Medicinteknik är ett fält med en hög grad av digitalisering som erbjuder många viktiga tjänster inom sjukvården. Sjukvården har på senare år visat sig sårbar för intrång och cyberattacker med goda incitament för fientliga aktörer. Mer uppkopplade system förenklar användningen och integreringen av olika medicinska apparater och system men medför även risker som en följd av att mer av systemet blir tillgängligt för externa aktörer. Nya innovationer och en mer digitaliserad bransch kan alltså medföra problem om nödvändiga säkerhetsåtgärder inte vidtas. Branschen undersöks utifrån följande frågeställning: Hur arbetar medicintekniska företag för att motverka risker och hot inom cybersäkerhet? För att belysa nutidsläget inom branschen gjordes med en kvalitativ utgångspunkt en kartläggning av de risker och hot som branschen upplever med avgränsning på små och medelstora företag inom Sverige. Data samlades in genom ett antal semistrukturerade intervjuer med viss anpassning utifrån organisationens verksamhetsbeskrivning.Totalt utfördes 15 intervjuer, 13 med företag verksamma inom medicinteknik eller medicinframställning. En intervju utfördes med en kontakt på Läkemedelsverket och en intervju utfördes med två kontakter som arbetar med informationssäkerhetsfrågor inom en svensk region. Intervjuerna analyserades sedan med hjälp av tematisk analys. Den tematiska analysen resulterade i sju teman. Bland de intervjuade verksamheterna bedömdes generellt risken för intrång i verksamheten som låg, tjänster eller anslutna produkter som brukas av slutanvändare uppfattades dock som mer utsatta. Intervjuerna utfördes under en övergångsperiod till nya förordningar som ställer strängare krav på patientsäkerhet samt cybersäkerhet för medicintekniska produkter. Kraven som dessa förordningar ställer samt eventuella krav från vården identifierades som den primära motivationen att investera i informationssäkerhet bland de intervjuade företagen. Ett flertal respondenter framförde kritik mot de nya regelverken och hävdade att arbetet som krävs för att uppnå kraven är alltför omfattande för mindre verksamheter och risken att företag eller produkter skulle lämna marknaden som en följd framhävs. Synpunkten från Läkemedelsverket och regionen skiljde sig och de betraktade kraven som ställdes som rimliga samt nödvändiga.Resultaten från intervjuerna visar ett behov av ökat stöd för små och medelstora verksamheter för att kunna uppnå de krav som ställs samt vägleda mindre verksamheter. / MedTech is a sector with a high degree of digitization and responsible for providing many of the innovations and services the health care sector makes use of. In recent years the healthcare sector has shown itself to be vulnerable to intrusions and cyberattacks. Increasingly connected devices confer benefits through increased interoperability of devices and systems, easier access and handling of medical records along with general ease of use. Connecting these devices also puts them at risk of being remotely accessed however, meaning many recent innovations may be problematic if these risks are not properly mitigated. Given how interwoven the sectors mentioned above are there is a high likelihood that insufficient security measures in Medtech will impact healthcare adversely. In hopes of illuminating some of the threats and risks the MedTech sector is currently facing, the following question is asked: How do companies within MedTech work to mitigate cybersecurity risks and threats? To answer these questions a survey was done with focus on small and medium sized entities within MedTech based in Sweden. Data was collected through interviews. A total of 15 interviews were conducted, 13 of which were interviews with companies active within the field of MedTech or medicine.One interview was performed with Läkemedelsverket, a supervisory authority within MedTech and one interview was performed with two contacts within a Swedish county council who hold advisory roles regarding information security. The transcribed interviews were analysed thematically to discern common patterns and findings throughout the interviews. The thematic analysis resulted in 7 themes. Among the interviewed companies the majority perceived the likelihood of an intrusion within their company as low and security efforts were primarily directed towards the service or product on offer where the risk and eventual consequences of an intrusion was deemed to be higher. The interviews took place during a transitional period between old directives and new regulations with more stringent requirements regarding security and cybersecurity for medical devices. Complying with the new regulations and eventual requirements from caregivers were the primary motivators behind investment in cybersecurity among the interviewed companies. A number of respondents critiqued the new regulations on the grounds that the workload complying with the regulation brings is excessive for small enterprises and might cause an exodus of products and companies from the sector. This view was not shared by the respondent from Läkemedelsverket nor the respondents from the Swedish county council who considered the new requirements reasonable and necessary. The results show a need for further support among small and medium sized enterprises in order to handle regulatory demands.
| Identifer | oai:union.ndltd.org:UPSALLA1/oai:DiVA.org:su-219727 |
| Date | January 2023 |
| Creators | Bergman, Angus |
| Publisher | Stockholms universitet, Institutionen för data- och systemvetenskap |
| Source Sets | DiVA Archive at Upsalla University |
| Language | Swedish |
| Detected Language | English |
| Type | Student thesis, info:eu-repo/semantics/bachelorThesis, text |
| Format | application/pdf |
| Rights | info:eu-repo/semantics/openAccess |
Page generated in 0.0027 seconds