Utfordrende å dokumentere cybersikkerhet for medisinske produkter

AppSens, som har det CE-sertifiserte produktet ECG247 på markedet, har utarbeidet dokumentasjon av produktets datasikkerhet i tråd med nye standarder. Vi skal belyse noen av de utfordringene vi som norsk leverandør av en trådløs ekg-sensor står overfor i forbindelse med dagens bransjekrav.

Stiller ulike krav

Selvsagt må diagnostisk utstyr være CE-sertifisert, men vi opplever at norske innkjøpere og de ulike helseforetakene stiller forskjellige krav til dokumentasjon av GDPR og datasikkerhet. Personvern står selvsagt sentralt, og Helsedirektoratet har utarbeidet en mal for Personkonsekvensvurdering, Data Protection Impact Assessment, DPIA. Denne malen benyttes for å beskrive det aktuelle formålet for systemet eller programvareløsningen. DPIA-en presenterer hvilke vilkår som gjelder for lagring av personsporbare opplysninger, og personvernombudet deltar i vurderinger av datasikringen. I tillegg stilles det gjerne krav til Risiko- og sårbarhetsanalyse, RoS. Men her foreligger det ingen standardisert mal eller formaliserte krav til dokumentasjon utover Normens retningslinjer. Leverandører som benytter skytjenester kan også fylle ut en selvdeklarasjon «Consensus Assessment Initiative Questionnaire, CAIQ, som er utarbeidet av Cloud Security Alliance. Den er komplisert å fylle ut og vanskelig å verifisere.

Datasikkerhet

I forhold til Cyber Security, stilles det strenge krav til datasikkerhet gjennom direktivene Cyber Security Act, (EU) 2019/881 og Cyber Resillience Act (EU) 2024/2847, med blant annet standardene ISO/IEC 15408-1:2022 til 15408-5:2022. For medisinsk utstyr er det egne retningslinjer gjennom MDCG 2019-16 Guidance on Cybersecurity for medical devices i tillegg til IEC-standarder for medical device software. Det har nylig også kommet direktiver for bruk av kunstig intelligens gjennom AI Act (EU) 2024/1689, med tilhørende forskrifter blant annet ISO/IEC 22989:2022, der medisinske applikasjoner er klassifisert som høy-risiko anvendelsesområder. Det er et klart krav at slike produkter skal være CE-sertifiserte, der et kontrollorgan, Notified Body som det heter på kvalitetssikrings-språket, skal sørge for nødvendig godkjenning.

MDR

Medical Device Regulation (EU) 2017/745, MDR, omfatter krav både til hardware og software som brukes til medisinsk monitorering og diagnostikk, herunder er det krav til både IT-nettverk og sikkerhet. Det pågår en harmonisering mellom kravene i MDR, Cyber Security og AI Act der risikovurderinger er sentrale. Risikostyringen bør forenes med et lifecycle perspektiv for produktet, og dette må forankres i bedriftens kvalitetssystem og QMS-prosedyrer.

Støtte til kompetanseheving

AppSens har i år mottatt innovasjonsstøtte fra Norges Forskningsråd for å styrke Cyber Security-kompetanse internt og utarbeide ny, essensiell sikkerhetsdokumentasjon for produktet ECG247. Dette arbeidet har vært utfordrende fordi produktet så langt har vært dokumentert i forhold til krav om Technical File i henhold til Medical Device Directive og senere MDR kravene.

Hjerteovervåking

ECG247 er et medisinsk produkt for langtids hjertemonitorering med innovative analyseverktøy for diagnostiske formål. Det benyttes en intelligent sensorenhet for måling og analyse av hjertesignaler, EKG, som kommuniserer med pasientens smarttelefon via Bluetooth. Her må det installeres en dedikert APP som igjen sender måledata over til en Microsoft Azure skytjeneste med sikker lagring. Leger logger seg på en web-applikasjon knyttet til skytjenesten for å vurdere ekg-målingene. De ulike sikkerhetsrelaterte funksjonene er implementert i forskjellige deler av systemets software, som også vil ha litt ulike distribusjonskanaler. Produktet har innebygget høy grad av sikkerhet, men vi har underveis i dokumentasjonsprosessen fått etterprøve at det er et intrikat system med mange ulike software komponenter.

