Vårdens
cyberexponering
En djupanalys av hur medicintekniska enheter, medicinsk gas-SCADA och kliniska IT-system hänger ihop — och varför ett enda intrång kan hota patientlivet, inte bara datan.
Region Mellstad
— systemkartan
Region Mellstad driver Länssjukhus Mellstad (350 vårdplatser), tre vårdcentraler och ambulansverksamhet. Sjukhuset har 350+ medicintekniska nätverksenheter uppkopplade på sjukhusens interna nät — och inget av dem hanteras av IT-avdelningen. Medicinteknisk avdelning (MTA) äger enheterna. Ingen av de två avdelningarna har mandat eller kompetens för OT-cybersäkerhet.
Intensivvårdsavdelning (IVA)
Varje IVA-plats har 4–6 nätverksanslutna enheter: respirator, patientmonitor, infusionspump, blodgasanalysator. Alla kommunicerar via sjukhusets IP-nät med HL7-meddelanden mot journalsystemet TakeCare. En kompromiss kan direkt ändra doseringsgränser eller stänga av larmfunktioner.
Operationssalar
Varje operationssal kräver: LAF-tak (laminärt luftflöde), medicinsk gas (O₂, N₂O, luft, vakuum), anestesimaskin med nätverksmodul och temperatur/fuktstyrning. BMS styr luftflöde via Siemens Desigo CC. Medicinsk gas övervakas av separat SCADA (Dräger). Inget av systemen är segmenterat från varandra.
Medicinsk gas-infrastruktur
Central syrgastank, tryckluftssystem och vakuumsystem försörjer hela sjukhuset. Dräger-SCADA övervakar tryck, flöde och larm i realtid. Systemet kör Windows Server 2016 med ingen patchstrategi — MDR-certifieringen kräver validering för varje uppdatering, vilket i praktiken innebär att systemet aldrig patchas.
Radiologi — PACS och modaliteter
Picture Archiving and Communication System (PACS) lagrar alla röntgenbilder. CT- och MR-skannrar kommunicerar via DICOM-protokollet. PACS-servern kör Windows Server 2012 R2 (EOL sedan 2023). RDP exponerat inom sjukhusnätet. Kompromiss = förlust av all bilddiagnostik → blindbombar kirurgin.
Apotek och läkemedelsautomater
Automatiska läkemedelsskåp (Omnicell-automater) på varje avdelning kommunicerar med centralt apotek via TCP/IP. Autentisering baseras på RFID-kort + PIN. Systemet hanterar narkotiska preparat. En kompromiss kan ge obehörig åtkomst till narkotika eller manipulera dosregistrering.
Klinisk kemi och laboratorium
Laboratorieanalysatorer (Roche, Abbott, Siemens Healthineers) kommunicerar provresultat via LIS (Laboratory Information System) till TakeCare. Analysatorer kör proprietär firmware, uppdateras av tillverkare. Flera enheter har legacy-anslutningar via RS-232-to-TCP-adapters med minimal autentisering.
Ambulansverksamhet
Varje ambulans är en mobil nätverksnod: 4G-router, monitor-defibrillator (ZOLL, Philips) med direktöverföring av EKG till sjukhuset, RAKEL och GPS-tracking. Ambulansens nätverk är kopplade mot sjukhusets centrala infrastruktur vid ankomst via WiFi-handover.
Nödström och UPS
Tre UPS-system (APC Symmetra LX) och två dieselgeneratorer försörjer sjukhuset vid avbrott. UPS hanteras via SNMP och webb-GUI (standard community string "public"). Generatorstart är automatisk men starttiden (45–90 sek) är ej dokumenterad mot IVA-utrustningens batteriautonomitet — ett oprövat gap.
MDR-dilemmat som
förhindrar patchning
Vårdens unika OT-problem är inte bara det platta nätet — det är att MDR (Medical Device Regulation) kräver valideringsprocess för varje firmware-uppdatering. I praktiken innebär det att medicinteknisk utrustning sällan eller aldrig patchas. NIS2 kräver sårbarhantering. MDR försvårar det. Gapet är strukturellt.
MDR kräver att alla programvaruförändringar i en certifierad medicinteknisk produkt genomgår ny riskanalys och validering. I praktiken innebär det att firmware-uppdateringar skjuts upp i 6–24 månader eller skippas helt. NIS2 kräver aktiv sårbarhantering. Region Mellstad bryter mot NIS2 varje dag de driver opatchad medicinteknisk utrustning på IP-nät.
