UTFORDRING: For de som er ansvarlige for IT-sikkerhet, kan medisinsk utstyr være en utfordring, da det ofte tas i bruk uten deres fulle kontroll. Som et resultat må de ofte bare akseptere sikkerhetsrisikoene som følger med bruken av det, skriver Geir-Erlend Myhre Johansen.

Økt sikkerhetsrisiko for medisinsk utstyr og driftsteknologi som kommer fra høyrisikoland

Tenk deg at du blir utsatt for en ulykke og havner på sykehus. Tilstanden er kritisk, og du blir innlagt på sykehusets intensivavdeling. Der blir du tilkoblet utstyr som samler inn mange opplysninger om deg og din helsetilstand.

Geir-Erlend Myhre Johansen seniorrådgiver og leder for sekretariatet for Normen (Norm for informasjonssikkerhet og personvern i Helse- og omsorgssektoren)
Publisert

Etter sykehusoppholdet mottar du en truende e-post fra en ukjent avsender som hevder å ha sensitiv informasjon om deg fra tiden du var innlagt. De truer med å offentliggjøre denne informasjonen med mindre du gir dem interne dokumenter fra din arbeidsgiver. Redd for konsekvensene, bestemmer du deg for å gi etter for kravet og sender dokumentene.

Et år senere får du en tekstmelding fra arbeidsgiveren din som varsler om et datainnbrudd som har gjort alle IT-systemer utilgjengelige. Etterforskningen viser at angriperne hadde tilgang til interne dokumenter, inkludert dokumentene du sendte dem. Du innser nå at beslutningen du tok har fått alvorlige konsekvenser.

En av de større utfordringene er trusselen fra statlige aktører som ønsker å få tilgang til våre data. De bruker både tradisjonelle metoder som spionprogramvare og hacking, samt mer avanserte teknikker, som å installere datachiper eller programkoder i produkter fra høyrisikoland. Dette er en av hovedårsakene til restriksjonene på hvem som får levere kritisk infrastruktur, som f.eks. 5G-nettet.

Det er sjelden vi setter restriksjoner på medisinsk utstyr og driftsteknologi som styrer bygningene våre. Selv om vi vurderer risikoen basert på produsentenes dokumentasjon, innrømmes det sjelden at produktene lekker data. Dette kan innebære at utstyr i infrastrukturen overfører data til høyrisikoland, uten at vi har innsyn eller kontroll over dette. Bruk av slikt utstyr fra nasjonalstater med motstridende sikkerhetsinteresser kan være en betydelig utfordring.

Tradisjonelt sett har medisinsk utstyr og driftsteknologi ofte eksistert litt på siden av virksomhetens rammer, administrert av dedikerte avdelinger som er ansvarlige for installasjon og drift. Imidlertid deler dette utstyret ofte infrastruktur med resten av organisasjonen, kommuniserer på det samme nettverket og bruker den samme serverparken. For de som er ansvarlige for IT-sikkerhet, kan medisinsk utstyr være en utfordring, da det ofte tas i bruk uten deres fulle kontroll. Som et resultat må de ofte bare akseptere sikkerhetsrisikoene som følger med bruken av det. For utstyr og løsninger fra høyrisikoland bør det iverksettes risikoreduserende tiltak, som å begrense internettilgang, etablere ekstra nettverksovervåking og vurdere sikkerhetsrevisjoner (se Normens Faktaark om Sikkerhetsrevisjon). Samt innføre tilgangskontroll (f.eks. tofaktorautentisering og rollebasert styring) og segmenter nettverket for å isolere utstyret.

Medisinsk utstyr og operasjonell teknologi er komponenter i verdikjeden til helsevirksomheter. Ved anskaffelser bør det vurderes om det er nødvendig å innføre krav knyttet til landrisiko for å sikre at disse produktene ikke øker den totale risikoen for virksomheten.

Ingen oppgitte interessekonflikter

 

medisinsk utstyr debatt teknologi pasientsikkerhet

Mest lest siste syv dager:

Powered by Labrador CMS