A pacemakerektől az intelligens órákig, mi vagyunkegyre inkább kibernetikus fajgá válik. Ez az oka annak, hogy a beültetett orvostechnikai eszközök sebezhetőségéről szóló legfrissebb címek elindíthatják a riasztási harangokat. Nagyon apád szívritmus-szabályozóját valóban feltörhetik, és ha igen, mi a valódi kockázat?
Ez egy időszerű kérdés. Igen, jelentős változások történnek az orvosi technológiában az utóbbi időben - a beültethető eszközök most már vezeték nélkül tudnak kommunikálni, és a közelgő orvosi tárgyak internete (IoT) különféle hordható eszközöket hoz magával, hogy az egészségügyi szolgáltatók és a betegek jobban kapcsolódjanak egymáshoz. Egy jelentős orvostechnikai eszközgyártó azonban nemcsak egy, hanem két kritikus biztonsági rést hozott fel a címsorba.
A sérülékenységek kiemelik a hackelés kockázatait
Tavaly márciusban a Hazai TanszékA biztonság figyelmeztette, hogy a hackerek vezeték nélkül hozzáférhetnek a Medtronic által gyártott beültetett szívritmus-szabályozókhoz. Aztán, csak három hónappal később, a Medtronic hasonló okokból önként visszahívta néhány inzulinszivattyúját.
A felszínen ez félelmetes, de valószínűlegne legyen olyan rossz, mint amilyennek hangzik. A hackerek nem tudnak hozzáférést biztosítani a beültetett szívritmus-szabályozókhoz néhány távoli terminálról több száz mérföld távolságban, vagy széles körű támadásokat indítani. Ezen szívritmus-szabályozók egyikének feltöréséhez a támadást az áldozat közvetlen közelében kell tartani (a Bluetooth hatótávolságán belül), és csak akkor, ha az eszköz csatlakozik az internethez adatküldés és -fogadás céljából.
Bár valószínűtlen, a kockázat valós. A Medtronic úgy tervezte meg az eszköz kommunikációs protokollját, hogy nem igényel semmiféle hitelesítést, és az adatok sem titkosítva. Tehát bárki, aki kellően motivált, megváltoztathatja az implantátum adatait, veszélyes vagy akár halálos módon módosíthatja viselkedését.
A szívritmus-szabályozókhoz hasonlóan a visszahívott inzulinpumpák isvezeték nélkül engedélyezve vannak a kapcsolódó eszközökhöz, például egy adagolóhoz való csatlakozáshoz, amely meghatározza, hogy mekkora mennyiségű inzulint pumpálnak fel. Ennek az inzulinpumpa-családnak szintén nincs beépített biztonsága, ezért a vállalat azokat egy kibertudatosabb modellre váltja fel.
Az iparág felzárkózást játszik
Első pillantásra úgy tűnik, hogy a Medtronic a tudatlan és veszélyes biztonság plakátjának gyermeke (a cég nem válaszolt a történet megjegyzésére irányuló kérésünkre), de messze nem egyedül.
"Az orvostechnikai eszközök kiberbiztonságának állapota általánosságban rossz" - mondta Ted Shorter, az IoT Keyfactor biztonsági cég technológiai igazgatója.
Alaap Shah, a magánéletre szakosodott ügyvéda kiberbiztonság és az egészségügy szabályozása az Epstein Becker Greennél: „A gyártók a történelem során nem fejlesztettek ki termékeket a biztonság szempontjából.”
Végül is, a múltban az aszívritmus-szabályozó, műtétet kellett végeznie. Az egész iparág próbál felzárkózni a technológiához és megérteni a biztonsági következményeket. Egy gyorsan fejlődő ökoszisztéma - mint például az orvostudományi tárgyalások korábban említettek - új biztonsági hangsúlyt helyez az ipar számára, amelynek még soha nem kellett erre gondolni.
"Megtaláljuk a csatlakozási és biztonsági aggályok növekedésének fordulópontját" - mondta Steve Povolny, a McAfee fő fenyegetéskutatója.
Noha az orvosi iparnak sebezhetőségei vannak, soha nem létezett olyan orvosi eszköz, amelyet csapkodtak a vadonban.
"Nem tudok kihasznált sebezhetőségekről" - mondta Shorter.
Miért ne?
„A bűnözőknek nincs motiváció a csapkodásraszívritmus-szabályozó ”- magyarázta Povolny. „Nagyobb megtérülés megy az orvosi szerverek után, ahol ransomware segítségével túszként tudják tartani a betegek nyilvántartásait. Ezért megyek utána - alacsony bonyolultságú, magas megtérülési ráta. ”
Valójában miért fektessenek be összetett, rendkívül technikai beruházásokbaaz orvostechnikai eszköz megsértése, amikor a kórházi IT-osztályokat hagyományosan oly kevésbé védették és ilyen jól fizetnek? Csak 2017-ben 16 kórházat bántalmazták a ransomware támadások. És egy szerver letiltása nem jár gyilkossági díjjal, ha elkaptak. A működő, implantált orvostechnikai eszközök becsapása azonban nagyon más kérdés.
