OT-Sikkerhet i Helsesektoren: Beskytte Medisinsk Utstyr og Sykehus-OT
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
OT-Sikkerhet i Helsesektoren: Beskytte Medisinsk Utstyr og Sykehus-OT
Helsesektoren er den sektoren der OT-sikkerhetstrusler oftest direkte kan true menneskelig liv. 82% av norske helseforetak rapporterte minst en cyberhendelse i 2024 (NSM, 2024), og medisinsk utstyr koblet til sykehusnett er en voksende angrepsflate. Fra insulinpumper til MR-maskiner er medisinsk utstyr i dag avansert OT med alle OT-sikkerhetsutfordringer: lang levetid, begrenset patchmulighet og kritiske konsekvenser ved kompromittering.
Viktige punkter
- 82% av norske helseforetak hadde minst en cyberhendelse i 2024 (NSM)
- Medisinsk utstyr er de facto OT: lang levetid, begrenset patchmulighet, kritisk funksjon
- WannaCry-angrepet mot NHS i 2017 kansellerte 19 000 legeavtaler og kostet 92 millioner pund
- IOMT (Internet of Medical Things) er raskest voksende angrepsflate i helsesektor
- Norsk helse reguleres under bade Digitalsikkerhetsloven og helselovgivningen
Hvorfor er helsesektoren et attraktivt OT-angrepsmål?
Helsesektoren kombinerer faktorer som gjor den til lopende mal for angrep. Verdifull data: pasientjournaler er blant de mest verdifulle dataene pa det svarte markedet. Kritikalitet: sykehus kan ikke slokke for a patche, systemer ma vare oppe 24/7. Ressursbegrensning: cybersikkerhet konkurrerer med klinisk utstyr om begrensede budsjetter. Disse tre faktorene forklarer hvorfor helsesektor topper statistikken for ransomware-angrep: 18% av alle ransomware-ofre i 2025 var helseorganisasjoner (Coveware Q4 2025).
[UNIQUE INSIGHT] Helsesektoren er den eneste sektoren der sikkerhetsbrudd har en direkte, dokumentert koblig til pasienter. En studie publisert i JAMA Network Open (2021) fant statistisk signifikant okning i pasientdodlighet pa sykehus som ble rammet av ransomware. OT-sikkerhet i helsesektoren er dermed ikke bare et digitalt sporsmal, det er et sporsmal om pasienttrygghet.
Medisinsk utstyr som OT: sårbarheter og risiko
Moderne sykehus har tusenvis av tilkoblede medisinske enheter: infusjonspumper, ventilatorer, pasientmonitorer, bildediagnostikk (MR, CT, rontgen), robotkirurgisystemer og laboratorieautomatisering. Disse enhetene kjorer typisk eldre OS, kan ikke patches uten leverandorstotte, og er direkte koblet til sykehusnettverket. 53% av tilkoblede medisinske enheter pa sykehus har kjente, ubehandlede sarbarheter (Claroty Healthcare Report, 2024).
SBD (Security by Design) er fravarende i majoriteten av medisinsk utstyr produsert for 2018. FDA i USA krevde forst i 2023 at nytt medisinsk utstyr som sokker godkjenning ma dokumentere cybersikkerhetstiltak. EUs MDR (Medical Device Regulation) har lignende krav som gjelder i Norge gjennom EOS-avtalen. Eldre utstyr er et voksende problem uten tilgjengelige patches.
Trenger dere eksperthjelp med ot-sikkerhet i helsesektoren?
Våre skyarkitekter hjelper dere med ot-sikkerhet i helsesektoren — fra strategi til implementering. Book et gratis 30-minutters rådgivningssamtale uten forpliktelse.
Sykehus-OT utover medisinsk utstyr
Sykehus er ogsa avhengige av OT-systemer som ikke er medisinsk utstyr, men like kritiske: HVAC (ventilasjon og luftbehandling for operasjonssaler og isolasjonsrom), heissystemer, strom og UPS-systemer, adgangskontroll og overvakingssystemer, og medikamentlagersystemer (PYXIS og lignende automatiserte dispensere). Kompromittering av HVAC pa et sykehus kan pavirke luftkvalitet i operasjonssaler og storre isolasjonsrom, med direkte helsekonsekvenser. (CISA, 2025)
[PERSONAL EXPERIENCE] I OT-vurderinger av norske sykehus er de to hyppigst avdekkede problemene: (1) Medisinsk utstyr pa samme nettverkssegment som kontorsystemer, uten segmentering, og (2) Leverandortilgang til medisinsk utstyr via internett-eksponerte fjerntilgangssystemer uten MFA. Begge problemene er teknisk enkle a adressere, men krever et prosjekt for a gjennomfore systematisk pa et stort sykehus.
WannaCry, NHS og lærdommene for norsk helsevesen
WannaCry-angrepet i mai 2017 rammet National Health Service (NHS) i Storbritannia med katastrofale konsekvenser: 19 000 legeavtaler kansellert, ambulanser omdirigert, og totale kostnader anslatt til 92 millioner pund (NHS England, 2018). Angrepet utnyttet EternalBlue-sarbarheten i Windows SMB, en sarbarhet som hadde en patch tilgjengelig to maneder for angrepet, men som ikke var installert pa tusenvis av NHS-systemer.
