Professor: Medikoindustrien forsømmer at sikre hospitalsudstyr mod hacking

26. april 2018 kl. 11:362
Professor: Medikoindustrien forsømmer at sikre hospitalsudstyr mod hacking
Illustration: Steven Fruitsmaak/CC.
Medikoindustrien og myndighederne halter efter den teknologiske udvikling. Sårbarheder i softwaren, der styrer medicinsk udstyr, risikerer at skade patientsikkerheden. I Danmark registrerer Lægemiddelstyrelsen ikke ulykker og fejl, der skyldes software
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Når du får målt blodtrykket eller får medicin igennem et drop under en indlæggelse, vil det udstyr, der måler og doserer, i stigende grad foretage opgaverne digitalt og automatisk uden direkte indblanding fra sundhedspersonale.

Version2 Infosecurity: Keynotes og live hacking...

It-sikkerhedsmessen Infosecurity Denmark 2018 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 2. og 3. maj i Øksnehallen i København.

Konferenceprogrammet dækker både compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt cloud security og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau.

Du bliver opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere.

Desuden kan du følge en live hacking konkurrence.

Flere oplysninger

NYT! Live hacking af bilnøgler og debat om white hat hacking og industriel it-sikkerhed i Version2 loungen. Læs mere her.

Vil du gå direkte til tilmelding, klik her.

Ambitionen er at optimere arbejdsgangene og reducere risikoen for manuelle indtastningsfejl.

I dag har Region Hovedstaden forbundet 2.000 apparater i et it-system, der integrerer måledata fra apparaterne direkte i Sundhedsplatformen, mens Region Syddanmark netop nu har udbudt en opgave på en dataopsamlingsplatform til medicinsk udstyr.

Artiklen fortsætter efter annoncen

Platformen skal på sigt opsamle data fra 9.000 medicinske enheder.

Men når man forbinder medicinsk udstyr med centrale it-systemer, og der skal sendes data frem og tilbage, så stiger risikoen for, at udefrakommende tvinger sig adgang til udstyret med malware.

For meget af det medicinske udstyr er slet ikke designet til at kommunikere med omverdenen, ligesom lovgivningen heller ikke er designet til at håndtere dynamiske softwareløsninger i medicinsk udstyr.

Mangler dynamisk tilgang til Internet of Things

Billige sensorer og hurtig processorkraft og længere batteritid gør det både billigere og nemmere at forbinde medicinsk udstyr med omverdenen. Det åbner samtidig for nye problemstillinger.

»Når alt bliver udstyret med en CPU, og der kommer software ind i alle typer enheder, så giver det anledning til justering af lovgivningen, og de standarder som industrien bruger til at være i overensstemmelse med loven. I dag er nogle industrier bedre til løbende at opdatere softwaren, f.eks. luftfartsindustrien, mens medikoindustrien og elektronikindustrien halter efter,« siger Ross Anderson, der er professor i Security Engineering ved Cambridge University.

Udfordringen er, at de fleste producenter af medicinsk udstyr arbejder med en traditionel tilgang til sikkerhed, som ikke altid stemmer overens med nye flygtige software-sårbarheder.

Ross Anderson besøgte tidligere i år Danmark i forbindelse med en it-sikkerhedskonference arrangeret af Dansk IT.

»Langt de fleste maskinbyggere har i dag en en statisk tilgang til produktsikkerhed. Man laver en række før-markedstest, med standarder der har en tidshorisont på omkring 10 år. Men hvis hackere finder sårbarheder i softwaren, er tidshorisonten pludselig forkortet fra årevis og helt ned til en måned. Vi mangler en dynamisk tilgang til lovgivning om Internet of Things, der italesætter, hvordan vi bedst undersøger vi sikkerhedshændelser, og hvem der har ansvaret for at offentliggøre viden om de hændelser,« siger Ross Anderson

Han fortæller, at den eksisterende produktansvarslovgivning kan have den helt modsatte effekt på software-sårbarheder.

»I dag er udfordringen, at softwareopdateringer kan bryde CE-mærkningen, fordi der sker mærkbare ændringer af produktet, og vi ser eksempler på producenter, der undlader at sikkerhedspatche deres produkter for at undgå at skulle indhente nyt certifikat,« siger Ross Anderson.

Han foreslår derfor, at produktansvarsloven udvides til også at omfatte software. Det vil betyde, at producenterne skal være ansvarlige for løbende at garantere opdateringer, der kan lukke kendte sikkerhedshuller i IoT-software i en årrække.

Konkret foreslår Ross Anderson, at standarden ISO 29147 implementeres som et krav for at blive CE-mærket.

ISO-standarden definerer, hvordan en leverandør skal håndtere sårbarheder i produkter.

På den måde vil software i IoT-enheder blive sidestillet med bilproducenter, der i dag skal garantere at levere reservedele til sine biler i en årrække.

Han har sidste år afleveret en rapport til EU-Kommissionen med en række anbefalinger til en opdatering af produktansvarslovgivningen i EU.

Styrelse: Teoretisk risiko

Selvom der endnu ikke er set konkrete eksempler i Danmark på cyberangreb mod medicinsk udstyr, er Lægemiddelstyrelsen, der godkender og er tilsynsmyndighed på området for medicinsk udstyr i Danmark, opmærksom på problemstillingen.

