מקוצבי לב לשעונים חכמים, אנו הופכים יותר ויותר למין קיברנטי. זו הסיבה שכותרות אחרונות על פגיעות במכשירים רפואיים מושתלים עלולות לגרום לפעמוני אזעקה. האם באמת ניתן לפרוץ את קוצב הלב של סבא שלך, ואם כן, מה הסיכון בעולם האמיתי?
זו שאלה בזמן. כן, ישנם שינויים משמעותיים בטכנולוגיה הרפואית - התקנים מושתלים יכולים כעת לתקשר באופן אלחוטי, והאינטרנט הרפואי של הדברים (IoT) מביא עמו מכשירים לבישים שונים כדי לשמור על קשרי בריאות וחולים. אך יצרנית מכשור רפואי גדולה עשתה כותרות עם לא אחת, אלא שתי נקודות תורפה קריטיות.
פגיעויות מדגישות סיכוני פריצה
בחודש מרץ האחרון הזהיר המשרד לביטחון פנים כי האקרים יכלו לגשת באופן אלחוטי לקוצבים מושתלים מתוצרת מדטרוניק . ואז, רק שלושה חודשים אחר כך, מדטרוניק נזכרה מרצון בכמה ממשאבות האינסולין שלה מסיבות דומות.
על פני השטח, זה מפחיד, אבל זה לא יכול להיות גרוע כמו שזה נשמע. האקרים לא יכולים לגשת לקוצבים מושתלים ממסוף מרוחק כלשהו במרחק מאות קילומטרים משם או לבצע התקפות רחבות היקף. כדי לפרוץ לאחד מהקוצבים האלה, ההתקפה צריכה להתבצע בקרבה פיזית קרובה לקורבן (בטווח ה- Bluetooth), ורק כשהמכשיר מתחבר לאינטרנט כדי לשלוח ולקבל נתונים.
אמנם לא סביר, אך הסיכון הוא ממשי. מדטרוניק תכננה את פרוטוקול התקשורת של המכשיר כך שהוא לא דורש אימות כלשהו, וגם הנתונים לא מוצפנים. לכן, כל מי שמניע מספיק יכול לשנות את הנתונים בשתל, ולשנות את התנהגותו באופן מסוכן או אפילו קטלני.
כמו הקוצבים, גם משאבות האינסולין הנזכרות מופעלות באופן אלחוטי להתחבר לציוד קשור, כמו מכשיר מדידה, הקובע כמה נשאב אינסולין. למשפחת משאבות האינסולין הזו גם אין אבטחה מובנית, ולכן החברה מחליפה אותם במודל מודע יותר לסייבר.
התעשייה משחקת קאט-אפ
במבט ראשון, אולי נראה שמדטרוניק היא ילד הפוסטר לביטחון חסר מושג ומסוכן (החברה לא נענתה לבקשתנו להגיב על הסיפור הזה), אך היא רחוקה מלהיות לבד.
"מצב האבטחה הסייבר במכשירים רפואיים הוא גרוע באופן כללי", אמר טד שורטר, מנהל הטכנולוגיה הראשי בחברת האבטחה IoT Keyfactor.
Alaap Shah, עורך דין המתמחה בפרטיות, אבטחת סייבר ורגולציה בתחום הבריאות באפשטיין בקר גרין, מסביר: "היצרנים לא פיתחו מוצרים מבחינה היסטורית עם ביטחון."
הרי בעבר, כדי להתעסק בקוצב לב, היית צריך לבצע ניתוח. התעשייה כולה מנסה להתעדכן בטכנולוגיה ולהבין את ההשלכות הביטחוניות. מערכת אקולוגית שמתפתחת במהירות - כמו ה- IoT הרפואי שהוזכר קודם לכן - שמה דגש אבטחה חדש על תעשייה שמעולם לא נאלצה לחשוב על כך קודם לכן.
"אנו פוגעים בנקודת שיפוע בצמיחת החששות לקישוריות וביטחון," אמר חוקר האיומים הראשי של מקאפי, סטיב פובולני.
למרות שלענף הרפואי יש נקודות תורפה, אף פעם לא היה מכשיר רפואי שנפרץ בטבע.
"אני לא יודע על נקודות תורפה מנוצלות," אמר שורטר.
למה לא?
"לפושעים פשוט אין את המוטיבציה לפרוץ קוצב לב", הסביר פובולני. "יש החזר ROI גדול יותר אחרי שרתי רפואה, בהם הם יכולים להחזיק את רשומות המטופלים כבני ערובה עם תוכנות כופר. זו הסיבה שהם הולכים אחרי המרחב ההוא - מורכבות נמוכה, שיעור תשואה גבוה. "
ואכן, מדוע להשקיע בהשחתת מכשור רפואי מורכב וטכני ביותר, כאשר באופן מסורתי מחלקות ה- IT של בתי החולים היו מוגנות בצורה כה גרועה ומשלמות כל כך טוב? רק בשנת 2017, 16 בתי חולים היו נכים מהתקפות כופר . והשבית שרת אינה נושאת באשמת רצח אם נתפסת. פריצה של מכשיר רפואי מתפקד ומושתל, היא עניין אחר לגמרי.
