Fra pacemakere til smarturblir i økende grad en kybernetisk art. Derfor kan nyere overskrifter om sårbarheter i implantert medisinsk utstyr sette av alarmklokker. Kan farfarens pacemaker virkelig bli hacket, og i så fall, hva er den reelle risikoen?
Det er et betimelig spørsmål. Ja, det er betydelige endringer innen medisinsk teknologi - implanterbare enheter kan nå kommunisere trådløst, og det kommende medisinske tingenes internett (IoT) fører med seg forskjellige bærbare enheter for å holde helsepersonell og pasienter mer tilkoblet. Men en stor produsent av medisinsk utstyr har kommet med overskrifter med ikke én, men to kritiske sikkerhetsproblemer.
Sårbarheter fremhever hackingsrisiko
Denne siste mars, Department of HomelandSikkerhet advarte om at hackere trådløst kunne få tilgang til implanterte pacemakere laget av Medtronic. Så, bare tre måneder senere, husket Medtronic frivillig noen av insulinpumpene sine av lignende årsaker.
På overflaten er dette skremmende, men det kan detikke være så ille som det høres ut. Hackere kan ikke få tilgang til implanterte pacemakere fra noen eksterne terminal hundrevis av kilometer unna eller utføre omfattende angrep. For å hacke en av disse pacemakerne, må angrepet utføres i umiddelbar fysisk nærhet til offeret (innenfor Bluetooth-rekkevidde), og bare når enheten kobles til Internett for å sende og motta data.
Selv om det er lite sannsynlig, er risikoen reell. Medtronic designet enhetens kommunikasjonsprotokoll slik at den ikke krever noen godkjenning, og heller ikke dataene er kryptert. Så enhver som er tilstrekkelig motivert kan endre dataene i implantatet og potensielt endre sin oppførsel på en farlig eller til og med dødelig måte.
I likhet med pacemakerne, de tilbakekalte insulinpumpeneer trådløst aktivert for å koble til relatert utstyr, som en måleenhet, som bestemmer hvor mye insulin som blir pumpet. Denne familien av insulinpumper har heller ikke innebygd sikkerhet, så selskapet erstatter dem med en mer cyber-bevisst modell.
Industrien spiller fangst
Ved første øyekast kan det se ut til at Medtronic er plakatbarnet for klar og farlig sikkerhet (selskapet svarte ikke på forespørselen vår om kommentar til denne historien), men den er langt fra alene.
"Tilstanden til nettlesikkerhet i medisinsk utstyr er generelt sett dårlig," sa Ted Shorter, teknologisjef ved IoT sikkerhetsfirma Keyfactor.
Alaap Shah, en advokat som spesialiserer seg på personvern,cybersecurity, og regulering i helsevesenet hos Epstein Becker Green, forklarer: "Produsenter har ikke historisk utviklet produkter med sikkerhet i tankene."
Tross alt, i fortiden, å tukle med enpacemaker, du måtte utføre kirurgi. Hele bransjen prøver å innhente teknologi og forstå sikkerhetsmessige implikasjoner. Et raskt utviklende økosystem - som det medisinske IoT som er nevnt tidligere - legger nye sikkerhetsspenninger på en industri som aldri har måtte tenke på det før.
"Vi treffer et bøyepunkt i veksten av tilkoblings- og sikkerhetsproblemer," sa McAfees hovedtrusselforsker, Steve Povolny.
Selv om medisinsk industri har sårbarheter, har det imidlertid aldri vært et medisinsk utstyr som er hacket i naturen.
"Jeg vet ikke om noen utnyttede sårbarheter," sa Shorter.
Hvorfor ikke?
«Kriminelle har bare ikke motivasjonen til å hackeen pacemaker, ”forklarte Povolny. "Det er en større ROI etter medisinske servere, der de kan holde pasientjournalene som gisler med ransomware. Det er grunnen til at de går etter det rommet - lav kompleksitet, høy avkastning. "
Faktisk hvorfor investere i komplekse, svært teknisketukling av medisinsk utstyr, når sykehusets IT-avdelinger tradisjonelt har vært så dårlig beskyttet og betaler så bra? Bare i 2017 ble 16 sykehus forkrøplet av ransomware-angrep. Og å deaktivere en server fører ikke til drapsskyld hvis du blir fanget. Å hacking av et fungerende, implantert medisinsk utstyr er imidlertid en helt annen sak.