»Hacking af medicinsk udstyr er en relativt ny problemstilling, og Lægemiddelstyrelsen har en klar formodning om, at fabrikanter af medicinsk udstyr selv har en interesse i at opretholde en høj sikkerhed for deres produkter. Det skal understreges, at risikoen stadig er teoretisk. Der er ikke eksempler på, at denne type hacking har fundet sted i Danmark eller EU,« skriver Solveig Røigaard-Petersen, pressechef i Lægemiddelstyrelsen, i en mail til Version2.

Når der sker alvorlige hændelser og ulykker med medicinsk udstyr, skal sundhedspersonale indberette det til Lægemiddelstyrelsen.

Her kan man dog ikke fortælle om mange hændelser med medicinsk udstyr, der skyldes software, som eksempelvis ikke er opdateret, er brugt forkert eller på anden vis har været årsag til ulykker.

»Angående hændelsesindberetninger så registrerer vi ikke, om det er på software. Vi registrerer på risikoklasse, og da software kan falde i alle klasser, så kan vi ikke lave en opgørelse over antallet. Alle fabrikanter er forpligtede til at have en effektiv markedsovervågning af deres udstyr, så de netop kan opdage og håndtere svagheder ved deres udstyr efter markedsføring,« skriver Solveig Røigaard-Petersen.

USA: Myndigheder vil stille kontante krav

I Lægemiddelstyrelsen påpeger man, at reguleringen af medicinsk udstyr primært sker i EU-regi med udgangspunkt i forordningen om medicinsk udstyr, der senest blev opdateret sidste sommer.

»Der er gang i flere ting på EU-plan. Først og fremmest stiller de nye vedtagne forordninger skærpede krav til software som medicinsk udstyr. Af konkrete tiltag kan vi nævne, at software fremover skal klassificeres efter sin egen regel, og at rigtig meget software vil blive klassificeret i højere risikoklasser, end det er tilfældet nu. Dette er et bevidst ønske fra de europæiske myndigheder og EU-Kommissionen,« skriver Solveig Røigaard-Petersen.

I forordningen står der blandt andet:

»Udstyr, der indeholder elektroniske programmerbare systemer, herunder software, eller software, der er udstyr i sig selv, skal designes på en sådan måde, at repeterbarhed, pålidelighed og ydeevne sikres under hensyntagen til deres tilsigtede brug. Hvis der opstår en første fejlforekomst, skal der træffes passende forholdsregler til at fjerne de dermed forbundne risici eller forringelsen af ydeevne eller begrænse risiciene og forringelsen så meget som mulig«

Det er ikke kun myndighederne, der skal ændre tilgang. I dag bevæger mange nye udstyrsproducenter sig ind på markedet for medicinsk udstyr, og det går ikke altid lige godt.

»Mange udstyrsproducenter har oprindeligt udviklet teknologi til andre brancher og er ikke vant til at arbejde med de ekstra skrappe standarder, der findes i mediko-branchen til eksempelvis dataflow. Der er stor forskel på at udvikle en robot til en fremstillingsvirksomhed og så en robot, der håndterer medicin. Det er patienters liv, der er på spil,« har Henrik Johanning, stifter og direktør i konsulentvirksomheden Genua & More, der rådgiver industrien og sundhedsvæsnet i implementering af medicinsk udstyr, tidligere fortalt til Version2.

I USA tilbagekaldte den amerikanske føderale lægemiddelmyndighed FDA (Food and Drug Administration) 460.000 pacemakere af mærket St. Jude af frygt for cyberangreb på pacemakerne, og i sidste uge bad den samme myndighed Kongressen om tilladelse til at kræve, at producenter af medicinsk udstyr skal garantere sikkerhedsopdateringer i en årrække.

Derudover vil FDA etablere en såkaldt 'Software Bill of Materials': en oversigt over alle software-relaterede detljer på et givent medicinsk apparat.

Henrik Johanning holder keynote om sikkerheden i medikoudstyr 'Stil de rigtige sikkerhedskrav til IoT-indtoget på danske sygehuse. Nye teknologier kan tilsidesætte patientsikkerheden' på Version2 Infosecurity, onsdag d. 2. maj kl. 15. Læs mere og tilmeld dig her.

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
Journalist -
30. april 2018 kl. 09:32
Journalist

Hej Nicolaj

Tak for kommentaren. Du har fuldstændig ret, det er ISO 29147 Ross Anderson henviser til og ikke ISO 29174. Det er rettet nu.

Mvh Laurids Hovgaard/Version2

1
27. april 2018 kl. 05:56

Tror vist det er lidt af en misforståelse (tænker at 29174 er en slåfejl ?) ISO 29147 er muligvis dét der menes, selvom denne standard er en vejledning i hvordan man bør håndtere vulnerability disclosure, hvilket er noget lidt andet. Denne standard handler ikke om hvordan man skal reducere eller fjerne sårbarheder i produkter men derimod en procesbeskrivelse af hvordan man kommunikerer omkring sårbarheder i produkter. Der er mærkeligt nok relativt få virksomheder der har en public notice omkring dette på plads, men de findes. Websitet iamthecavalry.org er et godt udgangspunkt hvis man vil vide mere om dette. Her finder man links til CVD policy i store virksomheder som Siemens, Philips, Tesla og Abbott. Sidstnævnte købte iøvrigt StJude og pådrog sig dermed et warning letter fra FDA sidste år, hvor bl.a. en mangelfuld vulnerability disclosure policy var et af FDA’s hovedkritikpunkter.