Cybersicherheitsexperten erforschen, wie man medizinische Geräte sicher hält und in Krankenhausnetzwerken kommuniziert

Cybersicherheitsexperten erforschen, wie man medizinische Geräte sicher hält und in Krankenhausnetzwerken kommuniziert
Cybersicherheitsexperten erforschen, wie man medizinische Geräte sicher hält und in Krankenhausnetzwerken kommuniziert
Anonim

Was wäre, wenn Sie mehrere Notaufnahmen gleichzeitig schließen könnten, ohne Ihr eigenes Zuhause zu verlassen? Wie wäre es, einen Herzschrittmacher zu hacken und ihn neu zu programmieren, um einen Herzinfarkt auszulösen?

Obwohl dies Szenen aus einem Spionagefilm sein könnten, gehören sie auch zu den plausiblen Szenarien, an deren Verhinderung Cybersicherheitsexperten der Kansas State University arbeiten.

Eugene Vasserman, Assistenzprofessor; John Hatcliff, angesehener Universitätsprofessor; Dan Andresen, außerordentlicher Professor – alle in Computer- und Informationswissenschaften – und ihre Partner in Industrie- und Regulierungsbehörden entwickeln die Theorie und Software, die für den sicheren Betrieb elektronischer medizinischer Geräte der nächsten Generation erforderlich sind, die sicher, interoperabel und vernetzt sein werden.Das Team der Kansas State University ist eines der ersten, das eine solche Infrastruktur entwickelt.

Das Team wurde kürzlich von der National Science Foundation mit mehr als 482.000 US-Dollar in einem Stipendium mit dem Titel "Security, Privacy and Trust for Systems of Coordinating Medical Devices" ausgezeichnet. Forscher verwenden die Mittel, um zu evaluieren, wie ein flexibles, aber standardisiertes und sicheres Kommunikationsnetzwerk für medizinische Geräte – wie Pulsoximeter, Schrittmacher und CT-Scanner – entwickelt werden kann, das überall von einer kleinen Arztpraxis bis zu einem Krankenhaus mit mehreren Standorten funktionieren würde.

Laut Vasserman könnten medizinische Geräte im Netzwerk miteinander kommunizieren, um die Gesundheit eines Patienten zu überwachen und zu begründen. Dies wird Ärzten helfen, Patienten umfassender zu betreuen. Beispielsweise könnte ein Pulsoximeter automatisch eine Messung vornehmen, sobald eine Infusionspumpe mit der Medikamentenabgabe beginnt, und lokal und aus der Ferne einen Medikamentenüberdosierungsalarm auslösen, falls die Infusionspumpe versagt oder das Medikament den Patienten beeinträchtigt.Das System könnte auch verwendet werden, um Fehlalarme zu unterdrücken, die das Pflegepersonal von kritischen Aufgaben ablenken könnten.

Mit zunehmender Komplexität medizinischer Geräte und deren Interaktionen werden Sicherheitsprobleme immer schwieriger.

"Sie können sich Sicherheit in Bezug auf einzelne Geräte vorstellen, aber das reicht nicht", sagte Vasserman. „Die Gesundheit und Sicherheit der Patienten stehen im Vordergrund, und fehlerhafte Geräte können Patienten schaden. Aber sobald Geräte zur automatisierten Steuerung integriert werden, wird die Sicherheit des Geräts eines Einzelnen weniger wichtig als die Sicherheit des gesamten vernetzten medizinischen Systems, das es jetzt umfasst andere Geräte."

Eine der Lösungen, die das Team entwickelt, ist eine spezialisierte sicherheitskritische Software oder Middleware, die als digitaler Türsteher zwischen medizinischen Geräten fungiert. Es ermöglicht Geräten die Kommunikation, gewährleistet aber, dass dies sicher geschieht. Wenn Geräte versuchen, entweder drahtlos oder über ein kabelgebundenes Netzwerk zu kommunizieren, würde die Middleware den Zugriff nur gewähren, nachdem überprüft wurde, ob die Geräte vom Hersteller zertifiziert sind und die erforderlichen Sicherheitsprotokolle unterstützen.Wenn ein Gerät eine der Prüfungen nicht besteht, kann es entweder nicht interagieren oder darf nur eingeschränkt betrieben werden.