Attentater og hacking av medisinsk utstyr
Likevel gjorde ikke tidligere visepresident Dick Cheney detta noen sjanser i 2012. Da legene byttet ut sin eldre pacemaker med en ny, trådløs modell, deaktiverte de de trådløse funksjonene for å forhindre hacking. Inspirert delvis av et komplott fra TV-showet, sa "Homeland," sa legen til Cheney, "det syntes for meg å være en dårlig ide for visepresidenten i USA å ha et apparat som kanskje noen kan være i stand til å ... hacke inn i."
Cheneys saga antyder en skummel fremtid derenkeltpersoner blir målrettet eksternt via medisinsk utstyr som regulerer deres helse. Men Povolny tror ikke vi er i ferd med å leve i en sci-fi verden der terrorister fjerner mennesker eksternt ved å tukle implantater.
"Sjelden ser vi interesse for å angripe enkeltpersoner," sa Povolny og siterte den skremmende kompleksiteten til hacket.
Men det betyr ikke at det ikke kan skje. Det er sannsynligvis bare et spørsmål om tid til noen blir offer for et virkelighetsnært, Mission Impossible-stil. Alpine Security utviklet en liste over fem klasser med enheter som er mest sårbare. På toppen av listen er den ærverdige pacemakeren, som gjorde kuttet uten den nylige Medtronic-tilbakekallingen, i stedet siterer tilbakekallingen av 465 000 implanterte pacemakere fra 2017 av produsenten Abbott. Selskapet måtte oppdatere firmware for disse enhetene for å lappe sikkerhetshull som lett kunne resultere i pasientens død.
Andre enheter Alpine er bekymret for inkludererimplanterbare cardioverter-defibrillatorer (som ligner pacemakere), infusjonspumper for medikamenter og til og med MR-systemer, som verken er blødende eller implanterbare. Meldingen her er at den medisinske IT-bransjen har mye arbeid på tallerkenen for å sikre alle slags enheter, inkludert stor eldre maskinvare som sitter utsatt på sykehus.
Hvor trygge er vi?
Heldigvis ser det ut til at analytikere og eksperter er enigeat cybersecurity-holdningen til produsenten av medisinsk utstyr har forbedret seg jevnlig de siste årene. Dette skyldes delvis retningslinjene FDA publiserte i 2014, sammen med interagency oppgavskrefter som spenner over flere sektorer av den føderale regjeringen.
Povolny oppfordres for eksempel til at FDAsamarbeider med produsenter for å effektivisere testtidslinjer for enhetsoppdateringer. "Det er behov for å balansere testenheter nok til at vi ikke skader noen, men ikke tar så lang tid at vi gir angripere veldig lang rullebane for å forske og implementere angrep på kjente sårbarheter."
I følge Anura Fernando, ULs sjefInnovasjonsarkitekt for medisinske systemer interoperabilitet og sikkerhet, forbedring av sikkerheten til medisinsk utstyr er en prioritet akkurat nå i regjeringen. “FDA forbereder ny og forbedret veiledning. Koordineringsrådet for helsevesenet har nylig lagt ut den felles sikkerhetsplanen. Organisasjoner for standardutvikling utvikler standarder og lager nye der det er behov. DHS fortsetter å utvide på sine CERT-programmer og andre kritiske infrastrukturbeskyttelsesplaner, og helsevesenet utvider og engasjerer seg med andre for kontinuerlig å forbedre cybersecurity-holdningen for å holde tritt med det skiftende trussellandskapet. ”
Det er kanskje betryggende at så mange akronymer er involvert, men det er en lang vei å gå.
"Mens noen sykehus har en veldig moden cybersecurity-holdning, er det fortsatt mange som sliter med å forstå hvordan de skal takle selv grunnleggende cybersecurity-hygiene," klaget Fernando.
Er det noe du, bestefaren din, eller noen pasient med et bærbart eller implantert medisinsk utstyr kan gjøre? Svaret er litt nedslående.
"Dessverre er bruksområdet produsentene og det medisinske samfunnet," sa Povolny. "Vi trenger sikrere enheter og riktig implementering av sikkerhetsprotokoller."
Det er imidlertid et unntak. Hvis du bruker en enhet som forbrukerklasse - for eksempel et smartur - for eksempel - anbefaler Povolny at du praktiserer god sikkerhetshygiene. "Endre standardpassordet, bruk sikkerhetsoppdateringer og sørg for at det ikke er koblet til Internett hele tiden hvis det ikke trenger å være det."
