Cybersecurity considerations in the procurement process of digital medical equipment at Norwegian hospitals

Abstract

I Norge er helsetjenester ansett som kritisk infrastruktur, som dermed bør beskyttes for å sikre pasientbehandlingen. Norske helsetjenester benytter seg i økende grad av teknologi som en del av pasientbehandlingen og informasjonen fra digitalt medisinsk utstyr spiller ofte en viktig rolle i beslutningsprosesser hos helsepersonell. Samtidig er det en stadig økning i cyberkriminalitet; Nasjonal Sikkerhetsmyndighet (NSM) rapporterer at trusselaktører i økende grad utnytter sårbarheter uten å ta hensyn til hvilke konsekvenser det kan ha. Norske sykehus har til en viss grad vært skjermet fra denne typen aktivitet, men cyberkriminelles økende interesse for lettsolgte helseopplysninger har gjort dem til et attraktivt mål. Å sikre og beskytte helseopplysninger er det derfor en svært viktig del av cybersikkerhetsarbeidet som bør gjøres ved sykehusene. Et av de ulike områdene hvor cybersikkerhet bør hensyntas, er i innkjøpsprosessen av digitalt medisinsk utstyr. Når en ser på livssyklusen til utstyr, er det slik at innkjøpsprosessen kan bidra til å danne grunnlaget for å sikre utstyret senere i livssyklusen, ved å velge leverandører som leverer utstyr med tilstrekkelig innebygd sikkerhet. Med andre ord er det slik at riktig valg av leverandør og utstyr bidrar til å sikre infrastrukturen og dermed pasientsikkerheten og privatlivet til pasienter. For å undersøke tilstanden ved norske sykehus, er følgende problemstilling stilt: hvilke cybersikkerhetsvurderinger blir tatt i innkjøpsprosessen av digitalt medisinsk utstyr ved norske sykehus? Problemstillingen understøttes av tre forskningsspørsmål som undersøker hvilke cybersikkerhetsvurderinger som bør tas i innkjøpsprosessen av digitalt medisinsk utstyr i henhold til kjente rammeverk og beste praksiser, hvilke cybersikkerhetsvurderinger som tas i innkjøpsprosessen av digitalt medisinsk utstyr ved norske sykehus i dag, og hva som kan gjøres for å forbedre den eksisterende innkjøpsprosessen i innkjøpsprosessen av digitalt medisinsk utstyr. Oppgaven inkluderer en teoretisk del hvor funn fra Lysneutvalgets NOU-rapport og Riksrevisjonen presenteres, i tillegg til anbefalte cybersikkerhetsvurderinger fra kjente rammeverk. Masteroppgaven er basert på en kvalitativ forskningsmetode hvor data har blitt samlet inn gjennom en litteraturstudie og seks semistrukturerte intervjuer med representanter fra tre ulike helseregioner, i tillegg til ett uavhengig sykehus. Resultatet av undersøkelsene viser at det er en signifikant forskjell i modenheten i de ulike helseregionene, hvor enkelte av deltagerne informerer om at de har definerte prosesser, roller og ansvar som planlegger innkjøp, mens andre deltagere informerer om at de ikke blir involvert før utstyr er kjøpt inn, noe som tvinger dem til å iverksette tiltak for å sikre utstyr med manglende innebygd cybersikkerhet. Masteroppgaven konkluderer med at selv om alle informantene opplyser at de har forberedt cybersikkerhetsvurderinger og krav i innkjøpsprosessen, så erfarer enkelte av deltagerne at disse ikke hensyntas da cybersikkerhetskompetanse ekskluderes fra innkjøpsprosessen. Dette problemet ser ut til å stamme fra at norske helseregioner og sykehus er overlatt til å finne ut hvordan man kan bygge en solid innkjøpsprosess som tar hensyn til alle interessenter, i stedet for å få et foreslått rammeverk for å anskaffe utstyr som ivaretar cybersikkerhet gjennom dedikerte roller og ansvar. Det er derfor utarbeidet et løsningsforslag til en modell for anskaffelse av digitalt medisinsk utstyr.

The health care services are considered a part of the critical societal infrastructure in Norway, which should be protected to safeguard secure patient treatment. Norwegian health care services are increasing their use of technology in patient treatment, and information that digital medical equipment provides often plays an important part contributing to decision-making processes among health care personnel. At the same time, cybercrime is rapidly increasing; the Norwegian National Security Authority (NSM) reports that threat actors increasingly exploit vulnerabilities, without considering the potential consequences of their actions. Norwegian hospitals have to a certain extent been shielded from this type of activity, but the increased interest from cybercriminals in easy-to-sell health records have made them an attractive target. To secure and protect health records is therefore an important part of the cybersecurity work that should be performed at hospitals.

Among the areas where cybersecurity should be considered, is the procurement process of digital medical equipment. Looking at the lifecycle of equipment, the procurement process can contribute to create a foundation for securing equipment later in the device lifecycle, by selecting vendors that deliver equipment with adequate built-in security measures. In other words, choosing the right equipment contributes to safeguarding the infrastructure, and consequently, the safety and privacy of the patients. To investigate the state of art at Norwegian hospitals, the following problem statement has been prepared to elucidate the topic: Which cybersecurity considerations are taken in the procurement process of digital medical equipment at Norwegian hospitals? The problem statement is supported by three research questions that will investigate which cybersecurity considerations that should be taken in the procurement process according to well-known frameworks and best-practices, which cybersecurity considerations that are taken in the procurement process of digital medical equipment at Norwegian hospitals today, and finally, what can be done to improve the current procurement practice of digital medical equipment.

The thesis includes a theoretical part where findings from Norwegian Official Report and reports by the Office of the Auditor General are highlighted, and recommended cybersecurity considerations in the procurement process according to well-known frameworks are listed.

This Master thesis is based on a qualitative research method where data have been collected through a literature study and six semi-structured interviews with representatives from three different health regions and one independent hospital.

The result of the thesis reveals a significant difference in maturity across the health regions, where some participants inform that they have defined processes with dedicated roles and responsibilities that plan procurements, while other health regions experience that they often are involved only after equipment is procured, which in turn forces them to implement compensating security measures in cases where procured equipment has inadequate cybersecurity measures.

The Master thesis concludes that although all the participants in the study informs that they have prepared a set of cybersecurity considerations and requirements, some experience that these considerations are not taken into account due to cybersecurity competence being excluded from the procurement process. This problem seems to stem from the fact that Norwegian health regions and hospitals are somewhat left alone to figure out how to build a solid procurement process that considers all stakeholders, instead of being provided with a suggested framework for procuring equipment that safeguards cybersecurity through dedicated roles and responsibilities. Therefore, a suggested model for procuring digital medical equipment has been created.