Tahdistimista älykelloihin meistä tulee yhä enemmän kyberneettisiä lajeja. Siksi tuoreet otsikot implantoitujen lääkinnällisten laitteiden haavoittuvuuksista saattavat laukaista hälytyskelloja. Voidaanko isoisäsi sydämentahdistinta todella hakkeroida ja jos on, mikä on todellinen riski?
Se on ajankohtainen kysymys. Kyllä, lääketieteellisessä tekniikassa on merkittäviä muutoksia - implantoitavat laitteet voivat nyt kommunikoida langattomasti, ja tuleva lääketieteellinen esineiden internet (IoT) tuo mukanaan erilaisia puettavia laitteita pitääkseen terveydenhuollon tarjoajat ja potilaat paremmin yhteydessä toisiinsa. Mutta merkittävä lääkinnällisten laitteiden valmistaja on tehnyt otsikoita, joissa ei ole yksi, vaan kaksi kriittistä tietoturva-aukkoa.
Haavoittuvuudet korostavat hakkerointiriskit
Viime maaliskuussa kotimaan turvallisuusministeriö varoitti sitä hakkerit voivat käyttää langattomasti Medtronicin valmistamia sydäntahdistimia . Sitten, vain kolme kuukautta myöhemmin, Medtronic palautti vapaaehtoisesti osan insuliinipumpuistaan vastaavista syistä.
Pinnaltaan tämä on kauhistuttavaa, mutta se ei ehkä ole aivan niin huono kuin miltä se kuulostaa. Hakkerit eivät voi käyttää implantoituja sydämentahdistimia joistakin satamien mailien päässä olevasta etäpäätteestä eivätkä tehdä laajamittaisia iskuja. Jos haluat hakkeroida yhtä näistä sydämentahdistimista, hyökkäys on suoritettava uhrin fyysisen läheisyyden lähellä (Bluetooth-kantaman sisällä) ja vain, kun laite muodostaa yhteyden Internetiin tietojen lähettämistä ja vastaanottamista varten.
Vaikka riski on epätodennäköinen, se on todellinen. Medtronic suunnitteli laitteen tietoliikenneprotokollan siten, että se ei vaadi todentamista eikä tietoja ole salattu. Joten kuka tahansa riittävän motivoitunut voi muuttaa implantin tietoja, mahdollisesti muuttamalla sen käyttäytymistä vaarallisella tai jopa kohtalokkaalla tavalla.
Kuten sydämentahdistimet, myös takaisin kutsutut insuliinipumput ovat langattomasti yhteydessä siihen liittyviin laitteisiin, kuten annostelulaitteeseen, joka määrittää kuinka paljon insuliinia pumpataan. Tällä insuliinipumppujen perheellä ei myöskään ole sisäänrakennettua suojausta, joten yritys korvaa ne kybertietoisemmalla mallilla.
Teollisuus pyrkii kiinni
Ensi silmäyksellä saattaa tuntua siltä, että Medtronic on julistamaton lapsi vaarallisesta turvallisuudesta (yritys ei vastannut pyyntöön kommentoida tätä tarinaa), mutta se ei ole läheskään yksin.
"Lääketieteellisten laitteiden kyberturvallisuus on yleisesti ottaen huono", sanoo IoT: n turvallisuusyhtiön Keyfactorin teknologiajohtaja Ted Shorter.
Epstein Becker Greenin yksityisyyteen, kyberturvallisuuteen ja terveydenhuollon sääntelyyn erikoistunut lakimies Alaap Shah selittää: "Valmistajat eivät ole historiallisesti kehittäneet tuotteita turvallisuutta ajatellen."
Loppujen lopuksi joudut tekemään leikkauksen, jotta sydämentahdistinta voidaan muuttaa Koko teollisuus yrittää tarttua tekniikkaan ja ymmärtää turvallisuusvaikutukset. Nopeasti kehittyvä ekosysteemi - kuten aiemmin mainittu lääketieteellinen esineiden internet - asettaa uusia turvallisuusstressejä teollisuudelle, jonka ei ole koskaan tarvinnut ajatella sitä ennen.
"Saamme taivutuspisteen yhdistettävyys- ja turvallisuushuolen kasvussa", sanoi McAfeen johtava uhkatutkija Steve Povolny.
Vaikka lääketeollisuudessa on haavoittuvuuksia, luonnossa ei ole koskaan murtautunut lääkinnällisiä laitteita.
"En tiedä hyödynnetyistä haavoittuvuuksista", Shorter sanoi.
Miksi ei?
"Rikollisilla ei vain ole motivaatiota hakkeroida sydämentahdistinta", Povolny selitti. "Lääketieteellisten palvelimien jälkeen menee suurempi ROI, jossa he voivat pitää potilastietoja panttivankina ransomware-ohjelmalla. Siksi he kulkevat tämän tilan jälkeen - heikko monimutkaisuus, korkea tuottoprosentti. "
Miksi todella investoida monimutkaisiin, erittäin teknisiin lääkinnällisten laitteiden väärentämiseen, kun sairaalan IT-osastot ovat perinteisesti olleet niin huonosti suojattuja ja maksavat niin hyvin? Pelkästään vuonna 2017 16 sairaalaa lamautti ransomware-hyökkäykset . Ja palvelimen poistaminen käytöstä ei aiheuta murhaa, jos sinut jää kiinni. Toimivan, implantoidun lääkinnällisen laitteen hakkerointi on kuitenkin hyvin erilainen asia.
