Hacking av MU - hva kan Normen bidra med?

Transkript

1 Hacking av MU - hva kan Normen bidra med? Medisinsk teknologisk forenings landsmøte Bergen, Side 1

2 Litt bakgrunn og oppdatering

3 Personvern og informasjonssikkerhet to siste år

4 Side 4

5 Medisinsk utstyr og informasjonssikkerhet hva er problemet? Utstyret er ofte gammelt Utstyret er dårlig sikret Kjente sårbarheter eksisterer Ikke alltid utstyret i seg selv som er målet for en angriper Side 5

6 Personvern og informasjonssikkerhet er en forutsetning for digitalisering. Innbyggere må ha tillit til at helse- og omsorgssektoren behandler helse- og personopplysninger på en trygg måte Side 6

7 Ting å følge med på MDR og IVDR betydning for cybersikkerhet Medisinsk avstandsoppfølging - informasjonssikkerhet og personvern Side 7

8 Regulation on medical devices (MDR) Annex 1 Safety and performance requirements related to cybersecurity Devices that incorporate electronic programmable systems, including software, or software that are devices in themselves, shall be designed to ensure repeatability, reliability and performance in line with their intended use. In the event of a single fault condition, appropriate means shall be adopted to eliminate or reduce as far as possible consequent risks or impairment of performance For devices that incorporate software or for software that are devices in themselves, the software shall be developed and manufactured in accordance with the state of the art taking into account the principles of development life cycle, risk management, including information security, verification and validation Manufacturers shall set out minimum requirements concerning hardware, IT networks characteristics and IT security measures, including protection against unauthorised access, necessary to run the software as intended The instructions for use shall contain all of the following particulars:(ab) for devices that incorporate electronic programmable systems, including software, or software that are devices in themselves, minimum requirements concerning hardware, IT networks characteristics and IT security measures, including protection against unauthorised access, necessary to run the software as intended. Side 8

9 Side 9

10 EKSEMPEL: MINI-RISKOVURDERING AV AVSTANDSOPPFØLGING Side 10

11 Usikker infrastruktur i pasientens hjem (både konfidensialitet og tilgjengelighet) Sikker autentisering Av «bokser» Av pasient / bruker (kognitiv svikt?) Overskuddsinformasjon Dokumentasjonsplikt Sletting Samtykke Hva skal logges? Medisinsk utstyr en sikkerhetsutfordring

12 Leverandør (f.eks utstyrsprodusent) Skylagring Databehandleravtaler Sletting Underleverandører Mellomlagring Pre-prosessering

13 Omfattende brukervilkår (i gjennomsnitt 14 sider) Overføring til andre formål / til tredjepart Manglende sletting Krav til brukerkontor for lagring Kilde: Forbrukerrådet 2017: Helsedata til salgs? Leverandør (f.eks utstyrsprodusent) Pasienten tar i bruk tilleggsfunksjonalitet som tilbys av f.eks utstyrsleverandør

14 Normens bidrag Side 16

15 Bakgrunn Om Normen Normen Faktaark og veiledere Utadrettet virksomhet Kurs Normen er Norges første og største bransjenorm for informasjonssikkerhet og fra 2018 også for personvern Normen er åpent tilgjengelig via

16 Bakgrunn Om Normen Normen er til for Normen styres av en bredt sammensatt styringsgruppe Det daglige arbeidet koordineres av sekretariatet Alle virksomheter som ved avtale har forpliktet seg til å følge Normen i praksis de fleste av sektorens mer enn titusen virksomheter og deres leverandører og databehandlere Den offentlige tannhelsetjeneste Sekretariatet er plassert i Direktoratet for e-helse med fast representasjon fra Norsk Helsenett Strategi for Normen

17 Normen og medisinsk utstyr Veileder i personvern og informasjonssikkerhet -medisinsk utstyr Veileder presentert på MTF Landsmøte Drammen Obligatorisk kurs for med.tek personell i Helse Midt- Norge på St. Olavs Hospital Åpne kurs for med.tek personell, IKT-personell og leverandører Veileder i personvern og informasjonssikkerhet -medisinsk utstyr Første versjon Utbredelse Første kurs Åpne kurs Revidering Veilederen Landsmøtet Parallellsesjon Gratis Scenariene Arbeidet med veilederen startet i 2014 Også i 2018 var Normen invitert til Landsmøtet I 2017 var det for første gang en egen parallellsesjon for medisinsk utstyr og informasjonssikkerhet på Normkonferansen Kursene er gratis, pågår enda, og har til nå samlet nær 500 deltakere revideres, bl.a. med tanke på direkte bruk i Merida og Medusa Side 19

18 Hva skjer i 2019? Revidering av veileder Åpne kurs Egen parallellsesjon Oppdatering etter GDPR Fra 16 bruksscenarier til færre scenarier + egenskaper Nytt kurs september (Oslo) Gratis Påmelding åpen via Egen medisinteknisk parallellsesjon også under årets Normkonferanse november 2019 Foreløpig tema: Nytt EU-regelverk Side 20

19 Virksomhetenes rolle Side 21

20 Samfunnssikkerhet og beredskap NOU 2016: 19 Samhandling for sikkerhet Beskyttelse av grunnleggende samfunnsfunksjoner i en omskiftelig tid

21 Informasjonssikkerhet Sikkerhetskultur PEOPLE PROCESSES TECHNOLOGY Side 23

22 Hva er Normens bidrag? Virksomhetene og sektoren må gjøre jobben selv Tilegne seg kompetanse Ha nødvendinge roller på plass Systematisk arbeid Sikkerhetskultur Informasjonssikkerhet = en gjørejobb Risikovurderinger, sikkerhetstesting, sikkerhetsoppdateringer, Normen kan bidra med Kompetansebygging Fasilitering, nettverk Verktøy, veiledning Side 24

23 Men husk Side 25

24 Side 26