เครื่องกระตุ้นหัวใจ (และอุปกรณ์ทางการแพทย์อื่น ๆ ) สามารถถูกแฮ็กได้หรือไม่?

จากเครื่องกระตุ้นหัวใจไปจนถึงสมาร์ทวอทช์เรากำลังกลายเป็นสายพันธุ์ไซเบอร์เนติกส์มากขึ้นเรื่อย ๆ นั่นเป็นเหตุผลที่พาดหัวข่าวล่าสุดเกี่ยวกับช่องโหว่ในอุปกรณ์ทางการแพทย์ที่ฝังไว้อาจปิดเสียงระฆังเตือน เครื่องกระตุ้นหัวใจของคุณปู่ของคุณอาจถูกแฮ็กได้จริงหรือถ้าเป็นเช่นนั้นความเสี่ยงในโลกแห่งความเป็นจริงคืออะไร

เป็นคำถามที่ทันท่วงที ใช่มีการเปลี่ยนแปลงที่สำคัญในเทคโนโลยีทางการแพทย์เกิดขึ้น - อุปกรณ์ที่ปลูกถ่ายสามารถสื่อสารแบบไร้สายได้แล้วและ Internet of Things (IoT) ทางการแพทย์ที่กำลังจะมาถึงได้นำเสนออุปกรณ์สวมใส่ต่างๆเพื่อให้ผู้ให้บริการด้านการดูแลสุขภาพและผู้ป่วยสามารถเชื่อมต่อได้มากขึ้น แต่ผู้ผลิตอุปกรณ์ทางการแพทย์รายใหญ่ได้พาดหัวข่าวว่าไม่ใช่ช่องโหว่ด้านความปลอดภัยที่สำคัญเพียงสองช่องทาง

ช่องโหว่เน้นความเสี่ยงในการแฮ็ก

เมื่อเดือนมีนาคมที่ผ่านมากระทรวงความมั่นคงแห่งมาตุภูมิเตือนว่า แฮกเกอร์สามารถเข้าถึงเครื่องกระตุ้นหัวใจแบบฝังที่ทำโดย Medtronic แบบไร้สายได้ . จากนั้นเพียงสามเดือนต่อมา Medtronic เรียกคืนปั๊มอินซูลินบางส่วนโดยสมัครใจ ด้วยเหตุผลที่คล้ายกัน

บนพื้นผิวสิ่งนี้น่ากลัว แต่อาจไม่เลวร้ายอย่างที่คิด แฮกเกอร์ไม่สามารถเข้าถึงเครื่องกระตุ้นหัวใจที่ฝังไว้จากเทอร์มินัลระยะไกลบางแห่งที่อยู่ห่างออกไปหลายร้อยไมล์หรือทำการโจมตีในวงกว้าง ในการแฮ็กหนึ่งในเครื่องกระตุ้นหัวใจเหล่านี้การโจมตีจะต้องดำเนินการในระยะใกล้เคียงกับเหยื่อ (ภายในระยะบลูทู ธ ) และเฉพาะเมื่ออุปกรณ์เชื่อมต่อกับอินเทอร์เน็ตเพื่อส่งและรับข้อมูล

แม้ว่าจะไม่น่าเป็นไปได้ แต่ความเสี่ยงก็เกิดขึ้นจริง Medtronic ได้ออกแบบโปรโตคอลการสื่อสารของอุปกรณ์โดยไม่ต้องมีการตรวจสอบสิทธิ์ใด ๆ และไม่ได้เข้ารหัสข้อมูล ดังนั้นใครก็ตามที่มีแรงจูงใจเพียงพอสามารถเปลี่ยนแปลงข้อมูลในรากเทียมได้ซึ่งอาจปรับเปลี่ยนพฤติกรรมของมันในทางที่เป็นอันตรายหรือถึงแก่ชีวิตได้

