Assessment of Internet of Medical Things information security in a Finnish private healthcare organization
Lukkala, Jutta (2024)
Lukkala, Jutta
2024
Bioteknologian ja biolääketieteen tekniikan maisteriohjelma - Master's Programme in Biotechnology and Biomedical Engineering
Lääketieteen ja terveysteknologian tiedekunta - Faculty of Medicine and Health Technology
This publication is copyrighted. Only for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2024-06-26
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202406197316
https://urn.fi/URN:NBN:fi:tuni-202406197316
Tiivistelmä
The importance of information security and cybersecurity in healthcare has increased in recent years due to the continuously growing sector of digital health technologies and network-connected medical devices. Internet of Medical Things (IoMT) devices and applications are part of this development. While various IoMT solutions enhance healthcare services, they also create information security threats and expand the potential attack surface. Ensuring the information security of network-connected medical devices is paramount to guarantee patient safety and privacy.
This master’s thesis research focuses on the information security of IoMT devices of a Finnish private healthcare service provider. The research was conducted for the needs of the target company, as no similar research has been done before. The aim of the study was to form an overview of the current state of information security of the target company's IoMT devices and to identify potential areas of improvement.
At the beginning of the thesis, a literature review about IoMT information security was conducted. The practical research focused on the network-connected medical devices used at the company's three large sites, in imaging centre, hospital, clinic, and laboratory. At the beginning of the study, all the devices in use at these target sites were identified and listed, resulting in an inventory of 78 devices. After this, a list of questions was formed for data collection and inter-views, which were aimed to provide information on the factors affecting information security in the devices and the implementation of information security control measures. The selected questions were based on the best practices of IoMT device information security and the prevailing regulations concerning IoMT devices. The primary data of the study was formed from the collected answers to these questions. This data was analysed by two methods: content analysis and frequency distribution method. The first method was used to analyse the answers to the data collection questions and to modify the data so that it can be analysed numerically. The frequency distribution method provided the shares of devices for which the factors affecting information security are realized and information security control measures are implemented.
This research brought out important findings about the information security of the target company's network-connected medical devices. It was found that physical access control, network access control, and encryption of transferable data and servers used by the devices are implemented on the studied devices. Areas of improvement emerged in risk management, network segmentation, and system access control of devices, as well as in making an inventory of network-connected medical devices.
The research carried out in this master's thesis and its results are useful for the target company. The literature review provides a comprehensive description of IoMT devices and their information security, including the most common threats, best practices, risk assessment, and applicable laws and standards. The data collected in the practical research and the results obtained help the company to develop the information security management of their network-connected medical devices. In addition, other healthcare sector companies may also potentially benefit from this work in planning and implementing the information security management of their own IoMT devices. Tietoturvan ja kyberturvallisuuden merkitys terveydenhuollossa on kasvanut viime vuosina digitaalisten terveysteknologioiden ja verkkoon kytkettyjen lääkinnällisten laitteiden jatkuvasti kasvavan sektorin vuoksi. Internet of Medical Things (IoMT) laitteet ja sovellukset ovat osa tätä kehitystä. Erilaisten IoMT ratkaisujen tehostaessa terveydenhuollon palveluja ne luovat samalla erilaisia tietoturvauhkia ja kasvattavat mahdollista hyökkäyspinta-alaa. Potilaiden turvallisen hoidon ja yksityisyyden takaamiseksi verkkoon kytkettyjen lääkinnällisten laitteiden tietoturvasta huolehtiminen on ensiarvoisen tärkeää.
Tämä diplomityötutkimus keskittyy suomalaisen yksityisen terveydenhuollon palveluntarjoajan IoMT-laitteiden tietoturvaan. Tutkimus on toteutettu kohdeyrityksen tarpeeseen, sillä vastaavaa tutkimusta ei ole aiemmin tehty. Tutkimuksen tavoitteena oli muodostaa yleiskuva kohdeyrityksen IoMT-laitteiden tietoturvan nykytilasta ja havaita mahdolliset kehityskohteet.