חיסולים ופריצה למכשירים רפואיים
למרות זאת, סגן הנשיא לשעבר דיק צ'ייני לא לקח שום סיכוי בשנת 2012. כאשר הרופאים החליפו את קוצב הלב המבוגר שלו בדגם אלחוטי חדש, הם השביתו את התכונות האלחוטיות כדי למנוע פריצה. בהשראת חלקה מעלילה של תוכנית הטלוויזיה "מולדת" אמר הרופא של צ'ייני "נראה לי שזה רעיון רע לסגן נשיא ארצות הברית שיהיה לו מכשיר שאולי מישהו אולי יוכל ... לפרוץ אליו."
הסאגה של צ'ייני מרמזת על עתיד מפחיד שבו אנשים ממוקדים מרחוק באמצעות מכשירים רפואיים המסדירים את בריאותם. אבל פובולני לא חושב שאנחנו עומדים לחיות בעולם מדע בדיוני בו טרוריסטים זאבים אנשים מרחוק על ידי התעסקות בשתלים.
"לעיתים נדירות אנו רואים עניין לתקוף אנשים," אמר פובולני, וציין את המורכבות המרתיעה של הפריצה.
אבל זה לא אומר שזה לא יכול לקרות. זה כנראה רק עניין של זמן עד שמישהו יהפוך לקורבן של פריצה בסגנון Mission Impossible בעולם האמיתי. Alpine Security פיתחה רשימה של חמש סוגים של מכשירים הפגיעים ביותר. בראש הרשימה קוצב הלב הנכבד, שביצע את הקיצוץ ללא הזיכרון האחרון של מדטרוניק, במקום זאת מצטט את 2017 זיכרון של 465,000 קוצבי לב שהושתלו על ידי היצרן אבוט . החברה נאלצה לעדכן את הקושחה של מכשירים אלה כדי לתקן חורי אבטחה שעלולים לגרום בקלות למותו של המטופל.
מכשירים אחרים ש- Alpine מודאגים מהם כוללים דפיברילטורים של קרדיו-וורטור מושתלים (הדומים לקוצבי לב), משאבות עירוי לתרופות ואפילו מערכות MRI, שאינן מושתקות מדמם ואינן מושתלות. המסר כאן הוא שבתעשיית ה- IT הרפואית יש עבודה רבה על מנת לאבטח כל מיני מכשירים, כולל חומרה מדור קודם גדולה שנמצאת חשופה בבתי חולים.
עד כמה אנחנו בטוחים?
למרבה המזל, נראה כי אנליסטים ומומחים מסכימים כי תנוחת אבטחת הסייבר של קהילת יצרני המכשור הרפואי השתפרה בהתמדה בשנים האחרונות. זה, בין השאר, בגלל ה הנחיות שפרסם ה- FDA בשנת 2014 , יחד עם כוחות משימה בין-מפלגתיים המשתרעים על מספר מגזרים בממשל הפדרלי.
Povolny, למשל, מעודדת שה- FDA עובד עם יצרנים כדי לייעל את לוחות הזמנים של הבדיקה לעדכוני המכשירים. "יש צורך לאזן מספיק מכשירי בדיקה כדי שלא נפגע באף אחד, אך לא ייקח כל כך הרבה זמן עד שנתנו לתוקפים מסלול ארוך מאוד לחקור וליישם התקפות על נקודות תורפה ידועות."
לדברי אנורה פרננדו, ארכיטקט החדשנות הראשי של UL למערכות אינטראופרטיביות ואבטחה של מערכות רפואיות, שיפור האבטחה של מכשירים רפואיים הוא בראש סדר העדיפויות כעת בממשלה. "ה- FDA מכין הנחיות חדשות ומשופרות. המועצה המתאמת של מגזר הבריאות הוציאה לאחרונה את תוכנית הביטחון המשותף. ארגונים לפיתוח תקנים מפתחים סטנדרטים ויוצרים חדשים במידת הצורך. DHS ממשיכה להרחיב את תוכניות ה- CERT שלהם ותוכניות הגנה על תשתיות קריטיות אחרות, וקהילת הבריאות מתרחבת ועוסקת באחרים כדי לשפר ללא הרף את תנוחת אבטחת הסייבר כדי לעמוד בקצב עם נוף האיומים המשתנה. "
אולי זה מרגיע שכל כך הרבה ראשי תיבות מעורבים, אבל יש דרך ארוכה לעבור.
"בעוד שבבתי חולים מסוימים יש תנוחת אבטחת סייבר בוגרת מאוד, ישנם עדיין רבים המתקשים להבין כיצד להתמודד אפילו עם היגיינה בסיסית של אבטחת סייבר," קונן פרננדו.
אז האם יש משהו שאתה, סבא שלך, או כל מטופל עם מכשיר רפואי לביש או מושתל יכול לעשות? התשובה מעט מייאשת.
"למרבה הצער, מוטל על היצרנים והקהילה הרפואית," אמר פובולני. "אנו זקוקים להתקנים מאובטחים יותר וליישום נכון של פרוטוקולי אבטחה."
אולם יש יוצא מן הכלל. אם אתה משתמש במכשיר צרכני - כמו שעון חכם, למשל - פובולני ממליץ לך לנקוט בהיגיינה ביטחונית טובה. "שנה את סיסמת ברירת המחדל, החל עדכוני אבטחה וודא שהיא לא מחוברת לאינטרנט כל הזמן אם היא לא חייבת להיות."