IT-avdelningen: hanterar IT, inte medicinteknisk utrustning. Medicinteknisk avdelning (MTA): hanterar enheter, inte cybersäkerhet. Fastighetsdrift: hanterar BMS, inte medicin. Ingen av dessa avdelningar äger OT-cybersäkerheten. Det är det strukturella gapet som gör sjukhuset sårbart.
Från nätverksbryggad
enhet till patientrisk
Sjukvård är ENISA:s mest attackerade sektor 2023–2024 i Europa. Ransomware mot sjukhus är den dominerande attacktypen — men den farligaste angreppsytan är OT-systemens direkta koppling till patientens livsfunktioner.
Initial access — BD Alaris infusionspump, CVE-2020-25165
BD Alaris infusionspumpar (Länssjukhus Mellstad har 87 st) har en autentiseringsbypass i webgränssnittet (CVE-2020-25165, CVSS 9.8). Sårbarhet publicerades 2020 — pumparna är fortfarande ej patchade (MDR-validering av firmware-uppdatering ej genomförd). Angripare på sjukhusets gäst-WiFi når pumpens webb-API.
CVE-2020-25165 — Authentication BypassNätverksbrygga — pumpen på medicinskt och administrativt VLAN
BD Alaris-pumpen är registrerad på både det medicintekniska nätet och det administrativa nätet (för journalintegrationen med TakeCare). Inga brandväggsregler separerar de två segmenten. Angriparen använder pumpen som nätverksbrygga och skannar mot det administrativa segmentet.
T0859 — Valid Accounts / Network BridgeLateral movement — TakeCare EHR-server
TakeCare-databasen (MS SQL Server) svarar på port 1433. SQL-kontot för pumparnas HL7-integration har överdrivna rättigheter (db_owner). Angriparen autentiserar mot SQL-servern med pumpens lagrade credentials och får läsåtkomst till alla patientjournaler.
T0866 — Exploitation of Remote ServicesExfiltrering — 14 000 patientjournaler
Angriparen kopierar patientdata för alla inlagda patienter under 60 dagar — 14 000 poster med diagnos, läkemedel och personnummer. Data exfiltreras via krypterad HTTPS-tunnel. Ingen DLP, ingen nätverksanomali-detektion, ingen OT-logg. Intrånget uppmärksammas inte förrän data publiceras på darknet 3 veckor senare.
T0882 — Theft of Operational Information- GDPR-brott: 14 000 registrerades känsliga hälsodata exponerade — 72h-rapport till IMY obligatorisk
- NIS2-incident: sjukvård Bilaga I — 72h-rapport till IVO och MSB obligatorisk
- Parallell risk: om angriparen valt att manipulera doseringsgränserna i pumpens firmware istället för att exfiltrera data hade patienter kunnat överdoseras
- Region Mellstad kan inte rekonstruera intrångsförloppet — ingen OT-logg
Initial access — Siemens serviceteknikers VPN (se kommunfallet)
Samma angreppsvektor som i kommunfallet: Siemens fältingenjör phishad, VPN-credentials stulna. VPN-anslutningen ger åtkomst till Desigo CC — sjukhusets BMS-plattform som styr HVAC, LAF-tak och klimat i alla sex operationssalar.
T0865 — Spearphishing / Valid AccountsKartläggning — Desigo CC visar operationssalarnas system
I Desigo CC identifierar angriparen alla sex operationssalars LAF-styrsystem, temperatur/fuktset-points och kopplingen till den medicinsk gas-SCADA (Dräger). BMS och gas-SCADA delar nätverkssegment — inga brandväggar separerar dem.
T0840 — Network Connection EnumerationAttack — LAF-systemet stängs av i OR 3 och 4
Angriparen stänger av LAF-taket (laminärt luftflöde) i operationssal 3 och 4 via Desigo CC. Utan laminärt flöde uppfyller salarna inte ISO 14644 klass 5 — alla operationer måste avbrytas. Sjukhuset larmar inte initialt eftersom BMS-larm inte korsar till kliniska larmsystem.
