Deutsch 
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Was das US-Cyber-Trust-Siegel für die IoT-Sicherheit im Gesundheitswesen bedeutet
Quelle: Getty Images
10. August 2023 – Im Juli 2023 kündigte die Biden-Harris-Administration die Schaffung des US Cyber Trust Mark an, eines Cybersicherheitskennzeichnungsprogramms für Geräte des Internets der Dinge (IoT), das Verbrauchern dabei helfen soll, informierte Einkäufe unter Berücksichtigung der Sicherheit zu tätigen.
Das von der Vorsitzenden der Federal Communications Commission (FCC), Jessica Rosenworcel, vorgeschlagene US Cyber Trust Mark zielt darauf ab, Cybersicherheitsgarantien für Verbraucher-IoT-Geräte zu bieten, von intelligenten Kühlschränken bis hin zu intelligenten Fernsehern, Klimaanlagen und Fitness-Trackern.
Obwohl sich das Programm noch in einem frühen Stadium befindet, haben IoT-Experten bereits Prognosen darüber, wie dieses Vertrauenszeichen ausgeweitet und auf eine Vielzahl von Produkten angewendet werden könnte, darunter Geräte für das Internet of Medical Things (IoMT).
„In erster Linie zeigt das US Cyber Trust Mark eine aktivere Rolle der Regierung bei der Durchsetzung von Cybersicherheitsstandards für IoT-Geräte“, sagte Shankar Somasundaram, CEO von Asimily, gegenüber HealthITSecurity. „Das ist wichtig – und es verheißt sicherlich Gutes für die Zukunft der Branche.“
Die Zeit wird zeigen, wie sich das US-amerikanische Cyber Trust Mark-Programm auf Käufe von Verbrauchern und Unternehmen auswirken wird und wie es künftige Vorschriften im IoT- und IoMT-Bereich beeinflussen wird. Doch derzeit sind IoT-Experten im Gesundheitswesen zuversichtlich, dass dies ein Schritt in die richtige Richtung ist.
„Intelligente Geräte machen unser Leben einfacher und effizienter – von der Möglichkeit, zu überprüfen, wer vor der Haustür steht, wenn wir unterwegs sind, bis hin zur Überwachung unserer Gesundheit, der Ferneinstellung des Thermostats, um Energie zu sparen, der effizienteren Arbeit von zu Hause aus, und vieles mehr“, sagte Rosenworcel in einer Pressemitteilung zum Vorschlag. „Aber eine zunehmende Vernetzung bringt auch erhöhte Sicherheits- und Datenschutzrisiken mit sich.“
Ungeprüfte Cybersicherheitslücken in IoT-Geräten können Bedrohungsakteuren einfache Zugangspunkte zum Netzwerk bieten. Unternehmen in allen Sektoren sind mit zunehmender Vernetzung mit einem Anstieg der Cybersicherheitsrisiken konfrontiert, was sie dazu veranlasst, Programme zur Schwachstellenverwaltung auszuweiten, um Tausende von mit dem Internet verbundenen Geräten gleichzeitig zu verwalten.
Auf Verbraucherseite können intelligente Geräte, die zu Hause verwendet werden, ebenfalls einem Cyberrisiko ausgesetzt sein, so die FCC.
So wie das Energy Star-Programm Zusicherungen für energieeffiziente Geräte bietet, würde das US Cyber Trust Mark auf Geräten erscheinen, die weithin anerkannte Sicherheitsstandards des National Institute of Standards and Technology (NIST) erfüllen.
Mit einem Blick auf das Cyber Trust Mark-Logo auf einem Gerät könnten Verbraucher Kaufentscheidungen treffen, ohne Abstriche bei der Sicherheit machen zu müssen. Das Zeichen signalisiert den Verbrauchern, dass das Gerät ausgewählte NIST-basierte Cybersicherheitskriterien in Bezug auf sichere Standardkennwörter, Software-Updates und Funktionen zur Erkennung von Vorfällen erfüllt.
Darüber hinaus beabsichtigt die FCC, QR-Codes zu nutzen, um eine Verbindung zu einem nationalen Register zertifizierter Geräte herzustellen, sodass Verbraucher die Cybersicherheit verschiedener Geräte vergleichen und gegenüberstellen können.
Diese Entwicklung erfolgt nur wenige Monate nach der Unterzeichnung des Omnibus-Gesetzes, das Hersteller medizinischer Geräte verpflichtet, der FDA in ihren Anträgen vor der Markteinführung bestimmte Cybersicherheitsinformationen zur Verfügung zu stellen. Die Regelung tritt am 1. Oktober in Kraft und wird weitgehend als Gewinn für diejenigen angesehen, die sich für eine erhöhte Sicherheit medizinischer Geräte einsetzen.
Somasundaram äußerte die Hoffnung, dass das US Cyber Trust Mark in ähnlicher Weise zu einem größeren Marktvertrauen in IoT- und IoMT-Geräte beitragen würde, da die Bundesregierung an der Optimierung der Sicherheitsabsicherungsprozesse für intelligente Geräte arbeitet.
„Um es klarzustellen: Das Cyber Trust Mark-Programm wird zunächst auf die Kennzeichnung von Verbrauchergeräten ausgerichtet sein. Es sollte Geräte für die häusliche Gesundheitsfürsorge abdecken, damit sich die Verbraucher bei der Verwendung von mit dem Internet verbundenen medizinischen Geräten und Geräten sicherer fühlen können“, bemerkte Somasundaram.
