Hacking av MU - hva kan Normen bidra med? Medisinsk teknologisk forenings landsmøte Bergen, 24.4.2019 Side 1
Litt bakgrunn og oppdatering
Personvern og informasjonssikkerhet to siste år
https://www.forbes.com/sites/thomasbrewster/2017/05/17/wannacry-ransomware-hit-real-medical-devices/#6a7fb780425c Side 4
Medisinsk utstyr og informasjonssikkerhet hva er problemet? Utstyret er ofte gammelt Utstyret er dårlig sikret Kjente sårbarheter eksisterer Ikke alltid utstyret i seg selv som er målet for en angriper Side 5
Personvern og informasjonssikkerhet er en forutsetning for digitalisering. Innbyggere må ha tillit til at helse- og omsorgssektoren behandler helse- og personopplysninger på en trygg måte Side 6
Ting å følge med på MDR 26.5.2020 og IVDR 26.5.2022 - betydning for cybersikkerhet Medisinsk avstandsoppfølging - informasjonssikkerhet og personvern Side 7
Regulation on medical devices (MDR) Annex 1 Safety and performance requirements related to cybersecurity 17.1. Devices that incorporate electronic programmable systems, including software, or software that are devices in themselves, shall be designed to ensure repeatability, reliability and performance in line with their intended use. In the event of a single fault condition, appropriate means shall be adopted to eliminate or reduce as far as possible consequent risks or impairment of performance. 17.2. For devices that incorporate software or for software that are devices in themselves, the software shall be developed and manufactured in accordance with the state of the art taking into account the principles of development life cycle, risk management, including information security, verification and validation. 17.4. Manufacturers shall set out minimum requirements concerning hardware, IT networks characteristics and IT security measures, including protection against unauthorised access, necessary to run the software as intended. 24.4 The instructions for use shall contain all of the following particulars:(ab) for devices that incorporate electronic programmable systems, including software, or software that are devices in themselves, minimum requirements concerning hardware, IT networks characteristics and IT security measures, including protection against unauthorised access, necessary to run the software as intended. Side 8
Side 9
EKSEMPEL: MINI-RISKOVURDERING AV AVSTANDSOPPFØLGING Side 10
Usikker infrastruktur i pasientens hjem (både konfidensialitet og tilgjengelighet) Sikker autentisering Av «bokser» Av pasient / bruker (kognitiv svikt?) Overskuddsinformasjon Dokumentasjonsplikt Sletting Samtykke Hva skal logges? Medisinsk utstyr en sikkerhetsutfordring
Leverandør (f.eks utstyrsprodusent) Skylagring Databehandleravtaler Sletting Underleverandører Mellomlagring Pre-prosessering
Omfattende brukervilkår (i gjennomsnitt 14 sider) Overføring til andre formål / til tredjepart Manglende sletting Krav til brukerkontor for lagring Kilde: Forbrukerrådet 2017: Helsedata til salgs? Leverandør (f.eks utstyrsprodusent) Pasienten tar i bruk tilleggsfunksjonalitet som tilbys av f.eks utstyrsleverandør
Normens bidrag Side 16
Bakgrunn Om Normen Normen Faktaark og veiledere Utadrettet virksomhet Kurs Normen er Norges første og største bransjenorm for informasjonssikkerhet og fra 2018 også for personvern Normen er åpent tilgjengelig via www.normen.no
Bakgrunn Om Normen Normen er til for Normen styres av en bredt sammensatt styringsgruppe Det daglige arbeidet koordineres av sekretariatet Alle virksomheter som ved avtale har forpliktet seg til å følge Normen i praksis de fleste av sektorens mer enn titusen virksomheter og deres leverandører og databehandlere Den offentlige tannhelsetjeneste Sekretariatet er plassert i Direktoratet for e-helse med fast representasjon fra Norsk Helsenett Strategi for Normen 2019-2021
Normen og medisinsk utstyr Veileder i personvern og informasjonssikkerhet -medisinsk utstyr Veileder presentert på MTF Landsmøte Drammen Obligatorisk kurs for med.tek personell i Helse Midt- Norge på St. Olavs Hospital Åpne kurs for med.tek personell, IKT-personell og leverandører Veileder i personvern og informasjonssikkerhet -medisinsk utstyr Første versjon Utbredelse Første kurs Åpne kurs Revidering 2015 2016 2017 2018 2019 Veilederen Landsmøtet Parallellsesjon Gratis Scenariene Arbeidet med veilederen startet i 2014 Også i 2018 var Normen invitert til Landsmøtet I 2017 var det for første gang en egen parallellsesjon for medisinsk utstyr og informasjonssikkerhet på Normkonferansen Kursene er gratis, pågår enda, og har til nå samlet nær 500 deltakere revideres, bl.a. med tanke på direkte bruk i Merida og Medusa Side 19
Hva skjer i 2019? Revidering av veileder Åpne kurs Egen parallellsesjon Oppdatering etter GDPR Fra 16 bruksscenarier til færre scenarier + egenskaper Nytt kurs 24. 25. september (Oslo) Gratis Påmelding åpen via www.normen.no Egen medisinteknisk parallellsesjon også under årets Normkonferanse 25.- 27. november 2019 Foreløpig tema: Nytt EU-regelverk Side 20
Virksomhetenes rolle Side 21
Samfunnssikkerhet og beredskap NOU 2016: 19 Samhandling for sikkerhet Beskyttelse av grunnleggende samfunnsfunksjoner i en omskiftelig tid
Informasjonssikkerhet Sikkerhetskultur PEOPLE PROCESSES TECHNOLOGY Side 23
Hva er Normens bidrag? Virksomhetene og sektoren må gjøre jobben selv Tilegne seg kompetanse Ha nødvendinge roller på plass Systematisk arbeid Sikkerhetskultur Informasjonssikkerhet = en gjørejobb Risikovurderinger, sikkerhetstesting, sikkerhetsoppdateringer, Normen kan bidra med Kompetansebygging Fasilitering, nettverk Verktøy, veiledning Side 24
Men husk Side 25
www.normen.no sikkerhetsnormen@ehelse.no Side 26