Professor: Medikoindustrien forsømmer at sikre hospitalsudstyr mod hacking

Illustration: Steven Fruitsmaak/CC
Medikoindustrien og myndighederne halter efter den teknologiske udvikling. Sårbarheder i softwaren, der styrer medicinsk udstyr, risikerer at skade patientsikkerheden. I Danmark registrerer Lægemiddelstyrelsen ikke ulykker og fejl, der skyldes software

Når du får målt blodtrykket eller får medicin igennem et drop under en indlæggelse, vil det udstyr, der måler og doserer, i stigende grad foretage opgaverne digitalt og automatisk uden direkte indblanding fra sundhedspersonale.

Ambitionen er at optimere arbejdsgangene og reducere risikoen for manuelle indtastningsfejl.

I dag har Region Hovedstaden forbundet 2.000 apparater i et it-system, der integrerer måledata fra apparaterne direkte i Sundhedsplatformen, mens Region Syddanmark netop nu har udbudt en opgave på en dataopsamlingsplatform til medicinsk udstyr.

Platformen skal på sigt opsamle data fra 9.000 medicinske enheder.

Læs også: Region Syddanmark vil samle medicinske måledata fra 1.500 enheder ét sted

Men når man forbinder medicinsk udstyr med centrale it-systemer, og der skal sendes data frem og tilbage, så stiger risikoen for, at udefrakommende tvinger sig adgang til udstyret med malware.

For meget af det medicinske udstyr er slet ikke designet til at kommunikere med omverdenen, ligesom lovgivningen heller ikke er designet til at håndtere dynamiske softwareløsninger i medicinsk udstyr.

Læs også: Hospitalernes medikoudstyr kobles på nettet: Øger sårbarhed over for cyberangreb

Mangler dynamisk tilgang til Internet of Things

Billige sensorer og hurtig processorkraft og længere batteritid gør det både billigere og nemmere at forbinde medicinsk udstyr med omverdenen. Det åbner samtidig for nye problemstillinger.

»Når alt bliver udstyret med en CPU, og der kommer software ind i alle typer enheder, så giver det anledning til justering af lovgivningen, og de standarder som industrien bruger til at være i overensstemmelse med loven. I dag er nogle industrier bedre til løbende at opdatere softwaren, f.eks. luftfartsindustrien, mens medikoindustrien og elektronikindustrien halter efter,« siger Ross Anderson, der er professor i Security Engineering ved Cambridge University.

Udfordringen er, at de fleste producenter af medicinsk udstyr arbejder med en traditionel tilgang til sikkerhed, som ikke altid stemmer overens med nye flygtige software-sårbarheder.

Ross Anderson besøgte tidligere i år Danmark i forbindelse med en it-sikkerhedskonference arrangeret af Dansk IT.

»Langt de fleste maskinbyggere har i dag en en statisk tilgang til produktsikkerhed. Man laver en række før-markedstest, med standarder der har en tidshorisont på omkring 10 år. Men hvis hackere finder sårbarheder i softwaren, er tidshorisonten pludselig forkortet fra årevis og helt ned til en måned. Vi mangler en dynamisk tilgang til lovgivning om Internet of Things, der italesætter, hvordan vi bedst undersøger vi sikkerhedshændelser, og hvem der har ansvaret for at offentliggøre viden om de hændelser,« siger Ross Anderson

Han fortæller, at den eksisterende produktansvarslovgivning kan have den helt modsatte effekt på software-sårbarheder.

»I dag er udfordringen, at softwareopdateringer kan bryde CE-mærkningen, fordi der sker mærkbare ændringer af produktet, og vi ser eksempler på producenter, der undlader at sikkerhedspatche deres produkter for at undgå at skulle indhente nyt certifikat,« siger Ross Anderson.

Han foreslår derfor, at produktansvarsloven udvides til også at omfatte software. Det vil betyde, at producenterne skal være ansvarlige for løbende at garantere opdateringer, der kan lukke kendte sikkerhedshuller i IoT-software i en årrække.

Konkret foreslår Ross Anderson, at standarden ISO 29147 implementeres som et krav for at blive CE-mærket.

ISO-standarden definerer, hvordan en leverandør skal håndtere sårbarheder i produkter.

På den måde vil software i IoT-enheder blive sidestillet med bilproducenter, der i dag skal garantere at levere reservedele til sine biler i en årrække.

Han har sidste år afleveret en rapport til EU-Kommissionen med en række anbefalinger til en opdatering af produktansvarslovgivningen i EU.

Læs også: Hackergruppe udnytter malware-skabt bagdør i røntgen- og MR-scannere

Styrelse: Teoretisk risiko

Selvom der endnu ikke er set konkrete eksempler i Danmark på cyberangreb mod medicinsk udstyr, er Lægemiddelstyrelsen, der godkender og er tilsynsmyndighed på området for medicinsk udstyr i Danmark, opmærksom på problemstillingen.

»Hacking af medicinsk udstyr er en relativt ny problemstilling, og Lægemiddelstyrelsen har en klar formodning om, at fabrikanter af medicinsk udstyr selv har en interesse i at opretholde en høj sikkerhed for deres produkter. Det skal understreges, at risikoen stadig er teoretisk. Der er ikke eksempler på, at denne type hacking har fundet sted i Danmark eller EU,« skriver Solveig Røigaard-Petersen, pressechef i Lægemiddelstyrelsen, i en mail til Version2.