Fokus på «intended use»

I forhold til CE-sertifiseringen har det vært fokus på «Intended use» og påliteligheten i den medisinske anvendelsen. AppSens innehar ISO 13485 sertifikat for sitt kvalitetssikrings-system, og det er innarbeidet rutiner for risikoanalyser, tilbakemeldinger fra markedet og programvareutvikling i et lifecycle perspektiv. Fordi produktet gir legen forslag til diagnose, omfattes produktet av AI Act-standardene. Personvern, både for pasienter og helsepersonell, er regulert av GDPR-forskriftene.

Common Criteria:2022

ISO/IEC 15408 er basert på Common Criteria, CC, (commoncriteriaportal.org) som er et rammeverk for å spesifisere funksjonelle og sikkerhetsmessige krav gjennom et sett av beskyttelsesprofiler. Her brukes i stor utstrekning Tre-Bokstavs-Forkortelser, og det har vært svært krevende å sette seg inn i konteksten og kravsettet. Rammeverket muliggjør at produsenter kan spesifisere hvilke krav som er implementert uten at det avsløres produktdetaljer om hvordan dette er implementert, og produktet kan sertifiseres av uavhengige testhus som kontrollerer oppnåelse av kravene. Det er flere ulike sikkerhetsnivåer definert som Evaluation Assurance Level EAL 1-7 avhengig av hvor omfattende sikkerhetstiltakene er blitt verifisert.

TOE

Target of Evaluation, TOE, er selve produktet som skal dokumenteres ved at det defineres en Protection Profile, PP, som spesifiseres i forhold til de sikkerhetsmessige krav som stilles til utstyret. Det skal spesifiseres funksjonelle og sikkerhetsmessige krav gjennom et dokument Security Target, ST, som skal identifisere beskyttelsestiltakene.

Viktig å spesifisere

For produktet ECG247 har det vært viktig å spesifisere de sikkerhetsrelaterte komponenter og skille denne delen av produktet fra de medisinske anvendelser og krav som i denne sammenheng utgjør de beskyttede brukerdata. En tilleggsfaktor er at systemets software er implementert på ulike plattformer og programmert for ulike operativsystemer, programvaremiljøer som ligger utenfor vår kontroll. En slik tre-deling av strukturen omfatter da systemarkitektur, sikker bruker-autentisering og autorisering, lagring av brukerdata samt dataoverføring, som i dette tilfellet omfatter Bluetooth, mobildata og internettprotokoller. Samtidig kan det være ulike rutiner for oppdatering av software og tilhørende komponenter, der en ny release må nøye vurderes i forhold til den sertifiserte versjon.

Trengs metodikk

Formulering av Cyber Security-truslene med mapping mot tilhørende beskyttelsestiltak, dokumentert i Security Target, har vært et første steg mot en eventuell CC-sertifisering. Videre må det utarbeides en konkret oversikt med metodikk over hvordan tiltakene kan testes og verifiseres. Viktige trusler og tiltak må testes og verifiseres av en uavhengig tredjepart.

Samarbeidspartnere

AppSens har utviklet ECG247 produktet med tilhørende software sammen med sine partnerfirma Seven Peaks i Bergen og Jetro i Grimstad. De to underleverandørene har bistått AppSens i utarbeidelsen av sikkerhetsdokumentasjonen. En uavhengig aktør i sikkerhetsprosjektet er Nemko System Sikkerhet, Arendal. Sistnevnte har deltatt som rådgiver og denne bistanden har vært helt avgjørende for å navigere i CC-dokumentasjonen, formuleringene og kravsettene.

Standardisering viktig

Det er et håp at de relativt nye standardene ISO/IEC 15408-1:2022 til 15408-5:2022 kan bli akseptert av sykehusene og innkjøpere når de skal anskaffe nye medisinsk tekniske produkter slik at tidkrevende runder og diskusjoner om datasikkerhet og personvern kan unngås for hver anskaffelse som skal gjøres. For oss produsenter er det viktig at vi har nødvendig dokumentasjon for å få produktet akseptert for bruk i Norge, og at det derigjennom åpnes for bruk både på sykehus, hos fastleger, kommuner og hjemmeboende pasienter. For de internasjonale markeder er det selvsagt av stor betydning å følge dokumentasjonen for de relevante internasjonale standarder.