Από τους βηματοδότες έως τα έξυπνα ρολόγια, γινόμαστε όλο και περισσότερο είδος κυβερνητικού είδους. Αυτός είναι ο λόγος για τον οποίο οι πρόσφατοι τίτλοι σχετικά με τις ευπάθειες σε εμφυτευμένα ιατροτεχνολογικά προϊόντα ενδέχεται να προκαλέσουν ειδοποιήσεις. Μπορεί ο βηματοδότης του παππού σας να πειραχτεί πραγματικά και, εάν ναι, ποιος είναι ο πραγματικός κίνδυνος;
Είναι μια επίκαιρη ερώτηση. Ναι, υπάρχουν σημαντικές αλλαγές στην ιατρική τεχνολογία. Οι εμφυτεύσιμες συσκευές μπορούν πλέον να επικοινωνούν ασύρματα και το επερχόμενο ιατρικό Διαδίκτυο των πραγμάτων (IoT) φέρνει μαζί του διάφορες φορητές συσκευές για να διατηρεί τους παρόχους υγειονομικής περίθαλψης και τους ασθενείς πιο συνδεδεμένους. Όμως ένας μεγάλος κατασκευαστής ιατρικών συσκευών έχει κάνει πρωτοσέλιδα με ένα, αλλά δύο κρίσιμα θέματα ευπάθειας ασφαλείας.
Οι ευπάθειες επισημαίνουν τους κινδύνους εισβολής
Τον περασμένο Μάρτιο, το Υπουργείο Εσωτερικής Ασφάλειας προειδοποίησε ότι οι εισβολείς θα μπορούσαν να έχουν ασύρματη πρόσβαση σε εμφυτευμένους βηματοδότες της Medtronic . Τότε, μόλις τρεις μήνες αργότερα, Η Medtronic υπενθύμισε εθελοντικά μερικές από τις αντλίες ινσουλίνης για παρόμοιους λόγους.
Στην επιφάνεια, αυτό είναι τρομακτικό, αλλά μπορεί να μην είναι τόσο κακό όσο ακούγεται. Οι χάκερ δεν μπορούν να έχουν πρόσβαση σε εμφυτευμένους βηματοδότες από κάποιο απομακρυσμένο τερματικό εκατοντάδες μίλια μακριά ή να πραγματοποιούν επιθέσεις ευρείας κλίμακας. Για να χακαριστεί ένας από αυτούς τους βηματοδότες, η επίθεση πρέπει να πραγματοποιηθεί σε κοντινή απόσταση από το θύμα (εντός εμβέλειας Bluetooth) και μόνο όταν η συσκευή συνδέεται στο Διαδίκτυο για αποστολή και λήψη δεδομένων.
Αν και είναι απίθανο, ο κίνδυνος είναι πραγματικός. Η Medtronic σχεδίασε το πρωτόκολλο επικοινωνίας της συσκευής έτσι ώστε να μην απαιτεί έλεγχο ταυτότητας, ούτε τα κρυπτογραφημένα δεδομένα. Έτσι, οποιοσδήποτε έχει επαρκή κίνητρο θα μπορούσε να αλλάξει τα δεδομένα στο εμφύτευμα, τροποποιώντας ενδεχομένως τη συμπεριφορά του με επικίνδυνο ή ακόμη και θανατηφόρο τρόπο.
Όπως οι βηματοδότες, οι ανακληθείσες αντλίες ινσουλίνης είναι ασύρματα ενεργοποιημένες για σύνδεση με σχετικό εξοπλισμό, όπως μια συσκευή μέτρησης, που καθορίζει πόση αντλία ινσουλίνης αντλείται. Αυτή η οικογένεια αντλιών ινσουλίνης επίσης δεν διαθέτει ενσωματωμένη ασφάλεια, επομένως η εταιρεία τις αντικαθιστά με ένα πιο ενημερωμένο μοντέλο στον κυβερνοχώρο.
Η βιομηχανία παίζει το Catch-Up
Με την πρώτη ματιά, μπορεί να φαίνεται ότι η Medtronic είναι το παιδί της αφίσας για ανίδερη και επικίνδυνη ασφάλεια (η εταιρεία δεν απάντησε στο αίτημά μας για σχολιασμό αυτής της ιστορίας), αλλά απέχει πολύ από μόνη της.
«Η κατάσταση της ασφάλειας στον κυβερνοχώρο σε ιατροτεχνολογικά προϊόντα είναι γενικά κακή», δήλωσε ο Ted Shorter, Διευθύνων Σύμβουλος Τεχνολογίας στην εταιρεία ασφαλείας IoT Keyfactor.
Ο Alaap Shah, δικηγόρος που ειδικεύεται στην προστασία της ιδιωτικής ζωής, την ασφάλεια στον κυβερνοχώρο και τη ρύθμιση της υγειονομικής περίθαλψης στο Epstein Becker Green, εξηγεί: «Οι κατασκευαστές δεν ανέπτυξαν ιστορικά προϊόντα με γνώμονα την ασφάλεια».