T0855 — Unauthorized Command MessageEskalation — gasövervakning manipuleras för att fördröja respons
Angriparen modifierar tröskelvärden för O₂-larmen i Dräger-SCADA: höjer larmgränsen från 95% till 80% saturation. Personalens larmpanel ringer inte trots faktisk tryckminskning. Patienter i pågående operationer riskerar att inte få larm om gasförsörjningen sviktar.
T0838 — Modify Alarm Settings- Operationssal 3 och 4 ur funktion — planerade operationer inställda, akuta omdirigeras
- Manipulerade larmgränser utgör direkt patientsäkerhetsrisk — IVO-anmälan lex Maria obligatorisk
- Sjukhuset kan inte skilja cyberangrepp från tekniskt fel utan OT-logg
- Siemens VPN-åtkomst var aldrig loggad — leverantörens IP syns inte i något system
Initial access — RDP-brute force mot PACS-server
PACS-servern (Windows Server 2012 R2, EOL) exponerar RDP port 3389 internt och via sjukhusets VPN för radiologer som vill se bilder hemifrån. Angripare med credentials från ett tidigare dataintrång (credential stuffing mot sjukhusets AD) lyckas autentisera. Ingen MFA på RDP.
T0886 — Remote Services / Credential StuffingLateral movement — från PACS till hela domänen
PACS-servern har domänadmin-rättigheter (historisk IT-skuld: "det var enklare att ge det full åtkomst"). Angriparen kör Mimikatz, dumpar AD-credentials och tar kontroll över hela sjukhusets Active Directory. TakeCare, ekonomisystem och administrativa system är nu tillgängliga.
T0859 — Valid Accounts / Privilege EscalationPre-ransomware — 3 veckors tyst dataexfiltrering
Innan kryptering exfiltreras 2,3 TB data: patientjournaler, personalfiler, operationsscheman, ekonomi. Data fungerar som utpressningsverktyg: "betala eller publicerar vi." Exfiltreringen sker via HTTPS nattetid — ingen SIEM-regel triggas.
T0882 — Theft of Operational InformationKryptering — sjukhuset paralyseras på 4 timmar
Måndag kl. 04:00: ransomware krypterar PACS, TakeCare, labsystem och filservrar. Sjukhuset vaknar till svarta skärmar. Jour-läkare kan inte se röntgenbilder eller journaler. IVA arbetar på minnet och fax. Operationssal-schemata skrivs på whiteboard. Ambulanser omdirigeras till Region Norr.
T0809 — Data Encrypted for Impact- Akutmottagning på pappersjournaler i 9 dagar (verklig referens: Helse Sør-Øst 2018, Ridgemont Hospital 2023)
- Planerade operationer inställda i 2 veckor — väntekö-effekt mäts i månader
- 2,3 TB patientdata i hotaktörens händer — dubbel utpressning
- Återuppbyggnadskostnad: 45–120 MSEK (ENISA genomsnitt för europeiska sjukhus)
- NIS2-sanktioner: 10 MEUR max + IVO-utredning + personligt ledningsansvar för regiondirektören
Tre avdelningar —
noll med OT-mandat
Sjukhusets medicintekniska OT-cybersäkerhet faller konsekvent mellan IT-avdelningens, MTA:s och Fastighetsdriftens ansvarsområden. Varje avdelning äger en del av problemet — ingen äger helheten. Regiondirektören bär det juridiska NIS2-ansvaret utan att ha fått verktygen.
