Sikkerhet i det medisinske IoT

Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene. Når alle våre ”dingser” kobles på nett øker angrepsflaten og våre verdier blir sårbare for hacking. Dette utgjør ikke bare en trussel mot informasjonssikkerhet og personvern, også menneskers liv og helse trues når dingser som kan påvirke fysiske systemer i økende grad kobles opp mot Internett.

Faksimile fra Dagens Nærlingsliv Magasinet 08.01.16 - Foto: Maxim Sergienko

Faksimile fra Dagens Næringsliv Magasinet 08.01.16 – Foto: Maxim Sergienko

Dette er en veldig aktuell problemstilling for helsesektoren, hvor livskritiske systemer og systemer som inneholder sensitiv pasientinfo i økende grad kobles opp mot Internett. Den siste uken har det vært flere nyhetsoppslag om sykehus som har blitt hardt rammet av løsepengevirus og måttet betale kriminelle for å få tilgang til sine kritiske systemer for håndtering av pasientinformasjon.

Jeg har tidligere blogget om hvordan jeg oppdaget at min implanterte pacemaker har to trådløse kommunikasjons-grensesnitt, hvor det ene kan brukes til å sende logger og pasientinfo over nettet til en webportal. Jeg og Éireann Leverett holdt et foredrag på hacker-konferansen CCC om vårt hacking-prosjekt for å finne ut av sikkerheten i denne trådløse kommunikasjonen. Journalist Osman Kibar fra Dagens Næringsliv var tilstede på konferansen og intervjuet meg for Magasinet, saken er også tilgjengelig på nett.

Cybersikkerhet i medisinsk utstyr er et umodent felt, mer forskning trengs og lovverket henger etter på dette området. Hvordan kan helsevesenet, leverandører av medisinsk utstyr, tilsynsmyndigheter  og sikkerhetsforskere samarbeide for å bedre tilstanden? Dette var tema på en workshop arrangert av FDA (US Food and Drugs Administration), hvor jeg var tilstede og deltok i to paneldebatter.

Illustrasjon fra paneldebatt om hvordan bedre cybersikkerheten i medisinsk utstyr - Illustrasjon ved Stephanie Brown

Illustrasjon fra paneldebatt om hvordan bedre cybersikkerheten i medisinsk utstyr – Illustrasjon ved Stephanie Brown, Foto: Marie Moe

Konferansen samlet 1300 deltakere og noen av temaene som ble diskutert var

Presentasjoner og opptak av streamingen er tilgjengelig her.

På konferansen ble FDA sine nye retningslinjer for cybersikkerhet i medisinsk utstyr som allerede er på markedet presentert og sendt ut på en offentlig høring.

Grasrot-organisasjonen I Am The Cavalry var sterkt representert på konferansen og introduserte den Hippokratiske eden for sikkerhet i nettverkstilkoblet medisinsk utstyr. Hovedprinsippene i denne eden er følgende:

  • Cyber-safety by design
  • Tredjeparts samarbeid
  • Bevissikring
  • Resilience (ivareta kritisk funksjonalitet selv når komponenter feiler)
  • Sikkerhetsoppdateringer

Er du interessert i å høre mer om dette? Jeg holder foredrag på konferansen Troopers i Tyskland 17. mars, og vil også gjøre en gjesteopptreden på RSA-konferansen i San Francisco 4. mars. Blir dette litt langt å reise? Jeg holder foredrag på NTNU i Gjøvik 26. februar, dette foredraget blir også streamet. Meld deg på her. Jeg holder også foredrag på konferansen Internet of Things 2016 E-Helse i Oslo 31. mars.