Diplomityön alussa tehtiin kirjallisuuskatsaus IoMT-laitteiden tietoturvasta. Käytännön tutkimuksessa kohteena olivat yrityksen kolmella isolla toimipisteellä, kuvantamiskeskuksessa, sairaalassa, vastaanotossa ja laboratoriossa, käytössä olevat verkkoon kytketyt lääkinnälliset laitteet. Tutkimuksen alussa selvitettiin ja listattiin kaikki näissä kohdeyksiköissä käytössä olevat tutkittavat laitteet, mistä tuloksena saatiin 78:n laitteen luettelo. Tämän jälkeen muodostettiin tiedonkeruun ja haastattelujen toteuttamiseksi lista kysymyksistä, joiden tarkoituksena oli saada tietoa laitteissa realisoituvista tietoturvaan vaikuttavista tekijöistä ja tietoturvan hallintakeinojen toteutumisesta. Valitut kysymykset perustuivat IoMT-laitteiden tietoturvan parhaisiin käytäntöihin sekä vallitsevaan IoMT-laitteita koskevaan sääntelyyn. Näihin kysymyksiin kerätyistä vastauksista muodostui tutkimuksen ensisijainen data, jota analysoitiin kahdella menetelmällä: sisältöanalyysi- ja taajuusjakaumamenetelmällä. Ensimmäisen menetelmän avulla analysoitiin tiedonkeruukysymysten vastauksia ja muokattiin dataa niin, että sitä voitiin analysoida numeerisesti ja vertailla. Taajuusjakaumamenetelmällä saatiin prosentuaaliset osuudet tietoturvaan vaikuttavista tekijöistä ja tietoturvakontrollien toteutumisesta laitteissa.
Tämä tutkimus toi esiin tärkeitä löydöksiä kohdeyrityksen verkkoon kytkettyjen lääkinnällisten laitteiden tietoturvasta. Havaittiin, että fyysinen pääsynhallinta, verkon pääsynhallinta sekä siirrettävän tiedon ja laitteiden käyttämien palvelimien salaus toteutuvat tutkituilla laitteilla. Kehityskohteita nousi esille riskienhallintaan, verkon segmentointiin ja laitteiden järjestelmäpääsynhallintaan sekä verkkoon kytkettyjen lääkinnällisten laitteiden listaamiseen liittyen.
Tämä diplomityönä toteutettu tutkimus ja sen tulokset ovat hyödyllisiä kohdeyritykselle. Kirjallisuuskatsaus tarjoaa kattavan kuvauksen IoMT-laitteista ja niiden tietoturvasta, mukaan lukien tyypillisimmät uhat, parhaat käytännöt, riskienarvioinnin sekä sovellettavat lait ja standardit. Käytännön tutkimuksessa kerätty data ja saadut tulokset auttavat yritystä kehittämään verkkoon kytkettyjen lääkinnällisten laitteidensa tietoturvan hallintaa. Lisäksi myös muut terveydenhuollon toimialan yritykset voivat mahdollisesti hyödyntää tätä työtä omien IoMT -laitteidensa tietoturvanhallinnan suunnittelussa ja toteuttamisessa.
This master’s thesis research focuses on the information security of IoMT devices of a Finnish private healthcare service provider. The research was conducted for the needs of the target company, as no similar research has been done before. The aim of the study was to form an overview of the current state of information security of the target company's IoMT devices and to identify potential areas of improvement.
At the beginning of the thesis, a literature review about IoMT information security was conducted. The practical research focused on the network-connected medical devices used at the company's three large sites, in imaging centre, hospital, clinic, and laboratory. At the beginning of the study, all the devices in use at these target sites were identified and listed, resulting in an inventory of 78 devices. After this, a list of questions was formed for data collection and inter-views, which were aimed to provide information on the factors affecting information security in the devices and the implementation of information security control measures. The selected questions were based on the best practices of IoMT device information security and the prevailing regulations concerning IoMT devices. The primary data of the study was formed from the collected answers to these questions. This data was analysed by two methods: content analysis and frequency distribution method. The first method was used to analyse the answers to the data collection questions and to modify the data so that it can be analysed numerically. The frequency distribution method provided the shares of devices for which the factors affecting information security are realized and information security control measures are implemented.