Μετά από όλα, στο παρελθόν, για να παραβιάσετε έναν βηματοδότη, έπρεπε να εκτελέσετε χειρουργική επέμβαση. Όλη η βιομηχανία προσπαθεί να ανταποκριθεί στην τεχνολογία και να κατανοήσει τις επιπτώσεις στην ασφάλεια. Ένα ταχέως εξελισσόμενο οικοσύστημα - όπως το ιατρικό IoT που αναφέρθηκε προηγουμένως - θέτει νέες πιέσεις ασφάλειας σε μια βιομηχανία που δεν είχε ποτέ να το σκεφτεί προηγουμένως.
«Χτυπάμε ένα σημείο καμπής στην ανάπτυξη των προβλημάτων συνδεσιμότητας και ασφάλειας», δήλωσε ο επικεφαλής ερευνητής της McAfee, Steve Povolny.
Παρόλο που η ιατρική βιομηχανία έχει ευπάθειες, ωστόσο, δεν υπήρξε ποτέ ιατρική συσκευή που να παραβιάζεται στη φύση.
"Δεν ξέρω για ευπάθειες που εκμεταλλεύτηκαν", δήλωσε ο Shorter.
Γιατί όχι?
«Οι εγκληματίες δεν έχουν το κίνητρο να χαράξουν έναν βηματοδότη», εξήγησε ο Povolny. «Υπάρχει μεγαλύτερη απόδοση επένδυσης μετά από ιατρικούς διακομιστές, όπου μπορούν να κρατήσουν όμηρα αρχεία ασθενών με ransomware. Γι 'αυτό ακολουθούν αυτό το χώρο - χαμηλή πολυπλοκότητα, υψηλό ποσοστό απόδοσης.
Πράγματι, γιατί να επενδύσετε σε περίπλοκες, εξαιρετικά τεχνικές παραβιάσεις ιατρικών συσκευών, όταν τα τμήματα πληροφορικής του νοσοκομείου παραδοσιακά έχουν τόσο κακή προστασία και πληρώνουν τόσο καλά; Μόνο το 2017, 16 νοσοκομεία είχαν πληγεί από επιθέσεις ransomware . Και η απενεργοποίηση ενός διακομιστή δεν συνεπάγεται φόρο δολοφονίας, εάν έχετε παγιδευτεί. Η χάραξη μιας λειτουργικής, εμφυτευμένης ιατρικής συσκευής, ωστόσο, είναι ένα πολύ διαφορετικό θέμα.
Δολοφονίες και χάραξη ιατρικών συσκευών
Ακόμα κι έτσι, ο πρώην αντιπρόεδρος Ντικ Τσένι δεν ανέλαβε καμία πιθανότητα το 2012. Όταν οι γιατροί αντικατέστησαν τον παλαιότερο βηματοδότη του με ένα νέο, ασύρματο μοντέλο, απενεργοποίησαν τις ασύρματες λειτουργίες για να αποτρέψουν οποιαδήποτε εισβολή. Εμπνευσμένο εν μέρει από μια πλοκή από την τηλεοπτική εκπομπή "Homeland" Ο γιατρός της Τσέινι είπε "Μου φάνηκε ότι ήταν κακή ιδέα για τον αντιπρόεδρο των Ηνωμένων Πολιτειών να έχει μια συσκευή που ίσως κάποιος μπορεί να ... χαράξει."
Το έπος της Cheney προτείνει ένα τρομακτικό μέλλον στο οποίο τα άτομα στοχεύονται εξ αποστάσεως μέσω ιατρικών συσκευών που ρυθμίζουν την υγεία τους. Ωστόσο, ο Povolny δεν πιστεύει ότι πρόκειται να ζήσουμε σε έναν κόσμο επιστημονικής φαντασίας, στον οποίο οι τρομοκράτες τραυματίζουν ανθρώπους από απόσταση, παραβιάζοντας τα εμφυτεύματα.
«Σπάνια βλέπουμε ενδιαφέρον να επιτεθούμε σε άτομα», είπε ο Povolny, επικαλούμενος την τρομακτική πολυπλοκότητα του hack.
Αλλά αυτό δεν σημαίνει ότι δεν μπορεί να συμβεί. Πιθανότατα είναι θέμα χρόνου μέχρι κάποιος να γίνει θύμα ενός αληθινού κόσμου, απειλής τύπου Mission Impossible. Η Alpine Security ανέπτυξε μια λίστα με πέντε κατηγορίες συσκευών που είναι πιο ευάλωτες. Στην κορυφή της λίστας είναι ο σεβάσμιος βηματοδότης, ο οποίος έκανε το κόψιμο χωρίς την πρόσφατη ανάκληση της Medtronic, αναφέροντας αντ 'αυτού το 2017 ανάκληση 465.000 εμφυτευμένων βηματοδοτών από τον κατασκευαστή Abbott . Η εταιρεία έπρεπε να ενημερώσει το υλικολογισμικό αυτών των συσκευών για να διορθώσει τρύπες ασφαλείας που θα μπορούσαν εύκολα να οδηγήσουν στο θάνατο του ασθενούς.
