Internet rzeczy (medycznych): zagrożenia, ryzyko i problemy z bezpieczeństwem

Reklama

Być może słyszałeś zdanie „twoje zdrowie jest twoim bogactwem”. To jeden z powodów, dla których Stany Zjednoczone wydały ponad 3,2 biliona dolarów na opiekę zdrowotną w samym 2015 roku.

Przy tak dużej ilości pieniędzy krążących wokół jest naturalne, że wiele firm weszło na rynek opieki zdrowotnej – w tym firmy technologiczne.

Technologia medyczna czasami wydaje się przestarzała, ale firmy zamierzają przenieść te urządzenia w XXI wiek. I chociaż łączność internetowa może wydawać się świetną funkcją, istnieją pewne realne zagrożenia i problemy, które mogą Cię zaskoczyć.

Czym są urządzenia medyczne?

Światowa Organizacja Zdrowia (WHO) definiuje urządzenie medyczne jako „każdy przyrząd, aparat, przyrząd, maszynę, urządzenie, implant, odczynnik do zastosowanie in vitro, oprogramowanie, materiał […] przeznaczone przez producenta do użytku […] dla ludzi, dla jednego lub więcej […] specyficznych medycznych cel, powód".

Chociaż brzmi to dość skomplikowanie, oznacza to po prostu dowolne urządzenie lub oprogramowanie, które może być używane do celów medycznych.

Amerykańska Agencja ds. Żywności i Leków (FDA) odpowiada za nadzór regulacyjny nad wyrobami medycznymi i dzieli je na trzy kategorie: Klasa I, Klasa II i Klasa III. Urządzenia klasy 1 są lekko regulowane, a większość kontroli dotyczy tylko sposobu ich produkcji i sprzedaży. Klasa II dodaje bardziej szczegółowe przepisy, a Klasa III jest zarezerwowana dla urządzeń, które wspierają lub podtrzymują ludzkie życie.

Jednak, jak to jest typowe na całym świecie, FDA stara się nadążyć za tempem innowacji. Niewiele jest odniesień do tego, jak powinny być regulowane nowoczesne urządzenia z dostępem do Internetu.

Jakie kroki powinni podjąć producenci, aby zapewnić bezpieczeństwo takich urządzeń? W grudniu 2016 r. FDA wydała wytyczne dotyczące bezpieczeństwo urządzeń medycznych, ale nie są one prawnie wykonalne. To pozostawiło producentom decyzję, czy zastosować się do porady, czy nie.

Internet rzeczy (medycznych)

To stawia urządzenia medyczne podłączone do Internetu na tym samym wózku, co te z szerszej kategorii Internetu rzeczy (IoT). Jest wiele korzyści dla urządzeń medycznych IoT 5 sposobów, w jakie Internet rzeczy rewolucjonizuje opiekę zdrowotnąOto niektóre z najfajniejszych (i najważniejszych) sposobów, w jakie połączona technologia rewolucjonizuje świat medyczny. Czytaj więcej , ale brak możliwych do wyegzekwowania regulacji oznacza, że ​​producenci prawdopodobnie nie będą inwestować wielu środków w ich zabezpieczenie.

To tylko jeden z z wielu powodów, dla których Internet Rzeczy jest koszmarem bezpieczeństwa Dlaczego Internet Rzeczy jest największym koszmarem bezpieczeństwaPewnego dnia wracasz do domu z pracy i odkrywasz, że Twój domowy system bezpieczeństwa z obsługą chmury został naruszony. Jak to mogło się stać? Dzięki Internetowi Rzeczy (IoT) możesz przekonać się na własnej skórze. Czytaj więcej . Dodatkowo dosłownie oddajemy swoje życie w ręce medycznych urządzeń IoT. W związku z tym stawki są jeszcze wyższe niż w przypadku zwykłych urządzeń IoT.

Opieka zdrowotna to kosztowny biznes, nie tylko dla pacjentów, ale także dla samych dostawców. Firmy pobierają ogromne sumy pieniędzy za nowe urządzenia i wsparcie techniczne. Oznacza to, że szpitale i inne praktyki medyczne są mieszaniną narzędzi — niektóre nowe, inne stare z różnymi wymaganiami operacyjnymi. Stary sprzęt, starsze oprogramowanie i zastrzeżone interfejsy sprawiają, że odpowiednie zabezpieczenie systemu jest koszmarem dla działu IT dostawcy.

Przykład: podsłuchiwanie na pompie medycznej

Interfejs między oprogramowaniem a sprzętem często ujawnia luki w zabezpieczeniach, które można wykorzystać, ponieważ Saurabh Harit wystąpił na Black Hat Europe 2017. Zdobył dożylną pompę infuzyjną, która wstrzykuje leki do krwi pacjenta, którą można programować i obsługiwać zdalnie.

Po uzyskaniu dostępu do trybu administratora pompy przy użyciu domyślnego hasła znalezionego w Internecie, mógł korzystać z na podczerwień i stary palmtop zakupiony w serwisie eBay, aby zaimportować dane uwierzytelniające Wi-Fi do sieci pompy ustawienia.

