A Security Assurance Profile for IoT Digital Twins in Healthcare

Abstract

Security Assurance er å bestemme et nivå av tillitt som må oppnås for at et system møter sine sikkerhetskrav. Til samme tid må systemet være motstandsdyktig mot scenarioer der hvor sårbarheter blir utnyttet for å forårsake forstyrrelser. En Security Assurance profil indikerer et sett av sikkerhetskrav og assosierte kontroller for å bestemme om kravene er oppnådd. Et sett av sårbarheter og kontroller for å avgjøre om sårbarhetene eksisterer i systemet eller ikke, er også del av profilen. I profilen defineres et sett av sikkerhetsmål som er tilpasset et spesifikt sett av systemer og miljøet de befinner seg i.

I denne masteroppgaven er IoT digital tvilling systemer tatt til betraktnnig. En IoT digital tvilling er en ny teknologi som følger av den fjerde industrielle revolusjon. Teknologien er muliggjort av andre teknologier som kunstig intelligens, bruken av sky-teknologi til å prosessere stordata, utvidet virkelighet, og internettet av ting (IoT). En IoT digital tvilling bruker IoT sensorer som primærkilde for data. Denne dataen brukes av den digitale tvillingen til å utføre predikasjoner om sin fysiske motpart. Teknolgien har grensesnitt både mot informasjonsteknologi og operasjonell teknologi, og den åpner for nye metoder for interaksjon mellom det fysiske og digitale rom. Denne masteroppgaven utforsker utfordringer relatert til dette i lys av sikkerhet.

Helsesektoren er den del av samfunnets kritiske infrastruktur, og er en unik industri karakterisert av strenge krav for sikkerhet, trygghet og personvern. Disse strenge kravene påviker sikkerhetsmålene for helseindustrien. Denne masteroppgaven utforsker hvor anvendelig IoT digital tvilling teknologi er i denne sektoren. Videre foreslås en Security Assurance profil som søker å forsikre sikkert bruk av IoT digital tvilling teknologi i helsesektoren. Security Assurance profilen som er blitt utviklet består av identifiserte sikkerhetskrav og sårbarheter som reflekterer sikkerhetsmålene innen helsesektoren. For å identifisere disse har det blitt utført intervjuer, og relvant litteratur og sikkerhetsrammeverker har blitt gjennomgått. Et konseptbevis av den utviklede Security Assurance profilen for IoT digital tvilling teknologi innen helsesektoren er blitt utført i form at et kort case-studie.

Security assurance is to find the level of confidence that a system can meet its security requirements while at the same time being resilient against undesired events exploiting vulnerabilities and causing disruptions. A security assurance profile indicates a set of security requirements along with controls for their fulfillment and a set of vulnerabilities along with controls to determine their existence. The security assurance profile defines a set of security objectives for a specific set of systems and their environment.

In this thesis, IoT digital twin systems in healthcare are considered. An IoT digital twin is a new technology following Industry 4.0. Technologies like Artificial Intelligence (AI), big data analytics in the cloud, Extended Reality (XR) and the Internet of Things (IoT) enable the technology. The IoT digital twin uses IoT sensors as a primary input data source and performs predictions about its physical counterpart. The technology interfaces both Information Technology (IT) and Operational Technology (OT) and renders new ways of interaction between the physical and digital space. The challenges related to this are explored in this master's thesis.

The healthcare sector is part of critical infrastructure, and it is a unique industry characterized by strict security, safety, and privacy requirements. These requirements affect the security objectives in this particular industry. This thesis explores the applicability of IoT digital twin technology in this sector. It proposes a security assurance profile that seeks to assure the secure use of \gls{iot} digital twin technology in healthcare. The security assurance profile that has been developed consists of security assurance requirements and vulnerabilities reflecting the security objectives in the healthcare sector. In this process, interviews have been conducted, and relevant literature and cybersecurity frameworks have been reviewed to formulate appropriate requirements and vulnerabilities. A proof of concept of the security assurance profile for IoT digital twins in healthcare has been addressed in the form of a short case study.