Med hjertet på Internett

Like dokumenter
Informasjonssikkerhet og personvern:

IKT-sårbarhet i norsk kraftforsyning. Janne Hagen Forsker (PhD) og medlem av Lysne-utvalget

Teknologi. Nett i hjertet

Komposisjon av risikomodeller:

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Seminar om betalingssystemer og IKT i finanssektoren,

CYBER SECURITY AUTONOME SYSTEMER. Marie Moe, forskningsleder for Cyber Security,

IKT sikkerhet, regelverk og teknologi. Hvordan gjør Glitre Energi Nett det? Energidagene 2016

Regelverk for IoT. GDPR eprivacy

Cyberforsikring Når lønner det seg?

Nytt regelverk (GDPR) og IoT

Må man være syk i hodet for å ha helseopplysninger i skyen?

Vår digitale sårbarhet teknologi og åpne spørsmål

Kan cyber-risiko forsikres?

Sykehuspartner skal bygge en digital motorvei for Helse Sør-Øst. Morten Thorkildsen Styreleder, Sykehuspartner HF 11. oktober 2018

Cybersikkerhet hva er det og hva er utfordringene? Karsten Friis

HØGSKOLEN I SØR-TRØNDELAG

IKT-SIKKERHET I ALLE LEDD ORGANISERING OG REGULERING AV NASJONAL IKT SIKKERHET

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Normens veileder for Informasjonssikkerhet og personvern - medisinsk utstyr. Åpent med.tek. kurs 30. oktober 2018

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

HelseCERT Situasjonsbilde 2018

LAB-IT-PROSJEKTET - TEKNISKE LØSNINGER IT-FORUM 2017

Standardisering, velferdsteknologi og tekniske hjelpemidler

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

IT-sikkerhet en praktisk tilnærming. Gardemoen

DET DIGITALE TRUSSELBILDET INNAN VA FYSISK SIKRING, DIGITALSIKRING OG MENNESKELEG PÅVERKNAD. Jon Røstum, sjefstrateg Powel

Hacking av MU - hva kan Normen bidra med?

Alt-i-ett-dekning for bedriften din

Nettbutikkenes trusler i det digitale rom. Thor M Bjerke, sikkerhetsrådgiver Virke.

Digitale depot. Terje Pettersen-Dahl Seksjon for Digitalt Depot Riksarkivet. KAI-konferanse 2013 Balestrand 13. september 2013

Ingen kompromisser - Beste beskyttelse for stasjonære og bærbare PCer CLIENT SECURITY

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1

Informasjon om håndtering av IKT-sikkerhetshendelser

Sikkerhet i Pindena Påmeldingssystem

Samfunnskritisk kommunikasjon i mobilnettene. Mission possible? Frekvensforum, Lillesand Tor Helge Lyngstøl, fagdirektør

Til IT-ansvarlige på skolen

Sikkerhet innen kraftforsyningen

Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss?

TRUSLER, TRENDER OG FAKTISKE HENDELSER

Erfaring med BYOD. Espen A. Fossen, Sikkerhetssjef :02

DDS-CAD. Oppsett av student-/demolisens

Risikovurdering av AMS

Totalforsvaret 2.0 Sivilt-militært samarbeid

Arkitektur og standarder for medisinsk utstyr og velferdsteknologi

NiSec Network Integrator & Security AS ALT UNDER KONTROLL

Trusler, trender og tiltak 2009

Hva kan vi gjøre med det da?

Beskrivelse av informasjonssystemet

Sikker deling og kommunikasjon F-SECURE PROTECTION FOR SERVERS, AND COLLABORATION

Trådløse Systemer. Arild Trobe Engineering Manager. Trådløse Systemer for å løse.. dette?

Håkon Olsen Overingeniør Lloyd s Register Consulting

Introduksjon til informasjonssikkerhet. Edwin Nilsson. 8. oktober 2014

FOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET. Eldri Naadland Holo Seksjonssjef beredskap, NVE

Hva er trusselen og hvordan påvirker den oss? Niklas Vilhelm Forsker Nasjonal Sikkerhetsmyndighet

Installasjon av Windows 7 (kan oppgraderes til Win10) og Office 2016

Truverdige mobile trådlause ad hoc-nett ein illusjon?

