Mye utstyr og systemer er satt opp for å utveksle opplysninger, enten det er ansattopplysninger for autentisering eller helseopplysninger som sendes mellom fag- og journalsystemer. Det er viktig at opplysningene beskyttes under «transport» mellom systemene, slik at det ikke er mulig å avlytte eller endre dataene. «Dørene» som opplysningene går inn/ut av, ofte referert til som API, må beskyttes ved pålogging eller andre sikkerhetstiltak for å hindre misbruk fra angripere. Et effektitv sikkerhetstiltak for å unngå avlytting eller endring av data er kryptering. Ifølge Normens kapittel 5.3.5 om Kryptering, bør all kommunikasjon sikres med kryptering, enten det skjer via trådløs kommunikasjon eller linjebaserte løsninger. Det bør også vurderes om dataene som er i «hvile» bør krypteres.
Det er ofte krav til hvilken protokoll som brukes og hvilke sikkerhetsmekanismer som er tilgjengelige. Innen helse- og omsorgssektoren brukes vanligvis HL7 2.x, FHIR eller DICOM for utveksling av medisinske opplysninger. DICOM er et meldingsformat med begrenset innebygd sikkerhet, derfor må det ofte legges til egne sikkerhetstiltak ved meldingsutveksling, spesielt når kommunikasjonen skjer over usikrede eller åpne nettverk.
Åpne API-er kan være lett å utnytte for en angriper, for eksempel ved å hente ut data eller brukes som et springbrett videre inn i organisasjonen. Det anbefales å benytte autentiseringsmetoder på API-er som settes opp, i tillegg til logging av trafikken.
Risikovurderingen bør inkludere integrasjoner. Risikomomenter som bør inngår i vurderinger, er:
- Sikre at data ikke kommer på avveie.
- Sikre at data kommer frem til mottaker. Man bør vurdere om det bør settes opp logging, med varsling når f.eks. en melding ikke kommer frem til mottaker