Άλλες συσκευές που ανησυχεί η Alpine περιλαμβάνουν εμφυτεύσιμους απινιδωτές καρδιο-μετατροπέα (οι οποίοι είναι παρόμοιοι με τους βηματοδότες), αντλίες έγχυσης φαρμάκων, ακόμη και συστήματα MRI, τα οποία δεν είναι ούτε αιμορραγικά ούτε εμφυτεύσιμα. Το μήνυμα εδώ είναι ότι η ιατρική βιομηχανία πληροφορικής έχει πολλή δουλειά στο πιάτο τους για να εξασφαλίσει κάθε είδους συσκευές, συμπεριλαμβανομένου μεγάλου υλικού παλαιού τύπου που κάθεται εκτεθειμένο σε νοσοκομεία.
Πόσο ασφαλείς είμαστε;
Ευτυχώς, οι αναλυτές και οι ειδικοί φαίνεται να συμφωνούν ότι η στάση ασφάλειας στον κυβερνοχώρο της κοινότητας κατασκευαστών ιατρικών συσκευών έχει βελτιωθεί σταθερά τα τελευταία χρόνια. Αυτό οφείλεται, εν μέρει, στο καθοδηγεί το FDA που δημοσιεύθηκε το 2014 , μαζί με διυπηρεσιακές ομάδες που εκτείνονται σε πολλούς τομείς της ομοσπονδιακής κυβέρνησης
Η Povolny, για παράδειγμα, ενθαρρύνεται ότι το FDA συνεργάζεται με κατασκευαστές για τον εξορθολογισμό των χρονοδιαγραμμάτων δοκιμών για ενημερώσεις συσκευών. "Υπάρχει ανάγκη εξισορρόπησης των δοκιμαστικών συσκευών αρκετά ώστε να μην βλάπτουμε κανέναν, αλλά να μην χρειαστεί τόσο πολύ που δίνουμε στους επιτιθέμενους πολύ μακρύ διάδρομο για να ερευνήσουν και να εφαρμόσουν επιθέσεις σε γνωστές ευπάθειες."
Σύμφωνα με την Anura Fernando, αρχιτέκτονα καινοτομίας ιατρικών συστημάτων διαλειτουργικότητας και ασφάλειας της UL, η βελτίωση της ασφάλειας των ιατρικών συσκευών αποτελεί προτεραιότητα αυτή τη στιγμή στην κυβέρνηση. «Το FDA προετοιμάζει νέα και βελτιωμένη καθοδήγηση. Το συντονιστικό συμβούλιο του τομέα υγειονομικής περίθαλψης υπέβαλε πρόσφατα το κοινό σχέδιο ασφάλειας. Οι Οργανισμοί Ανάπτυξης Προτύπων εξελίσσονται πρότυπα και δημιουργούν νέους όπου χρειάζεται. Το DHS συνεχίζει να επεκτείνεται στα προγράμματα CERT και σε άλλα κρίσιμα σχέδια προστασίας υποδομής και η κοινότητα της υγειονομικής περίθαλψης επεκτείνεται και συνεργάζεται με άλλους για να βελτιώνεται συνεχώς η στάση της ασφάλειας στον κυβερνοχώρο για να συμβαδίζει με το μεταβαλλόμενο τοπίο απειλών. "
Ίσως είναι καθησυχαστικό ότι εμπλέκονται τόσα ακρωνύμια, αλλά υπάρχει πολύς δρόμος.
«Ενώ ορισμένα νοσοκομεία έχουν μια πολύ ώριμη στάση ασφάλειας στον κυβερνοχώρο, εξακολουθούν να υπάρχουν πολλοί που αγωνίζονται να καταλάβουν πώς να αντιμετωπίσουν ακόμη και τη βασική υγιεινή της ασφάλειας στον κυβερνοχώρο», θρήνησε ο Φερνάντο.
Λοιπόν, υπάρχει κάτι που μπορείτε να κάνετε, ο παππούς σας ή οποιοσδήποτε ασθενής με φορητή ή εμφυτευμένη ιατρική συσκευή; Η απάντηση είναι λίγο απογοητευτική.
«Δυστυχώς, το βάρος βαρύνει τους κατασκευαστές και την ιατρική κοινότητα», είπε ο Povolny. «Χρειαζόμαστε πιο ασφαλείς συσκευές και σωστή εφαρμογή πρωτοκόλλων ασφαλείας.
Υπάρχει όμως μια εξαίρεση. Εάν χρησιμοποιείτε μια συσκευή ποιότητας καταναλωτή - όπως ένα έξυπνο ρολόι, για παράδειγμα - η Povolny συνιστά να ασκείτε καλή υγιεινή ασφαλείας. "Αλλάξτε τον προεπιλεγμένο κωδικό πρόσβασης, εφαρμόστε ενημερώσεις ασφαλείας και βεβαιωθείτε ότι δεν είναι συνδεδεμένος στο Διαδίκτυο όλη την ώρα, εάν δεν χρειάζεται."
