심장 박동기에서 스마트 워치에 이르기까지 우리는 점점 사이버 네 틱한 종족이되고 있습니다. 그렇기 때문에 이식 된 의료 기기의 취약성에 대한 최근 헤드 라인이 경보를 울릴 수 있습니다. 할아버지의 심박 조율기가 실제로 해킹 될 수 있으며, 그렇다면 실제 위험은 무엇입니까?
시기 적절한 질문입니다. 예, 의료 기술에는 상당한 변화가 있습니다. 이식 형 장치는 이제 무선으로 통신 할 수 있으며 다가오는 의료 사물 인터넷 (IoT)은 다양한 웨어러블 장치와 함께 의료 서비스 제공 업체와 환자의 연결을 강화합니다. 그러나 한 주요 의료 기기 제조업체는 하나가 아닌 두 가지 중요한 보안 취약점으로 헤드 라인을 장식했습니다.
취약성은 해킹 위험을 강조
지난 3 월 국토 안보부는 다음과 같이 경고했습니다. 해커는 Medtronic에서 만든 이식 된 심박 조율기에 무선으로 액세스 할 수 있습니다. . 그러다 3 개월 후 Medtronic은 일부 인슐린 펌프를 자발적으로 회수했습니다. 비슷한 이유로.
표면적으로 이것은 끔찍하지만 소리만큼 나쁘지는 않을 수 있습니다. 해커는 수백 마일 떨어진 원격 터미널에서 이식 된 심장 박동기에 액세스하거나 광범위한 공격을 수행 할 수 없습니다. 이러한 심박 조율기 중 하나를 해킹하려면 피해자와 물리적으로 가까운 거리 (Bluetooth 범위 내)에서 공격을 수행해야하며 장치가 데이터를 송수신하기 위해 인터넷에 연결될 때만 수행해야합니다.
가능성은 낮지 만 위험은 현실입니다. Medtronic은 인증이 필요하지 않으며 데이터가 암호화되지 않도록 장치의 통신 프로토콜을 설계했습니다. 따라서 충분히 동기 부여가 된 사람은 임플란트의 데이터를 변경하여 잠재적으로 위험하거나 심지어 치명적인 방식으로 동작을 수정할 수 있습니다.
심장 박동기와 마찬가지로 리콜 된 인슐린 펌프는 인슐린이 펌핑되는 양을 결정하는 계량 장치와 같은 관련 장비에 무선으로 연결할 수 있습니다. 이 인슐린 펌프 제품군에는 보안 기능이 내장되어 있지 않기 때문에 회사는 더 많은 사이버 인식 모델로 교체하고 있습니다.
업계는 추격을하고있다
언뜻보기에 메드 트로닉은 우둔하고 위험한 보안의 포스터 아이처럼 보일 수 있지만 (회사는이 이야기에 대한 우리의 의견 요청에 응답하지 않았습니다), 그것은 혼자가 아닙니다.
IoT 보안 회사 인 Keyfactor의 최고 기술 책임자 인 Ted Shorter는“의료 기기의 사이버 보안 상태는 전반적으로 열악합니다.
Epstein Becker Green의 개인 정보 보호, 사이버 보안 및 의료 규제를 전문으로하는 변호사 Alaap Shah는 다음과 같이 설명합니다. "제조업체는 보안을 염두에두고 제품을 개발 한 적이 없습니다."
결국 과거에는 맥박 조정기를 조작하려면 수술을해야했습니다. 업계 전체가 기술을 따라 잡고 보안에 미치는 영향을 이해하려고 노력하고 있습니다. 앞서 언급 한 의료용 IoT와 같이 빠르게 진화하는 에코 시스템은 이전에 그것에 대해 생각할 필요가 없었던 산업에 새로운 보안 스트레스를 가하고 있습니다.
McAfee의 수석 위협 연구원 인 Steve Povolny는 "우리는 연결 및 보안 문제의 증가에 변곡점을 맞이하고 있습니다."라고 말했습니다.
의료 산업에는 취약성이 있지만 의료 기기가 해킹 된 적이 없습니다.
Shorter는“악용 된 취약점에 대해 전혀 모릅니다.
왜 안돼?
"범죄자들은 심장 박동기를 해킹 할 동기가 없습니다."라고 Povolny는 설명했습니다. “랜섬웨어로 환자 기록을 인질로 잡을 수있는 의료 서버를 쫓는 ROI가 더 높아집니다. 그것이 그들이 그 공간을 추구하는 이유입니다. 낮은 복잡성, 높은 수익률입니다. "
실제로 병원 IT 부서가 전통적으로 그렇게 잘 보호되지 않았고 비용도 많이 들었지만 복잡하고 고도로 기술적 인 의료 기기 변조에 투자하는 이유는 무엇입니까? 2017 년에만 16 개 병원이 랜섬웨어 공격으로 불구가되었습니다. . 그리고 서버를 비활성화해도 적발 될 경우 살인 혐의가 부과되지 않습니다. 하지만 작동하고 이식 된 의료 기기를 해킹하는 것은 매우 다른 문제입니다.