Salamurhat ja lääkinnällisten laitteiden hakkerointi
Silti entinen varapresidentti Dick Cheney ei ottanut riskejä vuonna 2012. Kun lääkärit vaihtoivat vanhemman sydämentahdistimen uudelle, langattomalle mallille, he estivät langattomat ominaisuudet estääkseen hakkeroinnin. Innoittamana osittain juonesta TV-ohjelmasta "Kotimaa" Cheneyn lääkäri sanoi "Minusta tuntui olevan huono idea, että Yhdysvaltojen varapresidentillä olisi laite, johon joku ehkä pystyy ... murtautumaan."
Cheneyn tarina viittaa pelottavaan tulevaisuuteen, jossa ihmiset kohdennetaan etäyhteyden kautta terveyttä säätelevien lääkinnällisten laitteiden kautta. Mutta Povolny ei usko, että aiomme elää scifi-maailmassa, jossa terroristit etsivät ihmisiä etänä manipuloimalla implantteja.
"Harvoin nähdään kiinnostusta hyökätä yksilöihin", Povolny sanoi vedoten hakkeroinnin pelottavaan monimutkaisuuteen.
Mutta se ei tarkoita, ettei sitä voi tapahtua. Se on todennäköisesti vain ajan kysymys, kunnes joku joutuu tosielämän Mission Impossible -tyyppisen hakkeroinnin uhriksi. Alpine Security kehitti luettelon viidestä haavoittuvimmasta laiteluokasta. Luettelon kärjessä on kunnioitettava tahdistin, joka teki leikkauksen ilman viimeaikaista Medtronic-muistutusta ja viittasi sen sijaan vuoteen 2017 valmistaja Abbott palautti 465 000 sydämentahdistinta . Yrityksen oli päivitettävä näiden laitteiden laiteohjelmisto korjaamaan turva-aukkoja, jotka voivat helposti johtaa potilaan kuolemaan.
Muita laitteita, joista Alpine on huolissaan, ovat implantoitavat kardioverteridefibrillaattorit (jotka ovat samanlaisia kuin sydämentahdistimet), lääkeinfuusiopumput ja jopa magneettikuvausjärjestelmät, jotka eivät ole verenvuotoisia eikä implantoitavia. Sanoma tässä on, että lääketieteellisellä IT-alalla on paljon työtä lautasillaan kaikenlaisten laitteiden, mukaan lukien sairaaloissa alttiina olevien suurten vanhojen laitteistojen, kiinnittämiseksi.
Kuinka turvallisia olemme?
Onneksi analyytikot ja asiantuntijat näyttävät olevan yhtä mieltä siitä, että lääkinnällisten laitteiden valmistajien yhteisön kyberturvallisuusasento on parantunut tasaisesti viime vuosina. Tämä johtuu osittain suuntaviivat, jotka FDA julkaisi vuonna 2014 yhdessä virastojen välisten työryhmien kanssa, jotka kattavat useita liittohallituksen sektoreita.
Esimerkiksi Povolnya rohkaistaan, että FDA työskentelee valmistajien kanssa virtaviivaistamaan laitepäivitysten testausaikatauluja. "Testauslaitteiden on oltava tasapainossa tarpeeksi, jotta emme vahingoita ketään, mutta emme vie niin kauan, että annamme hyökkääjille erittäin pitkän kiitotien tutkia ja toteuttaa hyökkäyksiä tunnetuille haavoittuvuuksille."
UL: n lääketieteellisten järjestelmien yhteentoimivuuden ja turvallisuuden pääinnovaatioarkkitehdin Anura Fernandon mukaan lääkinnällisten laitteiden turvallisuuden parantaminen on ensisijainen tehtävä tällä hetkellä hallituksessa. ”FDA valmistelee uutta ja parannettua ohjausta. Terveydenhuollon koordinointineuvosto laati äskettäin yhteisen turvallisuussuunnitelman. Standardien kehittämisorganisaatiot kehittävät standardeja ja luovat uusia tarvittaessa. DHS jatkaa CERT-ohjelmiensa ja muiden elintärkeiden infrastruktuurien suojaussuunnitelmien laajentamista, ja terveydenhuoltoyhteisö laajenee ja on tekemisissä muiden kanssa parantaakseen jatkuvasti kyberturvallisuusasentoa pysyäkseen mukana muuttuvassa uhka-ympäristössä. "
Ehkä on rauhoittavaa, että mukana on niin monta lyhennettä, mutta on vielä pitkä matka.
"Vaikka joissakin sairaaloissa on hyvin kypsät kyberturvallisuusasennot, on silti monia, jotka kamppailevat ymmärtääkseen, miten käsitellä jopa perus kyberturvallisuushygieniaa", valitti Fernando.
Joten, onko mitään, mitä sinä, isoisäsi tai potilas, jolla on puettava tai implantoitu lääkinnällinen laite, voi tehdä? Vastaus on hieman masentava.
"Valitettavasti valmistajien ja lääketieteellisen yhteisön vastuulla on", Povolny sanoi. "Tarvitsemme turvallisempia laitteita ja suojausprotokollien asianmukaisen toteuttamisen."
On kuitenkin yksi poikkeus. Jos käytät kuluttajalaatuista laitetta - esimerkiksi älykelloa -, Povolny suosittelee, että harjoittelet hyvää turvallisuushygieniaa. "Vaihda oletussalasana, asenna tietoturvapäivitykset ja varmista, että se ei ole aina yhteydessä Internetiin, jos sen ei tarvitse olla."
