Tyskland: Dålig IT-säkerhet i medicinsktekniska produkter

Tysklands myndighet för informationssäkerhet, Bundesamt für Sicherheit in der Informationstechnik (“BSI”), har undersökt IT-säkerheten i uppkopplade medicintekniska produkter som används inom sjukvården och äldreomsorgen i två studier. Resultaten avslöjar betydande säkerhetsbrister. Vissa av produkterna som undersökts används även inom den svenska sjukvården och äldreomsorgen.

I den första studien, Manipulation of Medical Devices, analyserades tio uppkopplade medicintekniska produkter från fem olika kategorier: implanterbara pacemakers och defibrillatorer samt tillhörande utrustning, insulinpumpar, ventilatorer, infusionspumpar och patientmonitorer. Totalt hittades mer än 150 sårbarheter som till exempel kraschat användargränssnitt, buffertspill och integer overflow.

I den andra studien, eCare, undersöktes uppkopplade medicintekniska produkter och IoT-produkter som används inom äldrevården som exempelvis utrustning för hemmonitoering, nödsamtalssystem, smarta pillerlådor, smarta sängar och surfplattor för äldre. Studien bedömer produkternas säkerhetsnivå som “dålig till mycket dålig”. Studiens resultat antyder att det varken genomförts professionella penetrationstester eller säkerhetsanalyser för någon av produkterna. Tillverkarna verkar inte heller konsulterat varken riktlinjerna för utveckling av säkra, uppkopplade medicintekniska produkter som publicerats av BSI eller riktlinjer som utfärdats av andra organisationer.

Då vissa av produkterna som undersöktes i studierna även används i Sverige är resultaten även tillämpliga här. Enligt Socialstyrelsens föreskrifter HSLF-FS 2016:40 krävs bland annat att vårdgivare implementerar ledningssystem för informationssäkerhet och genomför löpande riskanalyser. Därutöver ställer dataskyddsförordningen (“GDPR”) krav på att genomföra konsekvensbedömningar avseende dataskydd. Regelverken kan dock tolkas på olika sätt vilket kan leda till att kvalitén av riskanalyserna som genomförs skiljer sig åt. Det finns därför ett behov av att lyfta kompetensen på området vilket är ett av syftena med studierna som publicerats av BSI.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

09 MAR

Introduktion till dataskyddsförordningen

Lär dig om grunderna i GDPR och vad som gäller vid behandling av personuppgifter.

16 MAR

Molntjänster och tredjelandsöverföringar

Få en genomgång av reglerna för tredjelandsöverföringar vid användning av molntjänster.

23 MAR

Konsekvensbedömning avseende dataskydd

Lär dig att göra en konsekvensbedömning avseende dataskydd i praktiken.