Hacking av MU - hva kan Normen bidra med?

Medisinsk teknologisk forenings landsmøte

Bergen, 24.4.2019

Side 1

Litt bakgrunn og

oppdatering

Personvern og informasjonssikkerhet to siste år…

Side 4

https://www.forbes.com/sites/thomasbrewster/2017/05/17/wannacry-ransomware-hit-real-medical-devices/#6a7fb780425c

Medisinsk utstyr og informasjonssikkerhet – hva er problemet?

Utstyret er ofte gammelt

Utstyret er dårlig sikret

Kjente sårbarheter eksisterer

Ikke alltid utstyret i seg selv som er målet for en

angriper

Side 5

.

Side 6

Innbyggere må ha tillit til at helse- og

omsorgssektoren behandler helse- og

personopplysninger på en trygg måte

Personvern og informasjonssikkerhet er

en forutsetning for digitalisering

Ting å følge med på…

Side 7

MDR 26.5.2020 og IVDR 26.5.2022

- betydning for cybersikkerhet

Medisinsk avstandsoppfølging

- informasjonssikkerhet og personvern

Regulation on medical devices (MDR) – Annex 1Safety and performance requirements related to cybersecurity

17.1. Devices that incorporate electronic programmable systems, including software, or software that are devices in themselves, shall be designed to ensure repeatability, reliability and performance in line with their intended use. In the event of a single fault condition, appropriate means shall be adopted to eliminate or reduce as far as possible consequent risks or impairment of performance.

17.2. For devices that incorporate software or for software that are devices in themselves, the software shall be developed and manufactured in accordance with the state of the art taking into account the principles of development life cycle, risk management, including information security, verification and validation.

17.4. Manufacturers shall set out minimum requirements concerning hardware, IT networks characteristics and IT security measures, including protection against unauthorised access, necessary to run the software as intended.

24.4 The instructions for use shall contain all of the following particulars:(ab) for devices that incorporate electronic programmable systems, including software, or software that are devices in themselves, minimum requirements concerning hardware, IT networks characteristics and IT security measures, including protection against unauthorisedaccess, necessary to run the software as intended.

Side 8

Side 9

EKSEMPEL:MINI-RISKOVURDERING

AV AVSTANDSOPPFØLGING

Side 10

• Usikker infrastruktur i pasientens hjem(både konfidensialitet og tilgjengelighet)

• Sikker autentisering• Av «bokser»• Av pasient / bruker (kognitiv svikt?)

• Overskuddsinformasjon• Dokumentasjonsplikt• Sletting• Samtykke

• Hva skal logges?• Medisinsk utstyr – en sikkerhetsutfordring

• Skylagring• Databehandleravtaler• Sletting• Underleverandører• …

MellomlagringPre-prosessering

Leverandør(f.eks utstyrsprodusent)

Leverandør(f.eks utstyrsprodusent)

• Omfattende brukervilkår(i gjennomsnitt 14 sider)

• Overføring til andre formål / til tredjepart

• Manglende sletting• Krav til brukerkontor for lagringKilde: Forbrukerrådet 2017: Helsedata til salgs?

Pasiententar i bruk tilleggsfunksjonalitetsom tilbys av f.eks utstyrsleverandør

Side 16

Normens bidrag

Normen er Norges første og største

bransjenorm for informasjonssikkerhet –

og fra 2018 også for personvern

Normen er åpent tilgjengelig via

www.normen.no

Bakgrunn ⎹ Om Normen

Normen Faktaark og veiledere Utadrettet virksomhet

Kurs

Bakgrunn ⎹ Om Normen

Normen styres av en

bredt sammensatt

styringsgruppe

Den offentlige tannhelsetjeneste

Normen er til for

Alle virksomheter som ved avtale har forpliktet seg til å følge Normen – i praksis de fleste av sektorens mer enn titusen virksomheter og deres leverandører og databehandlere

Det daglige arbeidet

koordineres av

sekretariatet

Sekretariatet er plassert i

Direktoratet for e-helse

med fast representasjon

fra Norsk Helsenett

Strategi for Normen 2019-2021

Normen og medisinsk utstyr

Side 19

2015 20172016 2018 2019

Veilederen Landsmøtet Parallellsesjon Gratis Scenariene

Veileder i personvern

og informasjons-

sikkerhet -medisinsk

utstyr

Første versjon Første kurs

Obligatorisk kurs

for med.tek personell

i Helse Midt- Norge

på St. Olavs Hospital

Åpne kurs

for med.tek personell,

IKT-personell og

leverandører

Åpne kurs Revidering

Veileder i personvern

og informasjons-

sikkerhet -medisinsk

utstyr

Utbredelse

Veileder presentert

på MTF Landsmøte

Drammen

I 2017 var det for

første gang en egen

parallellsesjon for

medisinsk utstyr og

informasjonssikkerhet

på Normkonferansen

Arbeidet med

veilederen startet i

2014

Også i 2018 var

Normen invitert

til Landsmøtet

Kursene er gratis,

pågår enda, og har til

nå samlet nær 500

deltakere

revideres, bl.a. med

tanke på direkte bruk i

Merida og Medusa

Revidering av veileder Åpne kurs

Side 20

Hva skjer i 2019?

Oppdatering etter GDPR

Fra 16 bruksscenarier til

færre scenarier +

egenskaper

Nytt kurs 24 . – 25. september (Oslo)

Gratis

Påmelding åpen via www.normen.no

Egen parallellsesjon

Egen medisinteknisk

parallellsesjon også under

årets Normkonferanse

25.- 27. november 2019

Foreløpig tema:

Nytt EU-regelverk

Virksomhetenes rolle

Side 21

Samfunnssikkerhet og beredskap

NOU 2016: 19Samhandling for sikkerhet — Beskyttelse av grunnleggende samfunnsfunksjoner i en omskiftelig tid

Informasjonssikkerhet

PEOPLE

TECHNOLOGYPROCESSES

Side 23

Sikkerhetskultur

Hva er Normens bidrag?

Virksomhetene og sektoren må gjøre jobben selv Tilegne seg kompetanse Ha nødvendinge roller på plass Systematisk arbeid Sikkerhetskultur

Informasjonssikkerhet = en gjørejobb Risikovurderinger, sikkerhetstesting, sikkerhetsoppdateringer,…

Normen kan bidra med Kompetansebygging Fasilitering, nettverk Verktøy, veiledning

Side 24

Men husk…

Side 25

www.normen.no

sikkerhetsnormen@ehelse.no

Side 26