เช่นเดียวกับเครื่องกระตุ้นหัวใจปั๊มอินซูลินที่เรียกคืนจะเปิดใช้งานแบบไร้สายเพื่อเชื่อมต่อกับอุปกรณ์ที่เกี่ยวข้องเช่นอุปกรณ์วัดแสงซึ่งจะกำหนดปริมาณอินซูลินที่สูบเข้าไป เครื่องปั๊มอินซูลินในตระกูลนี้ไม่มีการรักษาความปลอดภัยในตัวด้วยดังนั้น บริษัท จึงแทนที่ด้วยรูปแบบที่ตระหนักถึงไซเบอร์

อุตสาหกรรมกำลังติดตาม

เมื่อมองแวบแรกอาจดูเหมือนว่า Medtronic เป็นลูกโปสเตอร์สำหรับการรักษาความปลอดภัยที่ไร้เงื่อนงำและเป็นอันตราย (บริษัท ไม่ตอบสนองต่อคำขอของเราสำหรับความคิดเห็นเกี่ยวกับเรื่องนี้) แต่อยู่ไกลจากที่เดียว

“ สถานะความปลอดภัยทางไซเบอร์ในอุปกรณ์ทางการแพทย์โดยรวมไม่ดี” Ted Shorter ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Keyfactor บริษัท รักษาความปลอดภัย IoT กล่าว

Alaap Shah ทนายความที่เชี่ยวชาญด้านความเป็นส่วนตัวความปลอดภัยในโลกไซเบอร์และกฎข้อบังคับด้านการดูแลสุขภาพของ Epstein Becker Green อธิบายว่า“ ผู้ผลิตไม่ได้พัฒนาผลิตภัณฑ์ที่คำนึงถึงความปลอดภัยในอดีตมาก่อน”

ที่ผ่านมาในอดีตคุณต้องทำการผ่าตัด ทั้งอุตสาหกรรมพยายามติดตามเทคโนโลยีและเข้าใจผลกระทบด้านความปลอดภัย ระบบนิเวศที่พัฒนาอย่างรวดเร็วเช่น IoT ทางการแพทย์ที่กล่าวถึงก่อนหน้านี้กำลังสร้างความเครียดด้านความปลอดภัยใหม่ให้กับอุตสาหกรรมที่ไม่เคยคิดเรื่องนี้มาก่อน

“ เรากำลังก้าวสู่จุดที่ทำให้เกิดการเปลี่ยนแปลงในการเติบโตของการเชื่อมต่อและความกังวลด้านความปลอดภัย” Steve Povolny หัวหน้านักวิจัยด้านภัยคุกคามของ McAfee กล่าว

แม้ว่าอุตสาหกรรมการแพทย์จะมีช่องโหว่ แต่ก็ไม่เคยมีอุปกรณ์ทางการแพทย์ที่ถูกแฮ็กในป่า

“ ฉันไม่รู้ถึงช่องโหว่ที่ถูกใช้ประโยชน์” Shorter กล่าว

ทำไมจะไม่ล่ะ?

“ อาชญากรไม่มีแรงจูงใจในการแฮ็กเครื่องกระตุ้นหัวใจ” Povolny อธิบาย “ มี ROI ที่มากขึ้นตามเซิร์ฟเวอร์ทางการแพทย์ซึ่งพวกเขาสามารถจับผู้ป่วยบันทึกข้อมูลเป็นตัวประกันด้วย ransomware ได้ นั่นคือเหตุผลที่พวกเขาเดินตามพื้นที่นั้น - มีความซับซ้อนต่ำอัตราผลตอบแทนสูง "

ทำไมต้องลงทุนในการดัดแปลงอุปกรณ์ทางการแพทย์ที่ซับซ้อนและมีเทคนิคสูงในเมื่อแผนกไอทีของโรงพยาบาลได้รับการคุ้มครองที่ไม่ดีและจ่ายเงินออกมาได้ดีขนาดนี้ ในปี 2560 เพียงอย่างเดียว โรงพยาบาล 16 แห่งถูกทำลายจากการโจมตีของ ransomware . และการปิดใช้งานเซิร์ฟเวอร์ไม่ถือเป็นการฆาตกรรมหากคุณถูกจับได้ แม้ว่าการแฮ็กอุปกรณ์ทางการแพทย์ที่ใช้งานได้และฝังอยู่จะเป็นเรื่องที่แตกต่างกัน

