Det er mange systemer og løsninger som installeres og kjøres lokalt hos kunden. Det kan være utfordrende og holder slike systemer oppdatert. Ofte er det manuelle prosesser som krever fysisk tilgang, og i mange tilfeller håndteres dette av de som har driftsansvaret lokalt. For slike systemer er det viktig å gjennomføre fortløpende vurderinger av sikkerheten i og rundt denne typen utstyr og systemer. Både trusselbildet og mulighetsrommet endrer seg kontinuerlig, og det som var trygt å bruke den ene dagen kan være usikkert og utgjøre en trussel den neste dagen. Den programvaren/systemet som ikke lot seg oppdatere, kan ha fått tilgjengelig oppdateringer som bidrar til økt sikkerhet. God kommunikasjon mellom kunde, leverandør og produsent er viktig for å kunne holde systemene oppdatert og sikre god IT-sikkerhet.
Eksempler på lokalinstallerte systemer:
- styring av heis
- adgangssystem
- styringssystemer for strøm, vann og ventilasjon.
- medisinsk utstyr
- lokalt installerte servere
- lokalt installert programvare
Noen av systemene behandler ikke helse- og personopplysninger, men virksomhetene er ofte avhengige av disse systemene for å kunne yte forsvarlig helsehjelp. Det er også ofte systemer som er integrert med andre systemer eller kommuniserer i samme nettverk. Tradisjonelt sett er dette systemer med lav modenhet når det kommer til grunnleggende IT-sikkerhet. Ofte mangler det en systematisk tilnærming til sikkerhetsoppdateringer, og det kan være utdaterte versjoner av operativsystem. I noen tilfeller vil det ikke være mulig å foreta oppdateringer, slik at utdaterte versjoner må benyttes.
Medisinsk utstyr og OT er systemer som ofte består av komplekse nettverk med underliggende komponenter som har utdaterte eller proprietære operativsystemer. Det er viktig at disse systemene beskyttes på en god måte, både for deres egen sikkerhet, men også for at disse systemene ikke skal utgjøre en trussel for andre deler av virksomheten. Som leverandører av slike systemer bør man tilby løsninger som lar seg oppdatere og sikkerhetspatche. Man bør jobbe for å holde systemene oppdatert, både når det kommer til sikkerhetspatcher og oppdateringer av operativsystem. Normen sier at systemer skal være robuste, og det er viktig at leverandører av slike systemer bistår kunden på best mulig måte, slik at både systemet og omkringliggende systemer blir robuste og sikre. Typiske tiltak kan være å bistå med råd om hvordan systemet kan settes opp for å ivareta krav til robusthet og sikkerhet, som for eksempel brannmur, segmentering av nettverk og antivirus.