암살 및 의료 기기 해킹
그럼에도 불구하고 딕 체니 전 부통령은 2012 년에 기회가 없었습니다. 의사들이 이전의 심박 조율기를 새로운 무선 모델로 교체했을 때 해킹을 방지하기 위해 무선 기능을 비활성화했습니다. TV 프로그램 'Homeland'의 음모에서 부분적으로 영감을 받았습니다. 체니의 의사는 ,“미국 부통령이 누군가가… 해킹 할 수있는 장치를 갖는 것은 나쁜 생각 인 것 같았습니다.”
체니의 무용담은 개인이 건강을 조절하는 의료 기기를 통해 원격으로 표적이되는 무서운 미래를 제시합니다. 하지만 Povolny는 테러리스트가 임플란트를 조작하여 원격으로 사람들을 공격하는 공상 과학 세계에 살고 있다고 생각하지 않습니다.
"개인을 공격하는 데 관심이있는 경우는 드물다"고 Povolny는 해킹의 엄청난 복잡성을 언급하며 말했다.
하지만 그것이 일어날 수 없다는 의미는 아닙니다. 누군가가 실제 미션 임파서블 스타일 해킹의 피해자가되는 것은 시간 문제 일 것입니다. Alpine Security는 가장 취약한 5 가지 등급의 장치 목록을 개발했습니다. 목록의 1 위는 최근 메드 트로닉 리콜없이 컷을 만든 유서 깊은 맥박 조정기입니다. 제조업체 Abbott의 465,000 개의 이식 된 심장 박동기 리콜 . 회사는 환자를 쉽게 사망시킬 수있는 보안 허점을 패치하기 위해 이러한 장치의 펌웨어를 업데이트해야했습니다.
Alpine이 걱정하는 다른 장치로는 이식 형 심장 박동기 제세 동기 (심박 조율기와 유사), 약물 주입 펌프, 심지어는 출혈 가장자리도 이식 불가능한 MRI 시스템도 있습니다. 여기서 메시지는 의료 IT 산업이 병원에 노출 된 대형 레거시 하드웨어를 포함하여 모든 유형의 장치를 보호하기 위해 많은 노력을 기울이고 있다는 것입니다.
우리는 얼마나 안전합니까?
고맙게도 분석가와 전문가들은 의료 기기 제조업체 커뮤니티의 사이버 보안 태세가 지난 몇 년 동안 꾸준히 개선되고 있다는 데 동의하는 것 같습니다. 이것은 부분적으로 FDA가 2014 년에 발표 한 지침 , 연방 정부의 여러 부문에 걸쳐있는 기관 간 태스크 포스와 함께.
예를 들어 Povolny는 FDA가 제조업체와 협력하여 장치 업데이트를위한 테스트 일정을 간소화 할 것을 권장합니다. "우리가 누구에게도 해를 끼치 지 않을 정도로 테스트 장치의 균형을 맞출 필요가 있지만, 공격자가 알려진 취약성에 대한 공격을 연구하고 구현할 수있는 긴 여정을 제공 할 정도로 오래 걸리지 않아야합니다."
UL의 의료 시스템 상호 운용성 및 보안 부문 최고 혁신 설계자 인 Anura Fernando에 따르면 현재 정부에서는 의료 기기의 보안을 개선하는 것이 최우선 과제입니다. “FDA는 새롭고 개선 된 지침을 준비하고 있습니다. 의료 부문 조정위원회는 최근 공동 보안 계획을 발표했습니다. 표준 개발 조직은 표준을 발전시키고 필요한 곳에 새로운 표준을 만들고 있습니다. DHS는 CERT 프로그램 및 기타 중요한 인프라 보호 계획을 지속적으로 확장하고 있으며, 의료 커뮤니티는 변화하는 위협 환경에 발 맞추어 사이버 보안 태세를 지속적으로 개선하기 위해 확장하고 다른 사람들과 협력하고 있습니다.”
많은 약어가 관련되어 있다는 것이 안심할 수 있지만 아직 갈 길이 멀다.
Fernando는“일부 병원은 매우 성숙한 사이버 보안 태세를 가지고 있지만 여전히 기본적인 사이버 보안 위생을 처리하는 방법을 이해하는 데 어려움을 겪고있는 사람들이 많습니다.
그렇다면 귀하, 귀하의 할아버지 또는 웨어러블 또는 이식 의료 기기를 가진 환자가 할 수있는 일이 있습니까? 대답은 약간 실망 스럽습니다.
"안타깝게도 제조업체와 의료계에 책임이 있습니다."라고 Povolny는 말했습니다. "우리는보다 안전한 장치와 적절한 보안 프로토콜 구현이 필요합니다."
하지만 한 가지 예외가 있습니다. 예를 들어 스마트 워치와 같은 소비자 용 기기를 사용하는 경우 Povolny는 우수한 보안 위생을 실천할 것을 권장합니다. "기본 비밀번호를 변경하고, 보안 업데이트를 적용하고, 인터넷에 연결되어 있지 않아도 항상 연결되어 있지 않은지 확인하세요."