การลอบสังหารและการแฮ็กอุปกรณ์ทางการแพทย์

ถึงกระนั้นอดีตรองประธานาธิบดี Dick Cheney ก็ไม่ได้รับโอกาสใด ๆ ในปี 2012 เมื่อแพทย์เปลี่ยนเครื่องกระตุ้นหัวใจรุ่นเก่าของเขาด้วยรุ่นไร้สายรุ่นใหม่พวกเขาปิดใช้งานคุณสมบัติไร้สายเพื่อป้องกันการแฮ็กใด ๆ โดยได้รับแรงบันดาลใจบางส่วนมาจากโครงเรื่องจากรายการทีวีเรื่อง Homeland แพทย์ของ Cheney กล่าว “ สำหรับฉันแล้วดูเหมือนว่าจะเป็นความคิดที่ไม่ดีสำหรับรองประธานาธิบดีแห่งสหรัฐอเมริกาที่จะมีอุปกรณ์ที่ใครบางคนอาจสามารถ…แฮ็กเข้าไปได้”

เทพนิยายของ Cheney แสดงให้เห็นถึงอนาคตที่น่ากลัวซึ่งบุคคลเหล่านี้ถูกกำหนดเป้าหมายจากระยะไกลผ่านอุปกรณ์ทางการแพทย์ที่ควบคุมสุขภาพ แต่ Povolny ไม่คิดว่าเรากำลังจะได้อยู่ในโลกไซไฟที่ผู้ก่อการร้ายเข้ามาแย่งชิงผู้คนจากระยะไกลด้วยการเข้าไปยุ่งเกี่ยวกับการปลูกถ่าย

“ เราไม่ค่อยเห็นความสนใจในการโจมตีบุคคล” Povolny กล่าวโดยอ้างถึงความซับซ้อนที่น่ากลัวของการแฮ็ก

แต่ไม่ได้หมายความว่าจะเกิดขึ้นไม่ได้ อาจเป็นเพียงเรื่องของเวลาจนกว่าใครบางคนจะกลายเป็นเหยื่อของการแฮ็กสไตล์ Mission Impossible ในโลกแห่งความเป็นจริง Alpine Security ได้พัฒนารายการอุปกรณ์ห้าประเภทที่มีความเสี่ยงมากที่สุด การเพิ่มรายชื่อเป็นเครื่องกระตุ้นหัวใจที่เคารพซึ่งทำการตัดโดยไม่ต้องเรียกคืน Medtronic ล่าสุดแทนที่จะอ้างถึงปี 2017 เรียกคืนเครื่องกระตุ้นหัวใจที่ปลูกถ่าย 465,000 เครื่องโดยผู้ผลิต Abbott . บริษัท ต้องอัปเดตเฟิร์มแวร์ของอุปกรณ์เหล่านี้เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่อาจส่งผลให้ผู้ป่วยเสียชีวิตได้อย่างง่ายดาย

อุปกรณ์อื่น ๆ ที่ Alpine เป็นห่วง ได้แก่ เครื่องกระตุ้นหัวใจแบบ cardioverter แบบฝัง (ซึ่งคล้ายกับเครื่องกระตุ้นหัวใจ) ปั๊มแช่ยาและแม้แต่ระบบ MRI ซึ่งไม่มีเลือดออกและไม่สามารถปลูกถ่ายได้ ข้อความในที่นี้คืออุตสาหกรรมไอทีทางการแพทย์มีงานมากมายในการรักษาความปลอดภัยของอุปกรณ์ทุกประเภทรวมถึงฮาร์ดแวร์รุ่นเก่าขนาดใหญ่ที่วางอยู่ในโรงพยาบาล

เราปลอดภัยแค่ไหน?

