IT-säkerhet när du arbetar inom Medtech - detta bör du göra och tänka på!

Digitaliseringen går snabbt framåt men tyvärr håller inte säkerheten kring IT samma takt. Många företag prioriterar inte IT-säkerhet så mycket som de bör och det blir alltför många gånger brandsläckning för stunden.

Idag försöker man få in samma IT-säkerhetstänk i medtechbranschen likt som för OT (operational teknologi) och för industriella kontrollsystem. I takt med att fler och fler bolag, både inom privata och offentliga sektorn blir mål för ransomware attacker ökar fokus och krav kring säkerhet hos allt fler.

WannaCry ransomware attacken som skedde för några år sedan är bara ett av flertalet koordinerade globala attacker, där flertalet företag och organisationer slogs ut i över 150 länder. Även om attackerarnas mål inte specifikt är sjukhus och medtech får man inte glömma att det faktiskt kan hända och att man systematiskt jobbar för att hålla sina system säkra. Skulle maskiner och operationell teknologi slåss ut blir det otroligt höga kostnader och inte minst att liv sätts i fara.

Denna artikel är inriktad mot IT-säkerhet kopplat till medtechbranschen men du som arbetar inom en annan bransch kan också följa mina tips nedan.

Åtgärder & saker ni behöver ha vetskap om:

1. Nätverk
När man besöker ett sjukhus så har de oftast ett öppet nätverk (WIFI) som besökarna kan ansluta till. Det är viktigt att detta nätverk är fysiskt eller logiskt separerat från sjukhusnätverket då det annars kan vara en väg in. Är nätverket inte separerat kan vem som helst ta sig vidare i nätverket och ställa till med problem.

I sjukhusnätverket bör ni sätta upp olika logiska zoner och ha dedikerade zoner för era mest kritiska system som exempelvis kräver nätverksuppkoppling för att kunna övervakas och styras. Exempelvis dialysmaskiner, magnetröntgen och respiratorer.

Filtrera även kommunikation mellan enheter på samma zoner och se till att de är skyddade från varandra. Om de behöver kommunicera med varandra bör de endast öppnas upp så länge det behövs. Blockera all annan trafik som inte ska släppas in eller ut ur zonen.

2. Lösenord
Ett stort och återkommande problem med säkerheten är att lösenorden inte är tillräckligt långa och komplexa vilket gör att det blir enklare för attackerarna att gissa sig till lösenorden. Använder ni heller inte multifaktorsautentisering blir det ännu lättare för angriparna att göra lösenordattacker. Se till att ha en komplex lösenordpolicy för alla anställda och implementera multifaktorsautentisering om ni inte redan har det. Genom att använda en lösenordsfras blir det ofta enklare att lägga det på minnet, vilket försvårar en lösenordsattack.

3. Resurser & utbildning
Den mänskliga faktorn är det största hotet när det gäller IT-säkerhet och många gånger är det okunskap som gör att säkerheten brister. Det kan exempelvis hända att någon kopplar in enheter i nätverket som inte borde vara där, exempelvis som att ladda sin mobiltelefon på ett ställe som inte är anpassat för det.

När man introducerar nya maskiner eller enheter i ett nätverk är det väldigt ofta så att man inte har full koll på vilka kommunikationsprotokoll som krävs för att enheten ska fungera ordentligt. Detta leder ofta till att man gör temporära öppningar som tillåter all trafik, och som i många fall förblir permanenta.

Okunskap hos IT-personalen och de anställda kan medföra stora konsekvenser och därför är det viktigt att utbilda personalen. Ge dem vetskap om hur de bör använda både produkterna och nätverket på ett säkert sätt ur ett IT-säkerhetsperspektiv. Utbildning bör ske kontinuerligt för att färska upp minnet och möjlighet att ta upp ny information.

4. Mobil applikationssäkerhet
Idag tillhör det vanligheterna att kunna styra och avläsa medtech utrustning genom mobila enheter och speciellt utvecklade appar. Beroende på hur applikationen kommunicerar med enheten, så måste denna vara säker på så sätt att kommunikationen inte går att avlyssna eller manipulera. I många fall kan man exempelvis introducera certificate pinning och root/jailbreak detektering som ser till att applikationen stängs ner om kommunikationen bryts eller ifall appen körs i en miljö där attackeraren har fulla läsrättigheter på enheten. Den personliga datan måste givetvis också sparas på ett säkert sätt. Se till att all värdefull information är krypterad på disk. När det kommer till hårdvaran är det viktigt att det endast är en betrodd enhet eller applikation som får lov att kommunicera med hårdvaran.

5. Uppdatering av system 
Ett vanligt förekommande problem inom bolag och organisationers nätverk är legacysystem. Ett legacysystem kan vara en kritisk applikation eller lösning som körs med antingen utdaterad mjukvara eller på ett utdaterat operativsystem. Eftersom de kör på utdaterad mjukvara eller operativsystem, löper de också större risk att bli attackerade. Det är viktigt att se till att antingen uppdatera dem, byta ut dem mot nya system om det är möjligt eller separera ut systemen i en nerlåst zon.

6. Processer vid attack
Jag har allt för många gånger sett företag som jobbat mycket kring säkerheten i deras nätverk, men när de väl kommer till kritan och de utsätts för en attack är det ofta på grund av användarkonto med enkla lösenord. Spårbarheten i ett nätverk är allt för ofta också bristfällig, då man saknar processer och kontroller för att systematiskt övervaka användning av konto och system. Jag rekommenderar därför att jobba med att övervaka, få förståelse av vad som sker och sätt ihop en actionprocess så att ni vet vad ni ska göra och vem som ska göra vad när ni ser att något händer.

7. Upphandling av system
Vid upphandling av olika system generellt och inte bara medtechsystem, så skulle jag rekommendera att redan från början prata med leverantören och kolla om de tidigare eller kontinuerligt genomför penetrationstester och hur deras process kring säkerhetstest ser ut. Om leverantören inte vill visa dokument eller säger att de inte gör säkerhetstest så är det troligen inte en seriös leverantör eller produkt.

Detta är ett krav som ni som beställare bör kunna ställa och företag måste bli bättre på det ställa kraven samt skriva en överenskommelse om vite om det skulle visa sig att det inte stämmer. Om fler företag gör detta så kommer fler börja jobba med säkerheten.
 

Vill ni göra en genomlysning är ni välkomna att kontakta oss!

Ta del av vårt inspelade webinar om Medtech!

I detta webinar går Deni igenom hur flexibel du kan vara vid utvecklingen av en Medical Device, hur du kan strukturera upp din dokumentation för att slippa en tung dokumentationsbörda vid leverans och vanliga fallgropar som du bör undvika. 

Hur flexibel kan du vara vid utvecklingen av en Medical Device?


Alla blogginlägg

Vi rekommenderar också