This research brought out important findings about the information security of the target company's network-connected medical devices. It was found that physical access control, network access control, and encryption of transferable data and servers used by the devices are implemented on the studied devices. Areas of improvement emerged in risk management, network segmentation, and system access control of devices, as well as in making an inventory of network-connected medical devices.
The research carried out in this master's thesis and its results are useful for the target company. The literature review provides a comprehensive description of IoMT devices and their information security, including the most common threats, best practices, risk assessment, and applicable laws and standards. The data collected in the practical research and the results obtained help the company to develop the information security management of their network-connected medical devices. In addition, other healthcare sector companies may also potentially benefit from this work in planning and implementing the information security management of their own IoMT devices.
Tämä diplomityötutkimus keskittyy suomalaisen yksityisen terveydenhuollon palveluntarjoajan IoMT-laitteiden tietoturvaan. Tutkimus on toteutettu kohdeyrityksen tarpeeseen, sillä vastaavaa tutkimusta ei ole aiemmin tehty. Tutkimuksen tavoitteena oli muodostaa yleiskuva kohdeyrityksen IoMT-laitteiden tietoturvan nykytilasta ja havaita mahdolliset kehityskohteet.
Diplomityön alussa tehtiin kirjallisuuskatsaus IoMT-laitteiden tietoturvasta. Käytännön tutkimuksessa kohteena olivat yrityksen kolmella isolla toimipisteellä, kuvantamiskeskuksessa, sairaalassa, vastaanotossa ja laboratoriossa, käytössä olevat verkkoon kytketyt lääkinnälliset laitteet. Tutkimuksen alussa selvitettiin ja listattiin kaikki näissä kohdeyksiköissä käytössä olevat tutkittavat laitteet, mistä tuloksena saatiin 78:n laitteen luettelo. Tämän jälkeen muodostettiin tiedonkeruun ja haastattelujen toteuttamiseksi lista kysymyksistä, joiden tarkoituksena oli saada tietoa laitteissa realisoituvista tietoturvaan vaikuttavista tekijöistä ja tietoturvan hallintakeinojen toteutumisesta. Valitut kysymykset perustuivat IoMT-laitteiden tietoturvan parhaisiin käytäntöihin sekä vallitsevaan IoMT-laitteita koskevaan sääntelyyn. Näihin kysymyksiin kerätyistä vastauksista muodostui tutkimuksen ensisijainen data, jota analysoitiin kahdella menetelmällä: sisältöanalyysi- ja taajuusjakaumamenetelmällä. Ensimmäisen menetelmän avulla analysoitiin tiedonkeruukysymysten vastauksia ja muokattiin dataa niin, että sitä voitiin analysoida numeerisesti ja vertailla. Taajuusjakaumamenetelmällä saatiin prosentuaaliset osuudet tietoturvaan vaikuttavista tekijöistä ja tietoturvakontrollien toteutumisesta laitteissa.
Tämä tutkimus toi esiin tärkeitä löydöksiä kohdeyrityksen verkkoon kytkettyjen lääkinnällisten laitteiden tietoturvasta. Havaittiin, että fyysinen pääsynhallinta, verkon pääsynhallinta sekä siirrettävän tiedon ja laitteiden käyttämien palvelimien salaus toteutuvat tutkituilla laitteilla. Kehityskohteita nousi esille riskienhallintaan, verkon segmentointiin ja laitteiden järjestelmäpääsynhallintaan sekä verkkoon kytkettyjen lääkinnällisten laitteiden listaamiseen liittyen.
Tämä diplomityönä toteutettu tutkimus ja sen tulokset ovat hyödyllisiä kohdeyritykselle. Kirjallisuuskatsaus tarjoaa kattavan kuvauksen IoMT-laitteista ja niiden tietoturvasta, mukaan lukien tyypillisimmät uhat, parhaat käytännöt, riskienarvioinnin sekä sovellettavat lait ja standardit. Käytännön tutkimuksessa kerätty data ja saadut tulokset auttavat yritystä kehittämään verkkoon kytkettyjen lääkinnällisten laitteidensa tietoturvan hallintaa. Lisäksi myös muut terveydenhuollon toimialan yritykset voivat mahdollisesti hyödyntää tätä työtä omien IoMT -laitteidensa tietoturvanhallinnan suunnittelussa ja toteuttamisessa.