De la stimulatoare cardiace la ceasuri inteligente, devenim din ce în ce mai mult o specie cibernetică. De aceea, titlurile recente despre vulnerabilitățile dispozitivelor medicale implantate ar putea declanșa clopotele de alarmă. Poate fi cu adevărat piratat stimulatorul cardiac al bunicului tău și, dacă da, care este riscul real?
Este o întrebare în timp util. Da, există schimbări semnificative în tehnologia medicală - dispozitivele implantabile pot comunica acum fără fir, iar viitorul Internet al obiectelor medicale (IoT) aduce cu sine diverse dispozitive purtabile pentru a menține furnizorii de asistență medicală și pacienții mai conectați. Însă un producător important de dispozitive medicale a făcut titluri nu doar cu unul, ci cu două vulnerabilități critice de securitate.
Vulnerabilitățile evidențiază riscurile de piratare
În martie trecută, Departamentul pentru Securitate Internă a avertizat că hackerii ar putea accesa fără fir stimulatoare cardiace implantate fabricate de Medtronic . Apoi, doar trei luni mai târziu, Medtronic a reamintit voluntar unele dintre pompele sale de insulină din motive similare.
La suprafață, acest lucru este terifiant, dar s-ar putea să nu fie chiar atât de rău pe cât pare. Hackerii nu pot accesa stimulatoare cardiace implantate de la un terminal la distanță la sute de kilometri distanță sau pot efectua atacuri pe scară largă. Pentru a pirata unul dintre aceste stimulatoare cardiace, atacul trebuie efectuat în imediata apropiere fizică a victimei (în raza de acțiune Bluetooth) și numai atunci când dispozitivul se conectează la Internet pentru a trimite și primi date.
Deși este puțin probabil, riscul este real. Medtronic a conceput protocolul de comunicație al dispozitivului astfel încât să nu necesite nicio autentificare și nici datele să fie criptate. Deci, oricine suficient de motivat ar putea schimba datele din implant, modificându-și potențial comportamentul într-un mod periculos sau chiar fatal.
La fel ca stimulatoarele cardiace, pompele de insulină amintite sunt activate wireless pentru a se conecta la echipamente conexe, cum ar fi un dispozitiv de măsurare, care determină cât de multă insulină este pompată. Această familie de pompe de insulină nu are, de asemenea, securitate încorporată, așa că compania le înlocuiește cu un model mai informat.
Industria este în curs de recuperare
La prima vedere, s-ar putea să pară că Medtronic este copilul afișului pentru o securitate neînduplecată și periculoasă (compania nu a răspuns la solicitarea noastră de comentarii la această poveste), dar este departe de a fi singură.
„Starea securității cibernetice a dispozitivelor medicale este, în general, slabă”, a spus Ted Shorter, Chief Technology Officer la firma de securitate IoT Keyfactor.
Alaap Shah, un avocat specializat în confidențialitate, securitate cibernetică și reglementare în domeniul sănătății de la Epstein Becker Green, explică: „Producătorii nu au dezvoltat în mod istoric produse având în vedere securitatea”.
La urma urmei, în trecut, pentru a manipula un stimulator cardiac, trebuia să efectuați o intervenție chirurgicală. Întreaga industrie încearcă să ajungă la curent cu tehnologia și să înțeleagă implicațiile de securitate. Un ecosistem care evoluează rapid - precum IoT medical menționat mai devreme - pune noi stresuri de securitate într-o industrie care nu a trebuit să se gândească la asta până acum.
„Întâmpinăm un punct de inflexiune în creșterea preocupărilor de conectivitate și securitate”, a declarat Steve Povolny, cercetătorul principal al amenințărilor McAfee.
Deși industria medicală are vulnerabilități, totuși, nu a existat niciodată un dispozitiv medical spart în sălbăticie.
„Nu cunosc vreo vulnerabilitate exploatată”, a spus Shorter.
De ce nu?
„Infractorii pur și simplu nu au motivația de a pirata un stimulator cardiac”, a explicat Povolny. „Se urmărește un ROI mai mare după serverele medicale, unde pot ține ostatici dosarele pacienților cu ransomware. De aceea merg după acel spațiu - complexitate scăzută, rata mare de rentabilitate. "
Într-adevăr, de ce să investim în manipularea complexă, extrem de tehnică a dispozitivelor medicale, atunci când departamentele IT din spitale au fost în mod tradițional atât de prost protejate și plătesc atât de bine? Numai în 2017, 16 spitale au fost paralizate de atacurile ransomware . Și dezactivarea unui server nu implică o acuzație de crimă dacă sunteți prins. Hacking-ul unui dispozitiv medical funcțional, implantat, este însă o chestiune foarte diferită.
