OWASP temamøte om sikkerhet i medisinsk-teknisk utstyr

Takk til Schibsted Products & Technology som sponser mat og møtelokale!

Marie Moe: Med hjertet på Internett - Sikkerhet i det medisinske IoT

Om foredraget

Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene. Når alle våre ”dingser” kobles på nett øker angrepsflaten og våre verdier blir sårbare for hacking. Dette utgjør ikke bare en trussel mot informasjonssikkerhet og personvern; også menneskers liv og helse trues når dingser som kan påvirke fysiske systemer i økende grad kobles opp mot Internett. Marie Moe er avhengig av et medisinsk implantat, en pacemaker som sørger for at hjertet hennes slår og som holder henne i live. Som sikkerhetsekspert ønsket hun å finne ut mer om informasjonssikkerheten i denne datamaskinen inne i sin egen kropp. Hun fant den tekniske manualen til pacemakeren og ble overrasket over å få vite at den hadde funksjonalitet for kobles til et medisinsk “Internet of Things”. Programvaren i pacemakeren og enhetene som den kunne kommunisere trådløst med var proprietær og utilgjengelig. Marie startet derfor et hacking-prosjekt for å finne ut av sikkerheten i sin egen personlige kritiske infrastruktur.

Om foredragsholderen

Marie Moe har en mastergrad i matematikk/kryptografi, samt en doktorgrad i informasjonssikkerhet. Marie har erfaring som seksjonsleder ved NSM NorCERT, Norges nasjonale senter for håndtering av alvorlige dataangrep. Hun jobber i dag som forsker innen informasjonssikkerhet ved SINTEF IKT, og underviser ved NTNU. På fritiden er Marie engasjert i grasrot-organisasjonen ”I Am The Cavalry”.

Preben Gustavsen: Bruk av medisinsk teknisk utstyr (MTU) i helsesektoren

Om foredraget

Helsetjenesten støtter seg i økende grad til teknologi og utviklingen viser at teknologien kommer tettere på pasienten. Ved bruk av medisinsk teknisk utstyr (MTU) gjelder høye kvalitetskrav for å sikre presise diagnoser eller korrekte måleresultater. Siden informasjonen som behandles ofte er sensitive personopplysninger stilles også strenge krav til informasjonssikkerhet. I enkelte tilfeller er pasienters helse direkte avhengig av velfungerende MTU.

Krav til informasjonssikkerhet endres når MTU tilpasses en moderne infrastruktur med integrasjoner både for å effektivisere pasientbehandlingen og for å gi helsepersonell bedre støtte. Samtidig øker pasienters forventning til helsetjenestens bruk av moderne teknologi.

I en slik situasjon er det flere forhold som påvirker det totale sikkerhetsnivået. I dette foredraget vil jeg peke på noen generelle faktorer som påvirker det totale sikkerhetsnivået i MTU, som:- Forholdet til nasjonale og internasjonale leverandører- Utfordringer og muligheter når helsepersonell blir entreprenører- Avhengighet mellom programvare, operativsystem og tilstøtende programvare- Behov for infrastruktur som kan støtte en bred tjenesteportefølje

Avslutningsvis vil jeg knytte behov for informasjonssikkerhet opp mot spørsmål om pasientsikkerhet og forvaltning av MTU.

Om foredragsholderen

Preben Gustavsen har ca 15 års erfaring med risiko ved bruk av teknologi fordelt på roller som rådgiver innen styring og kontroll, programmerer, systemutvikler, sikkerhetsarkitekt og revisor. Preben er bachelor of IT fra Queensland Univeristy of Technology og har utdanning fra tidl. Polytekniske Høgskole. Nå er Preben rådgiver innen informasjonssikkerhet og internkontroll i Sopra Steria.