„Während die Regierung jedoch die Details ausarbeitet und sich das Programm nach seiner ersten Einführung weiterentwickelt, glaube ich, dass auch andere wichtige Geräte wie IoMT in irgendeiner Form zertifiziert werden würden.“
Während sich der ursprüngliche Vorschlag für das Cyber Trust Mark eher auf Verbrauchergeräte als auf medizinische Geräte für den Einsatz in Krankenhäusern konzentriert, besteht Potenzial für eine Ausweitung dieser Initiative. Darüber hinaus verwischt die zunehmende Beliebtheit von Telemedizin- und Medizingeräten für den Heimgebrauch die Grenzen zwischen Verbraucher- und kommerziellen Geräten.
Jim Hyman, CEO von Ordr, äußerte sich ebenfalls positiv über das US Cyber Trust Mark, insbesondere da sich die Definition eines Medizinprodukts ständig ändert.
„In zwei Jahren werden unsere Krankenschwestern und Ärzte ihre Notizen nicht mehr in ein Softwarepaket umwandeln. Sie diktieren sie einfach, und dann wird diese Nachricht automatisch entschlüsselt und an alle erforderlichen Systeme gesendet. Und obwohl das aus Sicht der Funktionalität, der Benutzerfreundlichkeit und des Patientenerlebnisses eine wirklich erstaunliche Sache ist, eröffnet es eine ganz neue Kategorie dessen, wofür diese Marke verwendet werden kann“, teilte Hyman in einem Interview mit HealthITSecurity mit.
„Die Angriffsfläche wird in den nächsten Jahren exponentiell wachsen, und deshalb denke ich, dass diese Art von Programm dadurch noch wichtiger wird.“
Dennoch brachte Hyman zum Ausdruck, dass diese Art von Standards ihre Grenzen haben.
„Diese Maßnahmen werfen ein Licht auf das Problem, das in Bezug auf die Gesundheitsbranche und die Geräte besteht“, sagte Hyman. „Dennoch kann die Regierung allein nur eine begrenzte Menge tun.“
Für ein effektives Risikomanagement müssen Unternehmen heute die Geräteverwaltung selbst übernehmen und starke interne Prozesse zur Behebung von Sicherheitslücken in mit dem Internet verbundenen Geräten einrichten.
Hyman betonte außerdem, dass sich die Komplexität von Geräten für die häusliche Gesundheitsversorgung erheblich von denen in Krankenhäusern unterscheidet. Ein Fitness-Tracker kann drei bis vier Jahre lang verwendet werden, während die Lebensdauer eines MRT-Geräts 20 Jahre betragen kann. Unter Berücksichtigung dieser Überlegungen wäre die Anwendung eines ähnlichen Cyber-Trust-Modells auf das Gesundheitswesen eine Herausforderung.
Darüber hinaus, so Hyman, würde ein Cyber-Vertrauenszeichen auf einem Gesundheitsgerät nicht die Notwendigkeit einer Organisation ersetzen, Kontrollen zu validieren, Risikobewertungen durchzuführen und Geräte anhand ihrer Compliance-Programme zu prüfen.
Aus der Sicht von Somasundaram könnte das Cyber Trust Mark diese Prozesse zumindest rationalisieren. Darüber hinaus könnten Organisationen die Auszeichnung „Cyber Trust Mark“ als zusätzliches Instrument nutzen, um Patienten vertrauensvoll sichere Geräte für die häusliche Gesundheitsversorgung zu empfehlen.
„Hoffentlich können HDOs in Zukunft auf die Cyber Trust Mark-Zertifizierung zurückgreifen, um IoMT-Geräte mit höherer Sicherheit zu identifizieren und zu beschaffen und im Gegenzug ihre Flotten schneller und sicherer zu erweitern“, fügte Somasundaram hinzu.
Wenn es durch eine Abstimmung der FCC angenommen wird, könnte das US Cyber Trust Mark bereits Ende 2024 in Betrieb sein. Die Kommission hat bereits die Registrierung einer nationalen Marke für das US Cyber Trust Mark-Logo beim US-Patent- und Markenamt beantragt.
Obwohl das Programm freiwillig sein wird, haben mehrere große Hersteller und Einzelhändler bereits Zusagen gemacht, das Programm zu erweitern, darunter Google, Best Buy, Amazon, Logitech, LG Electronics USA und Samsung.
Jetzt bittet die FCC um öffentliche Beiträge zu wichtigen Themen wie dem Umfang der Geräte, die für die Aufnahme in das Kennzeichnungsprogramm in Frage kommen sollten, wer das Programm überwachen sollte und wie die Einhaltung von Sicherheitsstandards hergestellt und nachgewiesen werden kann.
„Medizingerätehersteller und [Gesundheitsorganisationen] sollten auch die Besonderheiten staatlicher Zertifizierungsanforderungen im Auge behalten, während sich das US-amerikanische Cyber Trust Mark-Programm und andere weiterentwickeln“, schlug Somasundaram vor.
„Aus praktischer betrieblicher Sicht muss die Zertifizierung selbst ein rationalisierter und schneller Prozess sein, damit sicherere Geräte für Verbraucher und Krankenhäuser schnell auf den Markt kommen. Hersteller und [Gesundheitsorganisationen] werden zweifellos ihre Meinung äußern, wenn die Regierung ihre Weichen für eine strengere Durchsetzung der Cybersicherheit im IoMT stellt.“