MÅ SIKRES: Medisinsk teknisk utstyr skal på nett, og må sikres. (Foto: Istock)

Den «nye» digitale angrepsflaten i helsesektoren

LEDER: Medisinsk teknisk utstyr er helsesektorens svar på operasjonell it i energisektoren.

De siste årene har det jevnlig blitt satt søkelys på sikkerhet i forbindelse med operasjonelt utstyr (OT) i energisektoren. OT-begrepet omfatter utstyr som tradisjonelt har befunnet seg bak gjerder og stengte dører på fabrikkområder og produksjonsanlegg. OT omfatter alt som behøves for å styre prosesser, fra pumper, kraner, sensorer til selve styringssystemene.

Siden anleggene er fysisk sikret, og utstyret har kjørt på proprietære, industrispesifikke nettverk, har ingen tenkt på innebygget sikkerhet for å verne mot for hackerangrep eller løsepengevirus. Det holder ikke lenger, når utstyret kjører på standard nettverk, og produksjonsstyringen må snakke med virksomhetsstyringen.

Derfor har stadig flere uttrykt bekymring over at OT representerer en ny angrepsflate for internasjonale og kriminelle trusselaktører på internett. Dette er kjent for de fleste, og grunnen til at neste generasjon OT-utstyr vil ha sikkerhet innebygd.

Helseinformasjon er kanskje de aller mest sensitive personopplysningene i samfunnet. Informasjonen ticker alle de viktigste boksene for ondsinnede trusselaktører. Informasjonen er svært sensitiv, lekkasjer har stor allmenn interesse, og eierne er svært kapitalsterke. På toppen av det hele kan det være en kilde til kompromitterende opplysninger om interessante enkeltpersoner.

Under årets Heathworld-konferanse tidligere i uka, påpekte Martin Gilje Jaatun fra Sintef at helsesektoren har sin egen digitale angrepsflate der ingen har tenkt på sikkerhet. I helse snakker man ikke om OT, men om medisinsk teknisk utstyr. Fra sensorer, måleinstrumenter, pumper, kraner, doseringsmekanismer, helt opp til mer avanserte systemer for å tolke og diagnostisere.

Dette er utstyr som bare har stått inne på sykehusene, på proprietære nett. De styres jo bare av leger eller trenet medisinsk personell. Men også innen helse er verden i ferd med å endre seg kraftig. Proprietære nettverk erstattes av standard, krav til mobilitet og telemedisin gjør at man ikke lenger bare befinner seg inne på en medisinsk campus.

Morgendagens medisinske utstyr er en del av tingenes internett. I mange tilfeller noe pasientene har på seg eller med seg selv, som måleapparater, sensorer, pulsklokker eller lignende. Alt slikt utstyr må ha innebygget sikkerhet som en del av det grunnleggende designet, noe svært lite av det har i dag. Av det som ikke har det, er det også en betydelig andel som ikke har mulighet til å oppgraderes til å ha det heller.

Informasjonssikkerheten blir aldri bedre enn det svakeste ledd. Det hjelper lite å lagre data trygt hvis produksjonen av dem foregår helt ribbet for sikkerhet.

Vi trenger digitalisering av helsesektoren. Vi må ha helse på mer effektive og nye måter for å møte utfordringene knyttet til generasjonsutfordringer, høyere levealder og større evne til å behandle flere sykdommer.

Det må ikke gå på bekostning av sikkerhet.