Verstehen von SBOM, SOUP, COTS und OTS in der Cybersicherheit von Medizinprodukten
- Interlynk
In der heutigen vernetzten Gesundheitswelt ist das Verständnis der Software in Medizinprodukten entscheidend – nicht nur für eine sichere Entwicklung, sondern auch für die Konformität und die Patientensicherheit.
Regulierungsbehörden wie die FDA und die IEC 62304 verlangen von Herstellern von Medizinprodukten, dass sie alle enthaltenen Softwarekomponenten nachverfolgen – unabhängig davon, ob sie benutzerdefiniert, Open Source oder von Dritten stammen – und sie basierend auf Herkunft und Lebenszyklusdokumentation klassifizieren.
In diesem Beitrag werden vier zentrale Begriffe untersucht: SBOM, SOUP, COTS und OTS, sowie ihre Rolle bei der Erfüllung der Anforderungen der FDA an die Cybersicherheit und der IEC 62304.
SBOM (Software-Komponentenverzeichnis)
Definition: Ein offizielles Verzeichnis aller in einem Gerät oder einer Anwendung verwendeten Softwarekomponenten (einschließlich Open-Source-Bibliotheken, proprietärem Code, Firmware, APIs und Binärdateien).
Warum es wichtig ist:
Identifiziert verletzliche Komponenten (z. B. log4j).
Unterstützt eine schnellere Reaktion auf Vorfälle.
Erforderlich gemäß FDA Abschnitt 524B (März 2023).
Beispiel: Eine Infusionspumpe der Klasse II enthält Code von Drittanbietern. Wenn eine CVE auftritt, ermöglicht ein SBOM eine sofortige Bewertung der Auswirkungen und eine Priorisierung von Patches.
Vorschriften, die SBOM erfordern:
FDA FD&C Act §524B
Präsidentielles Erlass 14028 (federal procurement)
EU Cyber Resilience Act
SOUP (Software mit unbekannter Herkunft)
Definition: Software, das nicht unter einem dokumentierten Lebenszyklusprozess für medizinische Software entwickelt wurde (z. B. Open-Source-Bibliotheken, extern trainierte KI/ML-Modelle, veraltete Treiber).
Risiken:
Unbekannte Sicherheitsgeschichte.
Keine klare Nachverfolgbarkeit der Entwicklung.
Potenzielle Verwendung unsicherer APIs oder kryptographischer Module.
Wie man damit umgeht (IEC 62304):
Risik Analyse nach Gerätesicherheitsklasse durchführen.
Funktionalität und Sicherheitsauswirkungen validieren.
Überwachung von Schwachstellen (z. B. NVD-Feeds).
Dokumentation der Minderung.
Beispiel: Ein ECG-Monitor verwendet eine GitHub-Grafikbibliothek. Wenn die Bibliothek ausfällt, kann sie falsche Wellenformen anzeigen, was die Diagnose beeinträchtigt.
OTS- und COTS-Software
Definitionen:
OTS (Off-the-Shelf): Vorgefertigte Software, die nicht für das Gerät konzipiert ist.
COTS (Commercial Off-the-Shelf): Kommerziell lizensierte OTS-Software (z.B. Windows OS).
Risiken & Minderungen:
Kein Quellcode oder Patch-Kontrolle.
Entscheidungen des Anbieters im Lebenszyklus können die Sicherheit beeinflussen.
Die FDA verlangt den Nachweis, dass OTS die Geräteleistung nicht beeinträchtigt.
Regulatorische Leitlinien:
Die Leitlinien der FDA für die Zulassungsanträge von COTS-Software.
IEC 62304 erfordert die Validierung, selbst wenn die Software unverändert ist.
Regulierungszusammenfassung
SBOM → Erforderlich für die FDA, FD&C Act §524B, EU CRA.
SOUP-Verwaltung → Erforderlich für IEC 62304, FDA-Leitlinien.
OTS/COTS-Nutzung → Erforderlich für IEC 62304, FDA OTS-Leitlinien.
Warum es wichtig ist
Proaktive Risikominderung: Schnellere Erkennung und Behebung.
Regulatorische Compliance: Ablehnung oder Geldstrafen vermeiden.
Patientensicherheit: Verhindern von Geräteausfällen oder Hacks.
Resilienz der Lieferkette: Transparenz stärkt die Lebenszyklussicherheit.
Hersteller-Best Practices
Automatisierung der SBOM-Generierung über SCA-Tools.
CBOMs mit Patch-Zeitplänen und Verantwortlichkeiten pflegen.
Ein SOUP-Register mit Risikobewertungen erstellen.
COTS-Anbieter für langfristige Unterstützung einbeziehen.
CVE/NVD-Feeds für bekannte und unbekannte Software überwachen.
Risiken in die ISO 14971-Prozesse für die Patientensicherheit integrieren.
In der regulierten Medizintechnik ist Compliance nicht nur Papierkram – es geht darum, Patienten zu schützen. Eine robuste SBOM-, SOUP- und COTS/OTS-Strategie gewährleistet Sicherheit, Compliance und Vertrauen in die Technologien der nächsten Generation im Gesundheitswesen.