Asasinări și piratarea dispozitivelor medicale
Chiar și așa, fostul vicepreședinte Dick Cheney nu și-a asumat niciun risc în 2012. Când medicii i-au înlocuit pacemakerul mai vechi cu un model nou, fără fir, au dezactivat funcțiile wireless pentru a preveni orice hacking. Inspirat parțial de un complot al emisiunii TV, „Patria”, Spuse doctorul lui Cheney „Mi s-a părut o idee proastă ca vicepreședintele Statelor Unite să aibă un dispozitiv pe care poate cineva ar putea să-l ... spargă”.
Saga lui Cheney sugerează un viitor înfricoșător în care indivizii sunt vizați de la distanță prin intermediul dispozitivelor medicale care le reglementează sănătatea. Dar Povolny nu crede că suntem pe cale să trăim într-o lume științifico-fantastică în care teroriștii șterg oamenii de la distanță prin falsificarea implanturilor.
„Rareori vedem interesul în atacarea indivizilor”, a spus Povolny, citând complexitatea descurajantă a hack-ului.
Dar asta nu înseamnă că nu se poate întâmpla. Probabil că este doar o chestiune de timp până când cineva devine victima unui hack în stil real, în misiune imposibilă. Alpine Security a dezvoltat o listă cu cinci clase de dispozitive care sunt cele mai vulnerabile. Topul listei este venerabilul stimulator cardiac, care a făcut tăierea fără recenta rechemare Medtronic, citând în schimb 2017 rechemarea a 465.000 stimulatoare cardiace implantate de producătorul Abbott . Compania a trebuit să actualizeze firmware-ul acestor dispozitive pentru a repara găuri de securitate care ar putea duce cu ușurință la moartea pacientului.
Alte dispozitive despre care Alpine este îngrijorat includ defibrilatoarele cardioverter implantabile (care sunt similare cu stimulatoarele cardiace), pompele de perfuzie de medicamente și chiar sistemele RMN, care nu sunt nici de sângerare, nici implantabile. Mesajul de aici este că industria IT medicală are mult de lucru pe placa lor pentru a asigura toate tipurile de dispozitive, inclusiv hardware vechi vechi, care este expus în spitale.
Cât de siguri suntem?
Din fericire, analiștii și experții par să fie de acord că postura de securitate cibernetică a comunității producătorilor de dispozitive medicale s-a îmbunătățit constant în ultimii ani. Acest lucru se datorează, în parte, datorită liniile directoare publicate de FDA în 2014 , împreună cu grupurile de lucru inter-agenții care acoperă mai multe sectoare ale guvernului federal.
Povolny, de exemplu, este încurajat că FDA colaborează cu producătorii pentru a eficientiza termenele de testare pentru actualizările dispozitivelor. „Este necesar să se echilibreze suficient dispozitivele de testare încât să nu rănim pe nimeni, dar să nu dureze atât de mult încât să oferim atacatorilor o pistă foarte lungă pentru a cerceta și implementa atacuri asupra vulnerabilităților cunoscute.”
Potrivit Anurei Fernando, arhitectul inovator șef al UL pentru sistemele medicale de interoperabilitate și securitate, îmbunătățirea securității dispozitivelor medicale este o prioritate în acest moment în guvern. „FDA pregătește îndrumări noi și îmbunătățite. Consiliul coordonator al sectorului sănătății a publicat recent Planul comun de securitate. Organizațiile de dezvoltare a standardelor dezvoltă standarde și creează altele noi acolo unde este necesar. DHS continuă să se extindă asupra programelor lor CERT și a altor planuri critice de protecție a infrastructurii, iar comunitatea medicală se extinde și se angajează cu ceilalți pentru a îmbunătăți continuu postura de securitate cibernetică pentru a ține pasul cu schimbarea peisajului amenințărilor. ”
Poate că este liniștitor faptul că sunt implicate atât de multe acronime, dar mai este un drum lung de parcurs.
"În timp ce unele spitale au o postură foarte matură de securitate cibernetică, există încă mulți care se luptă să înțeleagă cum să facă față chiar și igienei de securitate cibernetică de bază", a plâns Fernando.
Deci, există ceva ce puteți face dvs., bunicul dumneavoastră sau orice pacient cu un dispozitiv medical purtabil sau implantat? Răspunsul este puțin descurajant.
"Din păcate, sarcina revine producătorilor și comunității medicale", a spus Povolny. „Avem nevoie de dispozitive mai sigure și de implementarea corectă a protocoalelor de securitate.”
Există însă o excepție. Dacă utilizați un dispozitiv de consum - de exemplu, un ceas inteligent - Povolny vă recomandă să practicați o igienă bună de securitate. „Schimbați parola implicită, aplicați actualizări de securitate și asigurați-vă că nu este conectată tot timpul la internet, dacă nu trebuie să fie.”