Forskerne på Sørlandet Avtale med Sykehuspartner Kerstin Litwinski

Cyberforsikring for alle penga?

Fredrikstad 7. mars Gard Jenssen Programleder Smart Fredrikstad

Tekniske krav til portal med publiseringsløsning (fase 1)

Brukerhåndbok Veiledning for fastvareoppdatering

Bård Myhre SINTEF IKT. Innføringskurs i RFID februar 2008

Tekniske forberedelser til implementering av responsløsning og trygghetsskapende teknologi. Margrethe Noraas Kristiansand kommune / KR-IKT

AGENDA Intro Mobile enheter Trusselbildet Strategi for mobile enheter Policy Brukerbevissthet Løsninger to innfal svinkler Watchcom Security Group AS

Spillerom for bransjen sett fra leverandørenes side. Espen Kåsin Direktør Software Embriq AS

Normens veileder for Informasjonssikkerhet og personvern - medisinsk utstyr. 14. mars 2018

Hvem, hva, hvor en innføring i RFID-teknologi. Bård Myhre, SINTEF IKT Trådløs framtid i industrien Trondheim, 13. oktober 2009

ReSound Made for iphone ReSound Smart App Side 6-11

Fra informasjonssystemer til informasjonsinfrastrukturer

Målrettede angrep. CIO forum 6.mars Tore Terjesen Head of MSS & SOCs - Nordics tore.terjesen@secode.com

Lumia med Windows Phone

Mørketallsundersøkelsen 2006

Informasjon og priser på digital trygghetsalarm i utgave CareIP og CareIP-M

GÅRSDAGENS TEKNOLOGI

Honeywell OneWireless

NSM NorCERT og IKT risikobildet

Pressebriefing 11. april 2013

Innhold: Hva skjer med driftskontroll når n r IT blir en tjeneste i skyen? Innhold: IT vs Driftskontrollsystemer:

Cyberforsvaret. - Forsvarets nye «våpengren» Cybertrusselen Nye sikkerhetsutfordringer i cyberspace. Gunnar Salberg

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Remote Desktop Services

System Dokumentasjon. Team2. Høgskolen i Sørøst-Norge Fakultet for teknologi, naturvitenskap og maritime fag Institutt for elektro, IT og kybernetikk

Hvordan kan den enkelte virksomhet bidra til å skape tillit? Olav Petter Aarrestad, IT-direktør 12/06/2019

a) Forklar hva som menes med variert programvare («diverse software») og hvordan dette kan oppnåes. (5%)!

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Sikkerhet og informasjonssystemer

Falske Basestasjoner Hvordan er det mulig?

Bransjens konklusjon og anbefaling rundt AMS-kanalen og lokale grensesnitt på målernoden

Knut Styve Hornnes, Stig Løvlund, Jonas Lindholm (alle Statnett)

Hvordan beskytte seg mot en ny og fremvoksende trussel

NASJONAL SIKKERHETSMYNDIGHET: DO'S AND DON'TS. Gardermoen, 27. september Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet

NorCERT IKT-risikobildet

Informasjonssikkerhet og etikk hvordan henger dette sammen DRI

Integrerte Tekniske Bygningsinstallasjoner

Er identitetsfederering en forutsetning for en vellykket SOA?

NSMs kryptoaktiviteter

GETINGE ONLINE FÅ TILGANG TIL INFORMASJON UANSETT HVOR DU ER. Always with you

Transkript:

Oslo 18. april 2016 Med hjertet på Internett Sikkerhet i det medisinske IoT Marie Moe, PhD, Forsker ved, Systemutvikling og sikkerhet @MarieGMoe @SINTEF_Infosec 1

Dagens Næringsliv Magasinet 9. januar 2016 2

Hjertets elektriske system 3

Pacemaker https://www.youtube.com/watch?v=-f2fkmmnexy

Nyeste generasjon pacemaker 5

I en ganske nær fremtid... https://www.youtube.com/watch?v=ziqjipd2n8k

Fremtiden er nå https://youtu.be/jzjxltr5vke?list=pli6tvvivpg8gwkwwjyl8momuk8b0rmm6v 7

Det medisinske Internet of Things Når sensorsystemene implanteres i kroppen må vi beskytte vår personlige kritiske infrastruktur!

