Tyskland: Dålig IT-säkerhet i medicinsktekniska produkter

Tysklands myndighet för informationssäkerhet, Bundesamt für Sicherheit in der Informationstechnik (“BSI”), har undersökt IT-säkerheten i uppkopplade medicintekniska produkter som används inom sjukvården och äldreomsorgen i två studier. Resultaten avslöjar betydande säkerhetsbrister. Vissa av produkterna som undersökts används även inom den svenska sjukvården och äldreomsorgen.

I den första studien, Manipulation of Medical Devices, analyserades tio uppkopplade medicintekniska produkter från fem olika kategorier: implanterbara pacemakers och defibrillatorer samt tillhörande utrustning, insulinpumpar, ventilatorer, infusionspumpar och patientmonitorer. Totalt hittades mer än 150 sårbarheter som till exempel kraschat användargränssnitt, buffertspill och integer overflow.

I den andra studien, eCare, undersöktes uppkopplade medicintekniska produkter och IoT-produkter som används inom äldrevården som exempelvis utrustning för hemmonitoering, nödsamtalssystem, smarta pillerlådor, smarta sängar och surfplattor för äldre. Studien bedömer produkternas säkerhetsnivå som “dålig till mycket dålig”. Studiens resultat antyder att det varken genomförts professionella penetrationstester eller säkerhetsanalyser för någon av produkterna. Tillverkarna verkar inte heller konsulterat varken riktlinjerna för utveckling av säkra, uppkopplade medicintekniska produkter som publicerats av BSI eller riktlinjer som utfärdats av andra organisationer.

Då vissa av produkterna som undersöktes i studierna även används i Sverige är resultaten även tillämpliga här. Enligt Socialstyrelsens föreskrifter HSLF-FS 2016:40 krävs bland annat att vårdgivare implementerar ledningssystem för informationssäkerhet och genomför löpande riskanalyser. Därutöver ställer dataskyddsförordningen (“GDPR”) krav på att genomföra konsekvensbedömningar avseende dataskydd. Regelverken kan dock tolkas på olika sätt vilket kan leda till att kvalitén av riskanalyserna som genomförs skiljer sig åt. Det finns därför ett behov av att lyfta kompetensen på området vilket är ett av syftena med studierna som publicerats av BSI.

Ta del av den första studien, endast tillgänglig på engelska, här.

Ta del av den första studien, endast tillgänglig på engelska, här.

Läs BSI:s riktlinjer, endast tillgänglig på engelska, här.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.