Tyskland: Dålig IT-säkerhet i medicinsktekniska produkter

Tysklands myndighet för informationssäkerhet, Bundesamt für Sicherheit in der Informationstechnik (“BSI”), har undersökt IT-säkerheten i uppkopplade medicintekniska produkter som används inom sjukvården och äldreomsorgen i två studier. Resultaten avslöjar betydande säkerhetsbrister. Vissa av produkterna som undersökts används även inom den svenska sjukvården och äldreomsorgen.

I den första studien, Manipulation of Medical Devices, analyserades tio uppkopplade medicintekniska produkter från fem olika kategorier: implanterbara pacemakers och defibrillatorer samt tillhörande utrustning, insulinpumpar, ventilatorer, infusionspumpar och patientmonitorer. Totalt hittades mer än 150 sårbarheter som till exempel kraschat användargränssnitt, buffertspill och integer overflow.

I den andra studien, eCare, undersöktes uppkopplade medicintekniska produkter och IoT-produkter som används inom äldrevården som exempelvis utrustning för hemmonitoering, nödsamtalssystem, smarta pillerlådor, smarta sängar och surfplattor för äldre. Studien bedömer produkternas säkerhetsnivå som “dålig till mycket dålig”. Studiens resultat antyder att det varken genomförts professionella penetrationstester eller säkerhetsanalyser för någon av produkterna. Tillverkarna verkar inte heller konsulterat varken riktlinjerna för utveckling av säkra, uppkopplade medicintekniska produkter som publicerats av BSI eller riktlinjer som utfärdats av andra organisationer.

Då vissa av produkterna som undersöktes i studierna även används i Sverige är resultaten även tillämpliga här. Enligt Socialstyrelsens föreskrifter HSLF-FS 2016:40 krävs bland annat att vårdgivare implementerar ledningssystem för informationssäkerhet och genomför löpande riskanalyser. Därutöver ställer dataskyddsförordningen (“GDPR”) krav på att genomföra konsekvensbedömningar avseende dataskydd. Regelverken kan dock tolkas på olika sätt vilket kan leda till att kvalitén av riskanalyserna som genomförs skiljer sig åt. Det finns därför ett behov av att lyfta kompetensen på området vilket är ett av syftena med studierna som publicerats av BSI.

Ta del av den första studien, endast tillgänglig på engelska, här.

Ta del av den första studien, endast tillgänglig på engelska, här.

Läs BSI:s riktlinjer, endast tillgänglig på engelska, här.

Vill du ha vårt nyhetsbrev?

Vi skickar regelbundet ut fullmatade nyhetsbrev med tips, erbjudanden och det senaste inom dataskydd och personlig integritet.