hacking av mu - hva kan normen bidra med?€¦ · forpliktet seg til å følge normen –i praksis...
TRANSCRIPT
Hacking av MU - hva kan Normen bidra med?
Medisinsk teknologisk forenings landsmøte
Bergen, 24.4.2019
Side 1
Litt bakgrunn og
oppdatering
Personvern og informasjonssikkerhet to siste år…
Side 4
https://www.forbes.com/sites/thomasbrewster/2017/05/17/wannacry-ransomware-hit-real-medical-devices/#6a7fb780425c
Medisinsk utstyr og informasjonssikkerhet – hva er problemet?
Utstyret er ofte gammelt
Utstyret er dårlig sikret
Kjente sårbarheter eksisterer
Ikke alltid utstyret i seg selv som er målet for en
angriper
Side 5
.
Side 6
Innbyggere må ha tillit til at helse- og
omsorgssektoren behandler helse- og
personopplysninger på en trygg måte
Personvern og informasjonssikkerhet er
en forutsetning for digitalisering
Ting å følge med på…
Side 7
MDR 26.5.2020 og IVDR 26.5.2022
- betydning for cybersikkerhet
Medisinsk avstandsoppfølging
- informasjonssikkerhet og personvern
Regulation on medical devices (MDR) – Annex 1Safety and performance requirements related to cybersecurity
17.1. Devices that incorporate electronic programmable systems, including software, or software that are devices in themselves, shall be designed to ensure repeatability, reliability and performance in line with their intended use. In the event of a single fault condition, appropriate means shall be adopted to eliminate or reduce as far as possible consequent risks or impairment of performance.
17.2. For devices that incorporate software or for software that are devices in themselves, the software shall be developed and manufactured in accordance with the state of the art taking into account the principles of development life cycle, risk management, including information security, verification and validation.
17.4. Manufacturers shall set out minimum requirements concerning hardware, IT networks characteristics and IT security measures, including protection against unauthorised access, necessary to run the software as intended.
24.4 The instructions for use shall contain all of the following particulars:(ab) for devices that incorporate electronic programmable systems, including software, or software that are devices in themselves, minimum requirements concerning hardware, IT networks characteristics and IT security measures, including protection against unauthorisedaccess, necessary to run the software as intended.
Side 8
Side 9
EKSEMPEL:MINI-RISKOVURDERING
AV AVSTANDSOPPFØLGING
Side 10
• Usikker infrastruktur i pasientens hjem(både konfidensialitet og tilgjengelighet)
• Sikker autentisering• Av «bokser»• Av pasient / bruker (kognitiv svikt?)
• Overskuddsinformasjon• Dokumentasjonsplikt• Sletting• Samtykke
• Hva skal logges?• Medisinsk utstyr – en sikkerhetsutfordring
• Skylagring• Databehandleravtaler• Sletting• Underleverandører• …
MellomlagringPre-prosessering
Leverandør(f.eks utstyrsprodusent)
Leverandør(f.eks utstyrsprodusent)
• Omfattende brukervilkår(i gjennomsnitt 14 sider)
• Overføring til andre formål / til tredjepart
• Manglende sletting• Krav til brukerkontor for lagringKilde: Forbrukerrådet 2017: Helsedata til salgs?
Pasiententar i bruk tilleggsfunksjonalitetsom tilbys av f.eks utstyrsleverandør
Side 16
Normens bidrag
Normen er Norges første og største
bransjenorm for informasjonssikkerhet –
og fra 2018 også for personvern
Normen er åpent tilgjengelig via
www.normen.no
Bakgrunn ⎹ Om Normen
Normen Faktaark og veiledere Utadrettet virksomhet
Kurs
Bakgrunn ⎹ Om Normen
Normen styres av en
bredt sammensatt
styringsgruppe
Den offentlige tannhelsetjeneste
Normen er til for
Alle virksomheter som ved avtale har forpliktet seg til å følge Normen – i praksis de fleste av sektorens mer enn titusen virksomheter og deres leverandører og databehandlere
Det daglige arbeidet
koordineres av
sekretariatet
Sekretariatet er plassert i
Direktoratet for e-helse
med fast representasjon
fra Norsk Helsenett
Strategi for Normen 2019-2021
Normen og medisinsk utstyr
Side 19
2015 20172016 2018 2019
Veilederen Landsmøtet Parallellsesjon Gratis Scenariene
Veileder i personvern
og informasjons-
sikkerhet -medisinsk
utstyr
Første versjon Første kurs
Obligatorisk kurs
for med.tek personell
i Helse Midt- Norge
på St. Olavs Hospital
Åpne kurs
for med.tek personell,
IKT-personell og
leverandører
Åpne kurs Revidering
Veileder i personvern
og informasjons-
sikkerhet -medisinsk
utstyr
Utbredelse
Veileder presentert
på MTF Landsmøte
Drammen
I 2017 var det for
første gang en egen
parallellsesjon for
medisinsk utstyr og
informasjonssikkerhet
på Normkonferansen
Arbeidet med
veilederen startet i
2014
Også i 2018 var
Normen invitert
til Landsmøtet
Kursene er gratis,
pågår enda, og har til
nå samlet nær 500
deltakere
revideres, bl.a. med
tanke på direkte bruk i
Merida og Medusa
Revidering av veileder Åpne kurs
Side 20
Hva skjer i 2019?
Oppdatering etter GDPR
Fra 16 bruksscenarier til
færre scenarier +
egenskaper
Nytt kurs 24 . – 25. september (Oslo)
Gratis
Påmelding åpen via www.normen.no
Egen parallellsesjon
Egen medisinteknisk
parallellsesjon også under
årets Normkonferanse
25.- 27. november 2019
Foreløpig tema:
Nytt EU-regelverk
Virksomhetenes rolle
Side 21
Samfunnssikkerhet og beredskap
NOU 2016: 19Samhandling for sikkerhet — Beskyttelse av grunnleggende samfunnsfunksjoner i en omskiftelig tid
Informasjonssikkerhet
PEOPLE
TECHNOLOGYPROCESSES
Side 23
Sikkerhetskultur
Hva er Normens bidrag?
Virksomhetene og sektoren må gjøre jobben selv Tilegne seg kompetanse Ha nødvendinge roller på plass Systematisk arbeid Sikkerhetskultur
Informasjonssikkerhet = en gjørejobb Risikovurderinger, sikkerhetstesting, sikkerhetsoppdateringer,…
Normen kan bidra med Kompetansebygging Fasilitering, nettverk Verktøy, veiledning
Side 24
Men husk…
Side 25