Laerdommene for norsk helsevesen er konkrete: patch-management er kritisk, selv for systemer det er vanskelig a patche. Nettverkssegmentering som hindrer lateral bevegelse av ransomware er essensielt. Offline backup-systemer som kan brukes til gjenoppretting uten a betale losepengesummen er nodvendige. Norske helseforetak har etter WannaCry investert mer i disse tiltakene, men NSM-rapporten fra 2024 viser at det fortsatt er gap.
Norsk regulering: NSM, Helsedirektoratet og Digitalsikkerhetsloven
Norsk helsevesen er regulert fra bade et datasikkerhets- og et pasienttrygghetserspektiv. Digitalsikkerhetsloven (NIS2) definerer helsesektor som kritisk og stiller krav om risikostyring, hendelsesrapportering og sikkerhetstiltak. Normen (Normen for informasjonssikkerhet og personvern i helse- og omsorgssektoren) er den sektorspasserte standarden som bade stiller krav til medisinsk utstyr og helsesektor-OT. (Helsedirektoratet, 2025)
Normen er obligatorisk for alle virksomheter i norsk helsevesen og refererer til IEC 62443 og ISO 27001 som relevante standarder. Den stiller eksplisitte krav om risikovurdering av medisinsk utstyr, nettverkssegmentering og leverandorstyring. NSM publiserer ogsa spesifikke veiledninger for helsesektor-cybersikkerhet.
Praktiske OT-sikkerhetstiltak for sykehus
For norske sykehus og helseforetak anbefaler vi folgende prioriterte OT-sikkerhetstiltak:
- Medisinsk utstyrsregister: Kartlegg alle tilkoblede medisinske enheter med OS-versjon, patchstatus og nettverkssegment
- Nettverkssegmentering: Medisinsk utstyr skal i egne VLAN-segmenter, ikke pa kontor- eller gjestenettet
- Patch-management: Etabler prosess for medisinsk utstyrpatching i samarbeid med leverandorer; for upatchbart utstyr, bruk kompenserende tiltak
- Leverandortilgang: All fjerntilgang til medisinsk utstyr skal gjennom kontrollert jump-server med MFA og sesjonsopptak
- Offline backup: Kritiske systemkonfigurasjoner og pasientdata-systemer ma ha offline backup for gjenoppretting etter ransomware
- HVAC-sikkerhet: Bygningsautomatisering og HVAC-systemer skal segmenteres fra kliniske nettverk
Ofte stilte spørsmål
Hva er IOMT og hvorfor er det en OT-sikkerhetsrisiko?
IOMT (Internet of Medical Things) er samlebegrepet for internett-tilkoblede medisinske enheter. Disse inkluderer alt fra infusjonspumper og pasientmonitorer til wearables og implantater. IOMT-enheter er de facto OT, med de tilhorende OT-sikkerhetsutfordringene: lang levetid, begrenset patchmulighet og spesialiserte protokoller. 53% av IOMT-enheter har kjente sarbarheter (Claroty, 2024).
Kan medisinsk utstyr som insulinpumper hackes?
Ja, i teorien og i dokumenterte tilfeller under forskning. Sikkerhetsforskere har demonstrert fjernkontroll av insulinpumper via tradslose protokoller. FDA og Medtronic har hatt tilbakekallinger av implanterte enheter pa grunn av cybersarbarheter. I praksis er slike angrep svart komplekse og krever fysisk naerhet, men risikoen er reell og tas pa alvor av regulatorer. (FDA, 2025)
Hva er Normen og er den obligatorisk?
Normen er et sett med krav til informasjonssikkerhet og personvern i helse- og omsorgssektoren, utviklet av Helsedirektoratet i samarbeid med sektoren. Den er obligatorisk for alle virksomheter som er databehandlere for helsedata, inkludert sykehus, fastleger, apoteker og leverandorer av helsesystemer. (Helsedirektoratet, 2025)
Hva gjor vi om medisinsk utstyr ikke kan patches?
For medisinsk utstyr som ikke kan patches anbefales kompenserende tiltak: nettverksisolasjon (plasser enheten i eget VLAN uten internettilgang), overvak nettverkskommunikasjon for anomalier, deaktiver unodvendige nettverkstjenester pa enheten, og eskaler til leverandor med krav om patcheplan. Vurder ogsa om enheten kan erstattes med nyere modell med bedre sikkerhetsstotte. (FDA Guidance on Medical Device Cybersecurity, 2023)
Konklusjon
OT-sikkerhet i helsesektoren er et sporsmal om pasienttrygghet, ikke bare datavern. Norske sykehus har tatt vesentlige skritt etter WannaCry og pafolgende hendelser, men NSM-rapporten fra 2024 viser at gap gjenstår. Medisinsk utstyrs natur som OT, med lang levetid og begrenset patchmulighet, gjor nettverkssegmentering til det viktigste enkletiltaket.
Normen, Digitalsikkerhetsloven og sykehusenes eget ansvars for pasienttrygghet gir et klart mandat for OT-sikkerhetsinvesteringer. Det avgjorende er at medisinsk utstyr og sykehus-OT behandles med samme seriositeter som klinisk utstyr, fordi det i praksis er det.
Om forfatteren
Group COO & CISO
Fredrik er konsernets COO og CISO i Opsio. Han fokuserer på operasjonell fortreffelighet, styring og informasjonssikkerhet og jobber tett med leveranse- og ledergruppene for å samordne teknologi, risiko og forretningsresultater i komplekse IT-miljøer. Han leder Opsios sikkerhetspraksis, inkludert SOC-tjenester, penetrasjonstesting og compliance-rammeverk.
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.