Gyilkosságok és orvosi eszközök hackelése
De Dick Cheney volt alelnök mégsem tetteHa az orvosok az idősebb szívritmus-szabályozót egy új, vezeték nélküli modellel cserélték, letiltották a vezeték nélküli funkciókat, hogy elkerüljék a hackereket. Részben a „Homeland” TV-műsor egyik inspirációja szerint Cheney orvosa: „Számomra rossz ötletnek tűnt az Egyesült Államok alelnökének egy olyan készülékkel rendelkeznie, amelynek olyan készüléke van, amelyet talán valaki képes megtörni. ba."
Cheney szaga egy ijesztő jövőre utalaz egyéneket távolról megcélozzák az egészségüket szabályozó orvostechnikai eszközökön keresztül. De Povolny nem gondolja, hogy egy sci-fi világban fogunk élni, ahol a terroristák távolról zombolják az embereket az implantátumok megsértésével.
"Ritkán látunk érdeklődést az egyének megtámadása iránt" - mondta Povolny, hivatkozva a csapkodás félelmetes összetettségére.
De ez nem jelenti azt, hogy nem történhet meg. Valószínűleg csak idő kérdése, amíg valaki a valós küldetés áldozatává nem válik. Az Alpine Security kidolgozta a legsebezhetőbb eszközök öt osztályának listáját. A lista tetején a tiszteletreméretű szívritmus-szabályozó készül, amely a közelmúltbeli Medtronic visszahívás nélkül elvégezte a vágást, ehelyett idézte az Abbott gyártó 465 000 beültetett szívritmus-szabályozójának 2017. évi visszahívását. A vállalatnak frissítenie kellett ezen eszközök firmware-jét, hogy javítson olyan biztonsági lyukakat, amelyek könnyen beteg halálát okozhatják.
Az Alpine egyéb aggályai között szerepel a következőkbeültethető kardioverter defibrillátorok (amelyek hasonlóak a szívritmus-szabályozókhoz), gyógyszer-infúziós szivattyúk és még az MRI-rendszerek, amelyek sem vérző, sem beültethetők. Az üzenet az, hogy az orvostechnikai IT-ipar sok munkát végez a lemezén mindenféle eszköz biztosítása érdekében, beleértve a nagy, régi kórházakon kívül ülő hardvereket is.
Mennyire biztonságban vagyunk?
Szerencsére úgy tűnik, hogy az elemzők és a szakértők egyetértenekhogy az orvostechnikai eszközök gyártójának kiberbiztonsági pozíciója az utóbbi években folyamatosan javult. Ez részben annak köszönhető, hogy az FDA 2014-ben közzétette az iránymutatásokat, valamint a szövetségi kormány több ágazatát átfogó, az Ügynökségeket támogató munkacsoportokkal.
Povolny például arra ösztönzi, hogy az FDAegyüttműködik a gyártókkal az eszközfrissítések tesztelési ütemterveinek korszerűsítése érdekében. "Meg kell elégíteni a tesztelő eszközök egyensúlyát annyira, hogy senkit ne sértsünk, de nem kell olyan sokáig tartani, hogy a támadóknak nagyon hosszú kifutópályát adjunk az ismert sebezhetőségek elleni támadások kutatására és végrehajtására."
Anura Fernando, az UL vezetője szerintAz orvosi rendszerek interoperabilitásának és biztonságának innovációs építésze, az orvostechnikai eszközök biztonságának javítása jelenleg a kormányban kiemelt prioritás. „Az FDA új és továbbfejlesztett útmutatásokat készít. Az egészségügyi ágazat koordináló tanácsa nemrégiben tette közzé a közös biztonsági tervet. A szabványfejlesztő szervezetek szabványokat fejlesztnek, és szükség esetén újakat hoznak létre. A DHS tovább bővíti CERT-programjait és más kritikus infrastruktúrák védelmét szolgáló terveket, az egészségügyi közösség pedig kibővül és másokkal együttműködve folyamatosan javítja a kiberbiztonsági testtartást, hogy lépést tartson a változó fenyegetési környezettel. "
Talán megnyugtató, hogy oly sok mozaikszó van szó, de még hosszú utat kell megtenni.
"Míg egyes kórházak nagyon érett kiberbiztonsági testtartással bírnak, még mindig sokan próbálják megérteni, hogyan kell kezelni a kiberbiztonsági alapvető higiéniát is" - panaszkodott Fernando.
Szóval, mit tehet Ön, nagyapja vagy bármely, a hordható vagy implantált orvostechnikai eszközzel rendelkező beteg? A válasz kissé nyugtalanító.
"Sajnos a gyártókra és az orvosi közösségre hárul a felelősség" - mondta Povolny. "Biztonságosabb eszközökre és a biztonsági protokollok megfelelő végrehajtására van szükségünk."
Van azonban egyetlen kivétel. Ha fogyasztói minőségű készüléket használ, például egy intelligens órát, Povolny azt javasolja, hogy tartsa be a megfelelő biztonsági higiéniát. "Változtassa meg az alapértelmezett jelszót, alkalmazza a biztonsági frissítéseket, és ellenőrizze, hogy nincs-e állandóan csatlakoztatva az internethez, ha nem kell."
