i mange år jobbet med forskjellige aktiviteter som er egnet til å forbedre sikkerheten i programvare, og blant disse er trusselmodellering en aktivitet som fremheves både av MDCG og FDA, men dette gjøres etter vår erfaring kun i liten grad i mindre virksomheter.
Mye helseteknologi er basert på IoT-teknologi med begrensede ressurser (prosesseringskraft, minne, batterikapasitet), og dette gjør det ekstra viktig å avdekke sikkerhetsbehovet på et tidlig stadium, for å unngå at man investerer store beløp på maskinvarekomponenter som ikke er i stand til å (f.eks.) kjøre krypteringsalgoritmer med tilstrekkelig nøkkellengde. Der hvor intet er, har selv keiseren tapt sin rett!
Denne uken hadde vi oppstartsmøte i EU-prosjektet NEMECYS som i tillegg til å komme med anbefalinger til forbedringer i veiledningen MDCG 2019-16, også skal utvikle verktøykasser for tre interessentgrupper (utstyrsprodusenter, integratorer og helseaktører som sykehus). I alle tre verktøykassene skal vi lage varianter av et nytt risikovurderingsverktøy som balanserer datasikkerhet mot klinisk nytte. Dette verktøyet vil ta utgangspunkt i to eksisterende verktøy – CORAS (fra SINTEF) og System Security Modeler (fra University of Southampton).
I verktøykassen for utstyrsprodusenter vil vi dessuten lage et hjelpemiddel for å hjelpe spesielt små produsenter med å avklare hvilke konkrete tiltak de må gjøre for å etterleve regulatoriske krav i et gitt marked. I tillegg kommer vi til å fylle på med mye eksisterende god praksis i verktøykassene; både ting vi har utviklet selv i tidligere prosjekter, og ting som er fritt tilgjengelige. Av egne ting kan vi nevne en sjekkliste for IoT-sikkerhet, og tekniker for fuzzing av kommunikasjonsenheter (5G). Vi har gjennom de siste årene også opparbeidet oss en del erfaring i trusselmodellering og bruk av Microsofts fritt tilgjengelige Threat Modeling Tool (det finnes også et alternativ fra OWASP kalt Threat Dragon som kan brukes av de som benytter seg av andre operativsystem enn Windows).
I prosjektsøknaden har vi angitt et sett av kjerneverktøy som vi har forpliktet oss til å utvikle, men vi regner med at det også blir rom for å utvikle andre verktøy, for å ha noe å strekke oss etter. Vi har noen ideer allerede:
- Et verktøy for å lettere opprette og etterspore en Software Bill of Materials (SBOM)
- En virtualiseringsplattform for testing av programvaren til IoT-enheter
- Spesifisering av et subsett av BSIMM som er spesielt relevant for produsenter av medisinsk utstyr
NEMECYS ledes av Karin Bernsmed, og vi har med oss partnere fra Norge, Storbritannia, Spania, Hellas, Italia, Israel og Sveits. Prosjektet løper til desember 2025, og mer informasjon havner på nettsiden ganske snart: http://nemecys.eu