In ähnlicher Weise untersuchen Forscher, wie man Geräten dabei helfen kann, zu überlegen, was zu tun ist, wenn während der Kommunikation oder während der Überwachung der Gesundheit eines Patienten ein Problem erkannt wird – auch wenn das Problem im Argumentationsrahmen selbst liegt.

Da die Komponenten eines Geräts ausfallen und falsche Messwerte liefern könnten oder die Sicherheit eines Geräts kompromittiert und virtuell entführt werden könnte, müssen auch Hardware- und Software-Sicherheitsüberschreibungen entwickelt werden. Sicherheitsüberschreibungen sind besonders wichtig für das, was Vasserman als Break-Glass-Szenario bezeichnet.

"Das sind medizinische Situationen, die mit dem Zerbrechen eines Glasbehälters vergleichbar sind, um an einen Feuerlöscher zu gelangen. Es handelt sich um einen Notfall. Es muss also einen Mechanismus geben, der dem Gerät sagt: „Stopp. Sie können damit nicht umgehen; a menschlicher Kliniker muss übernehmen‘“, sagte Vasserman. „Sie wollen sicher sein, dass die Patienten immer noch in Sicherheit sind, wenn irgendetwas und alles fehlschlägt.Das ist wirklich das Hauptanliegen."

Forscher erstellen auch eine Reihe von Entwicklertools, um Medizingeräteherstellern dabei zu helfen, sichere Geräte zu entwickeln. Hersteller könnten dieses Toolset verwenden, um Software für ihre Geräte zu erstellen, ohne viel über Cybersicherheit wissen zu müssen. Die Entwicklungsumgebung würde – ähnlich wie bei Software-Entwicklungskits für Smartphones und Tablets – automatisch relevante sicherheitskritische Funktionen für das Gerät generieren, damit es innerhalb der etablierten Middleware-Umgebung und des Netzwerks laufen kann.

"So ironisch es auch klingen mag, ich stelle mir so etwas wie einen animierten Assistenten wie Clippy vor, der in der Softwareentwicklungsumgebung auftaucht und sagt: 'Es sieht so aus, als würdest du versuchen, eine medizinisches Gerät. Möchten Sie, dass ich dem Gerät Vertraulichkeit und Authentizität für Sie hinzufüge?'“, sagte Vasserman. „Das Endprodukt wird raffinierter sein als eine riesige sprechende Büroklammer, aber die Idee ist die gleiche: Machen Sie es einfach und standardmäßig sicher."

Die Cybersicherheit medizinischer Geräte wurde 2008 vor allem durch eine wissenschaftliche Arbeit über die Anfälligkeit von Herzschrittmachern ins öffentliche Bewusstsein gerückt. Obwohl die Schemata oder Kommunikationsprotokolle von Herzschrittmachern keine öffentlichen Informationen sind, verwendeten die Autoren des Papiers tatsächliche Geräte, um experimentell die Sicherheitslücken aufzuzeigen, die heimlich ausgenutzt werden könnten.

Das Projekt des Teams der Kansas State University zur Bewertung und Entwicklung von Sicherheitsprotokollen und eines Sicherheitsrahmens für medizinische Geräte stammt aus dem Softwareprojekt Medical Device Coordination Framework (MDCF) von Hatcliff. Das Projekt, das größtenteils von der National Science Foundation mit zusätzlicher Unterstützung der National Institutes of He alth finanziert wird, arbeitet daran, eine standardkonforme Open-Source-Softwareplattform für interoperable medizinische Geräte aufzubauen – ähnlich den Standardisierungsanforderungen von Google für Android-Tablets. Weitere Informationen zum Medical Device Coordination Framework finden Sie unter

Beliebtes Thema