โชคดีที่นักวิเคราะห์และผู้เชี่ยวชาญเห็นพ้องกันว่าท่าทางการรักษาความปลอดภัยทางไซเบอร์ของชุมชนผู้ผลิตอุปกรณ์ทางการแพทย์ได้รับการปรับปรุงอย่างต่อเนื่องในช่วงสองสามปีที่ผ่านมา นี่คือบางส่วนเนื่องจากไฟล์ แนวทางที่ FDA เผยแพร่ในปี 2014 พร้อมกับหน่วยงานระหว่างหน่วยงานที่ครอบคลุมหลายภาคส่วนของรัฐบาลกลาง

ตัวอย่างเช่น Povolny ได้รับการสนับสนุนว่า FDA กำลังทำงานร่วมกับผู้ผลิตเพื่อปรับปรุงระยะเวลาการทดสอบสำหรับการอัปเดตอุปกรณ์ “ จำเป็นต้องสร้างสมดุลให้กับอุปกรณ์ทดสอบมากพอที่จะไม่ทำร้ายใคร แต่ใช้เวลาไม่นานนักในการที่เราจะให้ผู้โจมตีใช้รันเวย์ในการวิจัยและใช้การโจมตีช่องโหว่ที่เป็นที่รู้จักได้นานมาก”

จากข้อมูลของ Anura Fernando หัวหน้าสถาปนิกนวัตกรรมด้านการทำงานร่วมกันและความปลอดภัยของระบบการแพทย์ของ UL การปรับปรุงความปลอดภัยของอุปกรณ์ทางการแพทย์เป็นสิ่งสำคัญในรัฐบาลในขณะนี้ “ องค์การอาหารและยากำลังจัดทำคำแนะนำใหม่และปรับปรุง เมื่อเร็ว ๆ นี้สภาประสานงานภาคการดูแลสุขภาพได้ออกแผนความมั่นคงร่วม องค์กรพัฒนามาตรฐานกำลังพัฒนามาตรฐานและสร้างมาตรฐานใหม่เมื่อจำเป็น DHS กำลังขยายตัวอย่างต่อเนื่องตามโครงการ CERT และแผนป้องกันโครงสร้างพื้นฐานที่สำคัญอื่น ๆ และชุมชนด้านการดูแลสุขภาพกำลังขยายและมีส่วนร่วมกับผู้อื่นเพื่อปรับปรุงท่าทางการรักษาความปลอดภัยทางไซเบอร์อย่างต่อเนื่องเพื่อให้ทันต่อการเปลี่ยนแปลงของภัยคุกคาม”

บางทีอาจเป็นเรื่องที่ช่วยให้มั่นใจได้ว่ามีการใช้คำย่อจำนวนมาก แต่ก็ยังมีหนทางอีกยาวไกล

“ ในขณะที่โรงพยาบาลบางแห่งมีท่าทางการรักษาความปลอดภัยทางไซเบอร์ที่เป็นผู้ใหญ่มาก แต่ก็ยังมีอีกหลายคนที่กำลังดิ้นรนเพื่อทำความเข้าใจวิธีจัดการกับสุขอนามัยความปลอดภัยทางไซเบอร์ขั้นพื้นฐาน” เฟอร์นันโดเสียใจ

มีอะไรที่คุณปู่ของคุณหรือผู้ป่วยที่มีอุปกรณ์ทางการแพทย์ที่สวมใส่ได้หรือปลูกถ่ายได้หรือไม่? คำตอบคือทำให้ท้อใจเล็กน้อย

“ น่าเสียดายที่ความรับผิดชอบนั้นอยู่ที่ผู้ผลิตและวงการแพทย์” Povolny กล่าว “ เราต้องการอุปกรณ์ที่ปลอดภัยมากขึ้นและการใช้งานโปรโตคอลความปลอดภัยอย่างเหมาะสม”

แม้ว่าจะมีข้อยกเว้นอย่างหนึ่ง หากคุณใช้อุปกรณ์ระดับผู้บริโภคเช่นสมาร์ทวอทช์ Povolny ขอแนะนำให้คุณปฏิบัติตามสุขอนามัยด้านความปลอดภัยที่ดี “ เปลี่ยนรหัสผ่านเริ่มต้นใช้การอัปเดตความปลอดภัยและตรวจสอบว่าไม่ได้เชื่อมต่ออินเทอร์เน็ตตลอดเวลาหากไม่จำเป็นต้องเป็น”