Det digitala skyddet inom medtech är idag nästan lika avgörande som att en pacemaker slår i takt – eller att en insulinpump doserar rätt mängd. För tillverkare av medicintekniska produkter kan godkänd säkerhet vara skillnaden mellan en lyckad lansering och en produkt som stoppas i sista stund.
Dagens medicintekniska produkter kan vara appar i sig, eller prata med appar, journalsystem och molntjänster. Det öppnar för nya behandlingar och bättre vård – men också för risker.
Regelverk och standarder
Bakom kraven står EU:s förordningar MDR (Medical Device Regulation) och IVDR (In Vitro Diagnostic Medical Device Regulation). De gör cybersäkerhet till en del av produktens kvalitet. För att visa överensstämmelse med förordningarna används harmoniserade standarder. Inom EU kommer standarden EN 81001-5-1 att harmoniseras och ska användas av tillverkare för att gå från riskanalys till tekniska kontroller och dokumentation – och därigenom bevisa sin överensstämmelse.
Utanför EU gäller andra krav. I USA granskar till exempel Food and Drug Administration (FDA) produkterna och publicerar sina väglednings dokumentation för cybersäkerhet.
Samma produkt kan alltså behöva olika underlag beroende på marknad. Det innebär att tillverkare bör ta höjd för både EU:s och USA:s krav redan i design- och utvecklingsfasen.
Läs mer om MDR och IVDR härCybersäkerheten prövas i teori och praktik
När en medicinteknisk produkt är färdig att testas granskas den genom penetrationstester för att hitta säkerhetsbrister som kan ha uppkommit i design eller implementeringen, till exempel:
- Obevakade API:er
- För generösa rättigheter
- Informationsflöden som läcker mer än de borde
- Möjlighet för en app att komma åt fel data
- Risk att användare får för höga rättigheter
- Manipulation av patientdata eller styrdata
- Analys av kända sårbarheter och deras exploaterbarhet
- Granskning av algoritmer och nyckelhantering
Utöver detta testas kryptering av patientdata och accesskontroll i nätverk. På sjukhus delar till exempel många enheter nätverk, och om en produkt ”pratar för mycket med sina grannar” växer både angreppsyta och risk.
”Vi går igenom systemet utifrån den risk- eller hotmodell kunden har och letar efter design- och implementationsproblem. Vi kan se problem och föreslå ändringar innan det hunnit bli dyrt och tidskrävande att rätta till. Det gör hela processen mer effektiv,” säger Albin Eldstål-Ahrens, Tekn.Dr. och säkerhetsspecialist på Assured.
Läs mer om hur vi jobbar med penetrationstester härVerifiering, validering och rapportering
Resultaten från penetrationstester används i både verifiering och validering. I verifieringsfasen kontrolleras att säkerhetskraven uppfylls, medan valideringen ger underlag till EU och FDA.
En särskild utmaning är kända sårbarheter (CVE:er) som kan finnas i produkten men som inte alltid är uppenbart om de går att utnyttja. För företag är det ofta svårt att själva avgöra risken – här kan Assureds specialister analysera om en sårbarhet är exploaterbar och hur allvarlig den är.
Alla fynd samlas i rapporter som anpassas till branschens krav och ingår i dokumentationen för CE-märkning, FDA-ansökningar och intern riskhantering. Förutom sårbarheter dokumenteras även anomalier – avvikelser som kan tyda på svagheter.
Ansvar under hela livscykeln
Cybersäkerhet är inget som kan bockas av i ett enskilt test, ansvaret följer med genom hela produktens livscykel.
”Ofta hamnar det på CISO att samordna arbetet, men för många bolag krävs också att man utser eller anlitar en specialist som bevakar att kraven uppfylls i varje steg,” säger Albin.
Redan i designen kan risker råka byggas in, till exempel genom otydliga instruktioner eller för höga användarrättigheter.
Ansvaret fortsätter även efter lansering. Regelverken kräver Post-Market Surveillance (PMS), en kontinuerlig bevakning av produkten som gör att fel upptäcks och rapporteras i tid. Eftersom PMS innebär insamling av användardata måste också cybersäkerheten samordnas med GDPR.
När kraven stoppar affären
Cybersäkerhet är en affärskritisk fråga som påverkar både marknadstillträde och intäkter. Om en produkt inte klarar granskningen riskerar lanseringen att stoppas. Det kan få stora kostnader och förseningar som följd, eller till och med att en konkurrent hinner först.
En annan fallgrop är att luta sig mot de framskjutna deadlines i MDR och vänta för länge:
”Det kan fungera inom EU, men när produkten ska ut på en annan marknad kan det komma obehagliga överraskningar. Då blir det bråttom och dyrt,” säger Albin.
När cybersäkerheten däremot byggs in från början ökar chanserna att lansera i tid och få kommersiellt genomslag.
Hur säkerställer man sin cybersäkerhet?
Assured har lång erfarenhet av att hjälpa företag inom medtech att bygga in cybersäkerhet från start och stå starka inför granskningarna. Oavsett om ni behöver en genomlysning i designfasen eller ett fullskaligt penetrationstest kan vi vara er partner genom hela processen.
Så jobbar vi – steg för steg
- Design: riskidentifiering i krav och specifikationer
- Arkitektur: stöd för att bygga säkert från början
- Verifiering: penetrationstester under utveckling
- Validering: tester inför regulatoriska granskningar
- Rapportering: branschanpassade rapporter som blir en del av CE- och FDA-dokumentationen
Kontakta oss eller fyll i formuläret nedan för att diskutera hur vi kan hjälpa er att uppfylla kraven på cybersäkerhet och säkra era produkter.