| System | Kritikalitet | Operativ ägare | IT-ansvarig | OT-cyber-ansvarig | NIS2-ansvarig | Rapporterar till |
|---|---|---|---|---|---|---|
| IVA-respiratorer och monitorer | Kritisk | Vårdenhet + MTA | Ingen | MTA (ej cybersäk.) | Regiondirektören | IVO + MSB |
| Infusionspumpar (87 st) | Kritisk | Vårdenhet + MTA | Ingen | MTA (ej cybersäk.) | Regiondirektören | IVO + MSB + IMY |
| Medicinsk gas-SCADA (Dräger) | Kritisk | Fastighetsdrift + MTA | Ingen | Dräger (leverantör!) | Oklart | Oklart |
| PACS-server (radiologi) | Hög | Radiologiavdelningen | IT-avdelningen | IT (utan OT-mandat) | Regiondirektören | MSB + IVO |
| TakeCare EHR | Kritisk | IT-avdelningen | IT-avdelningen | IT (delvis) | Regiondirektören | MSB + IMY |
| BMS / Desigo CC (OR, IVA) | Kritisk | Fastighetsdrift | Ingen | Siemens (leverantör!) | Oklart | Oklart |
| UPS och nödström | Kritisk | Fastighetsdrift | Ingen | Fastighetsdrift (ej OT) | Regiondirektören | MSB |
| Läkemedelsautomater (Omnicell) | Hög | Apoteket | Ingen | Omnicell (leverantör!) | Oklart | Oklart |
Medicinsk gas-SCADA ägs de facto av Dräger. BMS ägs de facto av Siemens. Läkemedelsautomaterna ägs de facto av Omnicell. Regiondirektören bär NIS2-ansvaret men har outsourcat den operativa cybersäkerheten till tre externa parter utan att det är reglerat i kontrakten. Om ett av dessa system komprometteras är ansvarsfördelningen juridiskt omtvistad — och sjukhuset saknar underlag för 72h-rapporten.
NIS2, MDR, GDPR och PDL —
fyra parallella krav
Sjukvård är den enda sektorn i Sverige där cybersäkerhetsreglering (NIS2), produktreglering (MDR), personuppgiftsreglering (GDPR) och patientdatalagstiftning (PDL) krockar direkt — med motstridiga krav på patchning, validering och datahantering.
NIS2 — Hälso- och sjukvård
OT-inventering, leverantörskedja, sårbarhantering, 72h-rapport. Kräver patchning — krockar direkt med MDR.
MDR — Medical Device Regulation
Varje firmware-uppdatering kräver ny riskanalys och validering. I praktiken = aldrig patchad utrustning. NIS2 kräver motsatsen.
GDPR + Patientdatalagen
Patientdata är känsliga personuppgifter. Intrång utlöser 72h-rapport till IMY parallellt med NIS2-rapport till MSB/IVO. Dubbel rapporteringskedja utan samordning.
Lex Maria + Socialstyrelsens föreskrifter
Cyberhändelser som påverkar patientsäkerhet ska anmälas via lex Maria. En manipulerad larmsignal = lex Maria-anmälan parallellt med NIS2-incident. Tre myndigheter, ett händelseförlopp.
Sex insikter om
vårdens OT-säkerhet
Medicinteknisk utrustning är den blindaste OT-fläcken
350+ nätverksanslutna medicinska enheter som ingen IT-avdelning inventerat, ingen patch-strategi för och ingen loggning av. De är direktkopplade till patientens livsfunktioner och direkt åtkomliga via sjukhusnätet.
MDR och NIS2 kräver motsatsen av varandra
NIS2 kräver aktiv sårbarhantering och patchning. MDR kräver validering av varje firmware-ändring. Utan en aktiv MDR-undantags- eller patch-process är sjukhuset garanterat i brott mot ett av de två regelverken.
Medicinsk gas-SCADA är den mest underuppskattade risken
Manipulerade syrgaslarm är svårare att detektera än ett strömavbrott — och konsekvenserna är lika allvarliga. Gas-SCADA är ofta oprövat ur cybersäkerhetsperspektiv och lever i gränslandet mellan MTA och Fastighetsdrift.
Leverantörerna äger tre kritiska OT-system
Dräger, Siemens och Omnicell har i praktiken det operativa cyberansvaret för gas-SCADA, BMS och läkemedelsautomater. Regiondirektören bär NIS2-ansvaret men har inte verktygen. Kontrakten definierar inte cybersäkerhetsansvaret.
Fyra rapporteringskedjor vid ett enda intrång
En ransomware-attack mot ett sjukhus utlöser parallellt: NIS2-rapport (MSB+IVO), GDPR-rapport (IMY), lex Maria-anmälan (IVO) och eventuellt LKL-rapport (Läkemedelsverket vid apoteks-OT). Ingen koordineringstjänsteman i Region Mellstad har mandatet.
Patientkonsekvensen är omedelbar — inte fördröjd
Till skillnad från de flesta OT-sektorer är vårdens konsekvens inte "driftstopp om 15 minuter" — det är "felaktig dosering nu" eller "larm uteblir nu." Det ändrar kravbilden radikalt: loggning och anomalidetektion i realtid är inte nice-to-have.