Artikel top billede

(Foto: (c) creativecommonsstockphotos | Dreamstime.com)

IoT har indtaget sundhedssektoren - men er sikkerheden fulgt med?

Klumme: Manglende sikkerhed kan i værste fald have dødelige konsekvenser, men også føre til bøder for manglende overholdelse af datalovgivningen.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Brugen af internetforbundne enheder - kendt som IoT - fortsætter med at vokse, og ikke mindst med udbredelsen af 5G-teknologien vil endnu flere ting blive koblet på nettet.

Det gælder også i sundhedssektoren, hvor datahåndtering, drift af kritisk udstyr, hjemmebaserede enheder, implantater og fjernovervågning af patienter vil blive mere effektiv og præcis - faktisk har det fået sit eget tillægsnavn; IoMT (Internet of Medical Things).

IoMTs livreddende potentiale kan næsten ikke overvurderes, og teknologien vil utvivlsomt fortsætte med at skabe forbedringer af sundhedsydelser i fremtiden.

Senest har vi set, hvordan COVID-19-pandemien har ansporet til hurtigere implementering af IoMT, da telemedicin og fjernovervågning gennem apps har betydet sikrere alternativer til personlig pleje af patienter.

Men lige så store muligheder IoMT åbner op for, lige så stort - eller faktisk større - bør fokus være på sikkerheden.

Manglende sikkerhed kan i værste fald have dødelige konsekvenser, men også føre til bøder for manglende overholdelse af datalovgivningen. Her et par udfordringer, som sektoren bør holde sig for øje:

Gamle enheder, der er designet uden tanke på sikkerhed:
I dag er der stadig medicinsk udstyr i brug, som blev designet for mere end 10 år siden. Og udstyr, der var sikkert, da det først blev taget i brug, kan være ude af stand til at imødegå nutidens trusler og sårbarheder.

Identisk opsætning på tværs af alle enheder:
Mens pc'er og andre enheder kan anvende en lang række forskellige opsætninger og software, kan medicinsk udstyr udbredes i millioner af enheder med identiske konfigurationer, hvilket betyder, at et vellykket angreb på én enhed kan gentages med succes på tværs af alle enheder af samme type.

Det kan være svært at ‘lappe’ og opdatere:
Noget medicinsk udstyr er produceret med software, som aldrig var beregnet til at blive opdateret eller patchet for at afhjælpe sikkerhedshuller.

Selv om det kan være muligt at foretage opdateringer, kan det være vanskeligt og kræve omfattende testning for at garantere patienternes datasikkerhed.

Adgangskontrol kan være utilstrækkelig:
Medicinsk udstyr er normalt designet til at være let tilgængeligt for en bred vifte af medicinsk og administrativt personale.

Ondsindede insidere kan let afsløre beskyttede data, og udstyret er derfor et sårbart offer for phishing, efterligning, malware osv.

Det kan give en angriber mulighed for at overtage kontrollen over selve udstyret med potentielt ødelæggende resultater.

Enheder kan ikke beskyttes over distancen:
Når medicinsk udstyr anvendes uden for stedet, eksempelvis i patienternes hjem, er det muligt, at de eksisterende firewalls ikke kan beskytte patientens data, hvis udstyret benyttes hjemme hos patienten, hvor hospitalets netværk ikke dækker.

Hvad kan man så gøre?

Der er dog en række ting, sundhedssektoren bør have fokus på for at minimere de største sikkerhedstrusler.

Først og fremmest kan moderne netværk firewalls udvide sikkerheden både indenfor og uden for virksomhedsnetværket, herunder avanceret scanning af al indgående og udgående trafik.

Derudover muliggør de opdeling af netværk, så enheder, der for eksempel monitorerer en patient isoleres fra sensitive data. Så selv hvis det lykkes kriminelle at kompromittere enheden, får de stadig ikke adgang til de værdifulde data, de forsøger at stjæle.

Dette kan med fordel suppleres med såkaldte Zero Trust Network Access (ZTNA), der forhindrer uautoriseret adgang og håndhæver granulære rollebaserede tilladelser, selv når gyldige legitimationsoplysninger er blevet stjålet.

Derudover har moderne WAF-løsninger en hidtil uset brugervenlighed til et sæt teknologier, der traditionelt har været betragtet som komplekse og vanskelige at implementere og konfigurere.

De specialiserede IoT-sikkerhedsappliances er også værd at nævne.

De er designet til at blive implementeret på de enkelte enheder og giver state-of-the-art sikkerhed, samtidig med at de tillader midlertidige VPN-forbindelser, der muliggør vedligeholdelse og opdatering fra tredjepart, hvilket dramatisk forbedrer sikkerheden af potentielt ikke-sikre enheder.

Strategien skal på plads

For at forblive konkurrencedygtige og sikre løbende overholdelse af lovgivningen bør it-afdelinger og fagfolk i sundhedssektoren forpligte sig til en grundig revision af IoMT-enheder og deres sikkerhedssårbarheder for at skabe en strategi, der eliminerer sikkerhedshuller og giver mulighed for hurtig implementering af nye it-baserede tjenester.

For i takt med at teknologien åbner op for nye behandlingsmetoder, der gavner både ansatte og patienter, er det afgørende, at vi ikke giver køb på vores digitale sikkerhed for bedre fysisk sundhed.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.