Korzystanie z Wiresharka (jedno z wielu narzędzi bezpieczeństwa sieci typu open source Jak przetestować bezpieczeństwo sieci domowej za pomocą bezpłatnych narzędzi hakerskich?Żaden system nie może być całkowicie „odporny na włamania”, ale testy bezpieczeństwa przeglądarki i zabezpieczenia sieciowe mogą sprawić, że konfiguracja będzie bardziej niezawodna. Skorzystaj z tych bezpłatnych narzędzi, aby zidentyfikować „słabe punkty” w swojej sieci domowej. Czytaj więcej ), aby sprawdzić pakiety, Harit przeglądał dane pacjenta, takie jak dawka leku, opiekun, imię i nazwisko, lokalizacja i trasa. Co zaskakujące, był nawet w stanie uzyskać dostęp do głównej listy leków, która ustala i utrzymuje przepisaną dawkę.

Lista przykładów jest długa…

Gdyby takie luki ograniczały się do tej jednej pompy, byłoby to wystarczająco szokujące, ale naukowcy regularnie odkrywają nowe. Jeden zespół był w stanie uzyskać dostęp do tomografu, urządzenie, które daje niewielką dawkę promieniowania do tworzenia modeli 3D wnętrza Twojego ciała.

W sierpniu 2017 r FDA wycofała 465 000 rozruszników serca wykonane przez firmę Abbott w związku z problemami hakerskimi. Zamiast zmuszać prawie pół miliona osób do poddania się inwazyjnej operacji, firma Abbott wydała łatkę oprogramowania sprzętowego, którą personel medyczny mógł zastosować do rozrusznika serca.

W 2014 r. rozpoczął działalność Departament Bezpieczeństwa Wewnętrznego (DHS) badanie 24 urządzeń w związku z podejrzeniem krytycznych wad. Urządzenia obejmowały pompę infuzyjną firmy Hospira Inc i wszczepialne urządzenia nasercowe firmy Medtronic i St Jude Medical.

Starsze urządzenia medyczne i słabe zabezpieczenia

Jeśli kiedykolwiek pracowałeś w biurze, wiesz, że wiele firm polega na starszym oprogramowaniu. To niezmiennie wymaga starszych systemów operacyjnych, sterowników i urządzeń peryferyjnych, co czyni je bardzo niebezpiecznymi. Koszt jest zwykle decydującym czynnikiem przy aktualizacji, a wiele osób decyduje, że nie może uzasadnić wydatków. Jeśli nie jest zepsuty, nie naprawiaj tego, prawda?

Firmy często walczą o priorytetowe traktowanie cyberbezpieczeństwa, z dominującym nastawieniem, że jeśli atak jeszcze nie nastąpił, to nie nastąpi. Niestety, świadczeniodawcy również nie są odporni na ten tok myślenia. W maju 2017 r. atak ransomware, nazwany WannaCry Globalny atak ransomware i jak chronić swoje danePotężny cyberatak uderzył w komputery na całym świecie. Czy zostałeś dotknięty wysoce zjadliwym, samoreplikującym się oprogramowaniem ransomware? Jeśli nie, jak możesz chronić swoje dane bez płacenia okupu? Czytaj więcej , prawie jednocześnie zainfekowało 300 000 komputerów, z których wiele należy do brytyjskiej Narodowej Służby Zdrowia (NHS).

Oprogramowanie ransomware dotknęło ponad 40 Trustów NHS w całym kraju, zmniejszając opiekę nad pacjentami, zamykając przychodnie, a nawet zamykając szpitale. Skutki ataku narażają pacjentów na ryzyko i potencjalnie zagrażają również bezpieczeństwu ich danych. Niestety, Microsoft wydał łatkę na miesiąc przed atakiem, która zapobiegłaby przechwyceniu WannaCry. Nie tylko aktualizacja nie została wdrożona, ale jak się okazało na wielu komputerach nadal działał system Windows XP.

To jest pomimo zakończenia rozszerzonego wsparcia dla 15-letniego systemu operacyjnego dwa lata przed atakiem.

Przyszłość urządzeń medycznych mnie przeraża

Technologia nadal zapewniają znaczące postępy w leczeniu 8 przełomów w technologii medycznej, których możesz potrzebować w jeden dzieńWierzcie lub nie, ale tempo postępu technologicznego wciąż rośnie – a w medycynie dokonuje się wiele przełomów. Sprawdź te niesamowite nowe rzeczy! Czytaj więcej , ale nie jest to zbawienna łaska sektora medycznego, jak odkrył brytyjski NHS. Według sekretarza stanu zdrowia, Jeremy'ego Hunta, mogło umrzeć do 270 kobiet po „błędzie algorytmu komputerowego” nie udało się zaprosić 450 000 kobiet na regularne badania przesiewowe w kierunku raka piersi.

W przeciwieństwie do wielu innych obszarów dotkniętych postępem technologicznym, urządzenia medyczne mogą być kwestią życia lub śmierci. Ponieważ prawo Moore'a umożliwia dostęp do sieci większej liczby urządzeń w nadchodzących latach, producenci muszą nadać priorytet bezpieczeństwu. W końcu nie jest dobrze zaprojektować „zabójczą funkcję”, jeśli okaże się, że jest to dewastująco dokładny opis.