Ransomware mot sjukhus: konsekvenser för patientsäkerhet

Ransomware mot sjukhus är ett av de etiskt mest komplexa hoten. Angriparna utnyttjar det faktum att sjukhus inte kan tillåta sig driftstopp och därmed är mer benägna att betala lösen. Coveware rapporterar att sjukvård har en av de högsta lösensumme-betalningsfrekvenserna bland sektorer, med en genomsnittlig lösensumma på 900 000 dollar 2024 (Coveware, 2024).

Konsekvenserna sträcker sig utöver ekonomin. Under ransomware-attacken mot Düsseldorfs universitetssjukhus 2020 dog en patient under transporten till ett annat sjukhus, ett fall som fick stor uppmärksamhet som potentiellt det första dödsfall direkt orsakat av en cyberattack. I Sverige drabbades Karolinska Universitetssjukhuset 2021 av en attack mot IT-system som påverkade viss sjukvårdsadministration.

[IMAGE: Illustration av sjukhus OT-nätverksarkitektur med medicinteknisk utrustning - sökterm: hospital medical device network security zones]

OT-säkerhetsläget i svenska regioner

Svenska regioner varierar i OT-säkerhetsmognad. Stora regioner som Region Stockholm, Västra Götalandsregionen och Region Skåne har mer resurser och mer avancerade OT-säkerhetsprogram. Mindre regioner saknar ofta dedikerade OT-säkerhetsresurser och förlitar sig på leverantörers inbyggda säkerhet, vilket ofta är otillräcklig.

Inera, som tillhandahåller gemensam digital infrastruktur för regioner och kommuner, arbetar med cybersäkerhet för gemensamma plattformar. Men varje regions lokala OT-miljö, med klinisk utrustning och byggnadsstyrsystem, ansvarar regionen för själv. NIS2 formaliserar nu detta ansvar med bindande krav.

[PERSONAL EXPERIENCE] I OT-säkerhetsbedömningar av svenska vårdorganisationer hittar vi konsekvent medicinteknisk utrustning i produktionsnätverket, utan segmentering från kontorsnätverket. MRI-maskiner, ultraljud och infusionspumpar kommunicerar i samma VLAN som datorer och mobila enheter. Det är en onödig riskexponering.

MDR och cybersäkerhetskrav för medicinteknisk utrustning

EU:s Medical Device Regulation (MDR) ställer nu explicita cybersäkerhetskrav på tillverkare av nätverksansluten medicinteknisk utrustning. Tillverkarna måste dokumentera cybersäkerhetsrisker, implementera säker mjukvaruutveckling och tillhandahålla säkerhetsuppdateringar under produktens livstid. MDCG 2019-16, EU:s vägledning för cybersäkerhet i medicinteknisk utrustning, specificerar minimikraven.

MDR-kraven är goda nyheter för sjukhus på lång sikt: ny medicinteknisk utrustning ska ha bättre inbyggd säkerhet. Men legacy-utrustning, som ofta är i drift 10-20 år, täcks inte av MDR-kraven. Kompensatoriska kontroller och strikta nätverkssegmenteringsprinciper är fortfarande nödvändiga för befintlig utrustning.

Vilka OT-skyddsåtgärder passar sjukvården bäst?

Sjukvårdens OT-säkerhet kräver anpassning av industriella OT-principer till sjukhusmiljöns specifika krav: patientintegritet, 24/7-drift, medicinteknisk regulatorik och komplex nätverksmiljö med tusentals enheter. HHS (USA:s hälsodepartement) publicerade 2024 specifika cybersäkerhetsprestationsmål (HPH CPG) för sjukvård med rekommenderade OT-åtgärder (HHS, 2024).

Prioritet 1: Segmentera medicinteknisk utrustning i dedikerat VLAN separerat från kontors- och kliniknätverk. Prioritet 2: Inventera alla medicintekniska enheter med nätverksanslutning, inklusive modell, firmware och anslutningsstatus. Prioritet 3: Implementera nätverksövervakning specifikt anpassad för medicinteknisk utrustning och kliniska protokoll. Prioritet 4: Etablera OT-specifika incidentresponsrutiner som beaktar patientsäkerhet och klinisk drift. Prioritet 5: Kräv cybersäkerhetsdokumentation (SBOM, support policy) vid upphandling av ny medicinteknisk utrustning.

OT-nätverkssegmentering: zoner och förbindelser

Vanliga frågor om OT-säkerhet i sjukvård

Kan man patcha medicinteknisk utrustning utan att bryta certifieringen?

Det beror på tillverkaren. Många tillverkare kräver att specifika godkända uppdateringspaket används, och att självständig patchning kan påverka CE-märkning och garantier. Kontakta tillverkaren och få skriftlig bekräftelse på vilka uppdateringsrutiner som är godkända. MDR kräver att tillverkare tillhandahåller säkerhetsuppdateringar under produktens livstid, vilket förbättrar situationen för ny utrustning.

Hur implementerar man nätverkssegmentering utan att störa klinisk integration?

Klinisk integration, till exempel att en MRI skickar data till PACS-servern eller att en infusionspump integrerar med EPJ, kräver kontrollerade nätverksflöden. Dokumentera alla godkända kommunikationsflöden, implementera deny-all och tillåt explicit godkänd trafik. Testa noggrant i testmiljö innan driftsättning. Segmentering ska aldrig avbryta klinisk kommunikation utan ska kanalisera den kontrollerat.

Vad krävs av svenska regioner under NIS2?

Regioner som utför sjukvård klassificeras som väsentliga entiteter under NIS2. Kraven inkluderar riskhantering för alla relevanta nätverks- och informationssystem (inklusive OT), incidentrapportering till MSB inom 24 timmar, leveranskedjesäkerhet och tekniska säkerhetsåtgärder som nätverkssegmentering och kryptering. MSB och Socialstyrelsen samordnar tillsynen för sjukvårdssektorn.

Sammanfattning

Sjukvårdens OT-säkerhet är en patientsäkerhetsfråga, inte bara en IT-fråga. Ransomware mot sjukhus har dokumenterade konsekvenser för vården, och medicinteknisk utrustning med kända säkerhetsbrister är utbredd i svenska sjukhus. NIS2 och MDR skapar nu ett regulatoriskt ramverk som driver förbättring.

Börja med medicinteknisk nätverkssegmentering och tillgångsinventering. Dessa är de mest kritiska åtgärderna och de som ger störst riskreduktion för patientsäkerheten.

Opsio OT-säkerhetstjänster