Når der sker alvorlige hændelser og ulykker med medicinsk udstyr, skal sundhedspersonale indberette det til Lægemiddelstyrelsen.

Her kan man dog ikke fortælle om mange hændelser med medicinsk udstyr, der skyldes software, som eksempelvis ikke er opdateret, er brugt forkert eller på anden vis har været årsag til ulykker.

»Angående hændelsesindberetninger så registrerer vi ikke, om det er på software. Vi registrerer på risikoklasse, og da software kan falde i alle klasser, så kan vi ikke lave en opgørelse over antallet. Alle fabrikanter er forpligtede til at have en effektiv markedsovervågning af deres udstyr, så de netop kan opdage og håndtere svagheder ved deres udstyr efter markedsføring,« skriver Solveig Røigaard-Petersen.

Læs også: IBM's Watson i modvind: Foreslog livsfarlig medicin til danske patienter

USA: Myndigheder vil stille kontante krav

I Lægemiddelstyrelsen påpeger man, at reguleringen af medicinsk udstyr primært sker i EU-regi med udgangspunkt i forordningen om medicinsk udstyr, der senest blev opdateret sidste sommer.

»Der er gang i flere ting på EU-plan. Først og fremmest stiller de nye vedtagne forordninger skærpede krav til software som medicinsk udstyr. Af konkrete tiltag kan vi nævne, at software fremover skal klassificeres efter sin egen regel, og at rigtig meget software vil blive klassificeret i højere risikoklasser, end det er tilfældet nu. Dette er et bevidst ønske fra de europæiske myndigheder og EU-Kommissionen,« skriver Solveig Røigaard-Petersen.

I forordningen står der blandt andet:

»Udstyr, der indeholder elektroniske programmerbare systemer, herunder software, eller software, der er udstyr i sig selv, skal designes på en sådan måde, at repeterbarhed, pålidelighed og ydeevne sikres under hensyntagen til deres tilsigtede brug. Hvis der opstår en første fejlforekomst, skal der træffes passende forholdsregler til at fjerne de dermed forbundne risici eller forringelsen af ydeevne eller begrænse risiciene og forringelsen så meget som mulig«

Læs også: Ny firmware lukker sårbarheder i amerikanske pacemakere: Det bør gå godt i de fleste tilfælde

Det er ikke kun myndighederne, der skal ændre tilgang. I dag bevæger mange nye udstyrsproducenter sig ind på markedet for medicinsk udstyr, og det går ikke altid lige godt.

»Mange udstyrsproducenter har oprindeligt udviklet teknologi til andre brancher og er ikke vant til at arbejde med de ekstra skrappe standarder, der findes i mediko-branchen til eksempelvis dataflow. Der er stor forskel på at udvikle en robot til en fremstillingsvirksomhed og så en robot, der håndterer medicin. Det er patienters liv, der er på spil,« har Henrik Johanning, stifter og direktør i konsulentvirksomheden Genua & More, der rådgiver industrien og sundhedsvæsnet i implementering af medicinsk udstyr, tidligere fortalt til Version2.

I USA tilbagekaldte den amerikanske føderale lægemiddelmyndighed FDA (Food and Drug Administration) 460.000 pacemakere af mærket St. Jude af frygt for cyberangreb på pacemakerne, og i sidste uge bad den samme myndighed Kongressen om tilladelse til at kræve, at producenter af medicinsk udstyr skal garantere sikkerhedsopdateringer i en årrække.

Derudover vil FDA etablere en såkaldt 'Software Bill of Materials': en oversigt over alle software-relaterede detljer på et givent medicinsk apparat.

Læs også: Region Syddanmark vil samle medicinske måledata fra 1.500 enheder ét sted

Henrik Johanning holder keynote om sikkerheden i medikoudstyr 'Stil de rigtige sikkerhedskrav til IoT-indtoget på danske sygehuse. Nye teknologier kan tilsidesætte patientsikkerheden' på Version2 Infosecurity, onsdag d. 2. maj kl. 15. Læs mere og tilmeld dig her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Nicolaj Rosing

Tror vist det er lidt af en misforståelse (tænker at 29174 er en slåfejl 😊) ISO 29147 er muligvis dét der menes, selvom denne standard er en vejledning i hvordan man bør håndtere vulnerability disclosure, hvilket er noget lidt andet. Denne standard handler ikke om hvordan man skal reducere eller fjerne sårbarheder i produkter men derimod en procesbeskrivelse af hvordan man kommunikerer omkring sårbarheder i produkter. Der er mærkeligt nok relativt få virksomheder der har en public notice omkring dette på plads, men de findes. Websitet iamthecavalry.org er et godt udgangspunkt hvis man vil vide mere om dette. Her finder man links til CVD policy i store virksomheder som Siemens, Philips, Tesla og Abbott. Sidstnævnte købte iøvrigt StJude og pådrog sig dermed et warning letter fra FDA sidste år, hvor bl.a. en mangelfuld vulnerability disclosure policy var et af FDA’s hovedkritikpunkter.

  • 0
  • 0
Log ind eller Opret konto for at kommentere