POTS/SMS Cellular or Telephone Network Web portal Home monitoring unit MICS/ ISM Inductive near field communication Pacemaker/ICD Programmer

Hva kan gå galt? Sårbarheter i pacemakeren? Sårbarheter i aksesspunktet? Kan vi stole på mobilnettet? Er leverandørens server/skytjeneste sikret? Sårbarheter i web-portalen? Menneskelige feil?

Mulige konsekvenser Pasientinformasjon på avveie Tømming av batteri Feiltilstander og feilkonfigurasjon Livstruende feilbehandling Trusler ogutpressing 11

Utfordringer for sikkerhet i medisinsk utstyr Proprietære løsninger uten velkjente og standardiserte protokoller Leverandør krever hull i brannmur for fjerntilgang Standard eller hardkodede passord, dårlig nøkkelhåndtering Ikke implementert tilfredsstillende mekanismer eller rutiner for software-oppdatering Det fysiske produktet har lang levetid og blir hengende etter i forhold til nye sikkerhetsmekanismer og utviklingen i trusselbildet Produkter som tradisjonelt har fungert i lukkede miljø kobles på nett Mangelfull regulering og lovverk Lav bruker- og bestillerkompetanse

Man kan ikke alltid stole på utstyrsleverandøren 13

Hva skjer med min pasientdata i skyen? 14

En veldig lang trapp...

Når det som står på skjermen ikke stemmer

Fordelene utveier ulempene! 17

Jay Radcliffe: Hacket sin egen insulinpumpe 18

Hugo Campos: Tilgang til egen data fra ICD 19

Dr. Kevin Fu: Forsker på sikkerhet i pacemakere/icder SINTEF IKT 20

Noen referanser Pacemakere: Kevin Fu et al: Pacemakers and implantable cardiac defibrillators: Software radio attacks and zero-power defenses (2008) Mitigating EMI signal injection attacks against analog sensors (2013) Barnaby Jack Annet medisinsk utstyr: Hardkodede passord og medical device honeypots (Scott Erven) Insulinpumper(Jay Radcliffe) Medisinpumper(Billy Rios) 21

Første eksempel på tilbaketrekking pga cybersikkerhet 22

http://www.fda.gov/newsevents/newsroom/pressannouncements/ucm481968.htm 23

Hvordan få bedre sikkerhet? Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og i hele leverandørkjeden Bevissikring: Bevissikring og logging vil kunne brukes i hendelseshåndtering og etterforskning i etterkant av en hendelse der medisinske implantat kan ha blitt utsatt for cyberangrep Testing: Metodikk og rammeverk for tredjeparts testing Patching: Løsninger for rask og sikker patching av sårbarheter og sikkerhetshull i medisinske implantat Resilience: Hvordan sørge for at komponenter i det medisinske implantatet fortsetter å levere kritisk pasientbehandling også under feiltilstander eller forsøk på angrep

Konklusjon Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene Utstyrsprodusenter må bygge inn sikkerhet i produktene Brukere må gjøre egne risikoanalyser og følge med på utviklingen i risikobildet Vi må innse at det vil gå galt, og planlegge for dette Mer uavhengig forskning og tredjeparts testing trengs Standardisering, ansvarsavklaring og bedre lovregulering 27

Takk til Éireann Leverett (@blackswanburst) Tony Naggs (@xa329) Gunnar Alendal (@gradoisageek) Hugo Campos (@HugoOC) Scott Erven (@scotterven) Alexandre Dulaunoy (@adulau) Claus Cramon Houmann (@ClausHoumann) Joshua Corman (@joshcorman) Beau Woods (@beauwoods) Suzanne Schwartz (US FDA) Familie & venner

Takk for oppmerksomheten! marie.moe@sintef.no http://infosec.sintef.no http://iamthecavalry.org @MarieGMoe @SINTEF_Infosec

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding