Sicherheit bei Insulet
Sicherheitsversprechen der Insulet Corporation
Bei der Insulet Corporation steht die Sicherheit unserer Patienten und Produkte bei allem was wir tun im Mittelpunkt. Wir widmen uns dem Ziel, Menschen mit Diabetes und anderen Erkrankungen durch die Nutzung unserer Omnipod®-Produktplattform das Leben leichter zu machen. Mit dem vermehrten Einsatz verbundener Geräte stehen Patienten, medizinische Betreuer und Unternehmen, die Geräte entwickeln und herstellen, vor ganz neuen Herausforderungen. Es besteht die Möglichkeit, dass diese Geräte zu einem Ziel von Cybersicherheitsangriffen werden. Deshalb wird die Sicherheit in unserem Produktdesign ganz groß geschrieben, von Anfang an in unser Entwicklungsverfahren eingebunden und über den gesamten Lebenszyklus unserer Produkte hinweg überwacht.
Bei der Beaufsichtigung und dem Management der Cybersicherheit wenden wir die 27000-Reihe der International Organization for Standardization/ International Electrotechnical Commission (ISO/IEC 27000) und das NIST „Framework for Improving Critical Infrastructure Cybersecurity“ (NIST CSF) an. Wir haben die bestehenden Compliance- und Entwicklungsprogramme für die von uns vertriebenen Geräte, Systeme und Dienstleistungen auf Einhaltung aller geltenden aufsichtsbehördlichen Anforderungen für Medizinprodukte überprüft.
Die Insulet Corporation hat ein spezielles globales Produktsicherheitsteam aufgestellt und ein koordiniertes Produktmeldungsprogramm ins Leben gerufen, um unsere bereits bestehenden fundierten Produktsicherheitspraktiken zu ergänzen. Auf diese Weise kann die Insulet Corporation Sicherheitserwägungen in den gesamten Produktlebenszyklus integrieren. Das Produktsicherheitsteam ist Teil des Global Security Office der Insulet Corporation. Das Team arbeitet funktionsübergreifend und stellt im gesamten Unternehmen eine breit gefächerte Sachkenntnis, Governance und Überwachung im Zusammenhang mit Produktsicherheitsthemen zur Verfügung. Es teilt Informationen im gesamten Unternehmen mit, um eine Lernkultur und beste Praktiken im globalen Unternehmen zu fördern. Darüber hinaus beaufsichtigt und verwaltet das Team das koordinierte Produktmeldungsprogramm.
Extern arbeitet die Insulet Corporation eng mit Regierungsbehörden, Industriepartnern und Sicherheitsforschern zusammen, um die Sicherheitsbemühungen in der gesamten Medizinprodukte- und Gesundheitsbranche zu verbessern und Leitlinien sowie aufsichtsbehördliche Vorgaben mitzubestimmen.
Sicherheit durch Technikgestaltung
Unser Ansatz zur Gerätesicherheit verfolgt das Ziel, alle relevanten Cybersicherheitsrisiken im System zu identifizieren und wirkungsvolle Gegenmaßnahmen zu entwickeln, um diesen Risiken im Zuge der Produktentwicklung zu begegnen. Die Ziele des Cybersicherheitsansatzes von Insulet lauten wie folgt:
-
Entwicklung und Pflege einer Reihe gemeinsamer, zentraler Anforderungen und Aktivitäten im Zusammenhang mit der Cybersicherheit von Medizinprodukten.
-
Gewährleistung, dass ein wiederholbares Rahmenkonzept für die Sicherheit von Medizinprodukten umgesetzt und befolgt wird.
-
Durchführung von risikobasierten Analysen, um angemessene Kontrollen festzulegen, darunter die Entwicklung von Bedrohungsmodellen und die Führung eines Risikoregisters.
-
Gewährleistung, dass für ein spezifisches Produktprogramm robuste und wiederholbare Maßnahmen zur Prüfung der Cybersicherheit durchgeführt werden.
-
Gewährleistung, dass das Cybersicherheitsprogramm allen einschlägigen Gesetzen und Vorschriften entspricht und diese einhält.
-
Unverzügliche und gründliche Überwachung auf mögliche zukünftige Sicherheitsschwachstellen in allen unseren Medizinprodukten und Ergreifen entsprechender Maßnahmen.
Der oben beschriebene Cybersicherheitsansatz der Insulet Corporation ist direkt mit dem NIST CSF abgestimmt, das Cybersicherheitsfunktionen in fünf separaten Domänen (Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen) ausrichtet. Die Ausrichtung des Cybersicherheitsprogramms bei Insulet auf das NIST CSF bedeutet gleichzeitig die Ausrichtung auf die FDA-Richtlinie „Content of Premarket of their personal information“. Wir verfügen über besondere Teams, die darauf spezialisiert sind, Patientendaten vor unbefugtem Zugriff zu schützen. Darüber hinaus arbeiten wir mit Branchenexperten auf dem Gebiet des Datenschutzes und der Cybersicherheit zusammen, um zu gewährleisten, dass wir die richtige Technologie und die richtigen Prozesse zur Gewährleistung des Datenschutzes anwenden.
Dauerhafte Sicherheit
Die zukünftige Entwicklung von Medizinprodukten ist äußerst spannend, denn es werden sich immer mehr Möglichkeiten bieten, neue Technologien anzuwenden, zum Beispiel tragbare Geräte. Dank neuer Produkte und Funktionen befindet sich die Sicherheitsumgebung in einem ständigen Wandel. Die Insulet Corporation wird die Umgebung kontinuierlich auf mögliche Bedrohungen und potenzielle Probleme für unsere Produkte überwachen und diesen Problemen durch Sicherheitsverbesserungen begegnen.
Während des gesamten Produktlebenszyklus, vom Design über die Fertigung bis hin zur Nutzung durch Patienten, bemühen sich die Ingenieure, Spezialisten und Partner von Insulet, Produkte mit optimaler Sicherheit anzubieten.
Wie achten während des gesamten Lebenszyklus eines Medizinprodukts kontinuierlich auf mögliche Sicherheitsrisiken. Wir beurteilen und testen Schwachstellen unter Anwendung globaler Standards, arbeiten mit Aufsichtsbehörden zusammen und teilen entsprechende Gegenmaßnahmen den wichtigen Stakeholdern mit. Weitere Informationen über Insulet-Produktupdates, Meldungen und Sicherheitsbekanntmachungen finden Sie auf unserer Seite Sicherheitsbekanntmachungen.
Koordinierter Offenlegungsprozess
Wir freuen uns über Beiträge der Sicherheitsforschungs-Community. Wenn Sie glauben, eine mögliche Sicherheitsschwachstelle bei einem unserer Produkte oder bei einer unserer Dienstleistungen festgestellt zu haben, möchten wir davon erfahren, damit wir diese untersuchen können.
Im Rahmen unseres Einsatzes für die andauernde Sicherheit unserer Produkte arbeiten wir mit HackerOne zusammen, um Meldungen über mögliche Sicherheitschwachstellen entgegenzunehmen. Bitte besuchen Sie unsere Seite Koordinierter Offenlegungsprozess, wo Sie weitere Informationen über die Meldung von Schwachstellen an die Insulet Corporation lesen können.