Інтернет (медичних) речей: небезпеки, ризики і проблеми безпеки
Діджитал
Можливо, ви чули фразу "ваше здоров" я - це ваше багатство ". Це одна з причин, через яку США витратили понад 3,2 трильйона доларів на охорону здоров'я тільки в 2015 році.
З такою великою кількістю грошей, цілком природно, що багато підприємств вийшли на ринок охорони здоров'я, включаючи технологічні компанії.
Медичні технології іноді здаються застарілими, але компанії мають намір перетягнути ці пристрої в XXI століття. І хоча підключення до Інтернету може здатися чудовою можливістю, є деякі реальні небезпеки і проблеми, які можуть вас здивувати.
Що таке медичні прилади?
Всесвітня організація охорони здоров'я (ВООЗ) визначає медичний пристрій як "будь-який інструмент, прилад, інструмент, машину, прилад, імплантат, реагент для використання in vitro, програмне забезпечення, матеріал [...], призначений виробником для використання [...] для людини. істоти, для однієї або декількох [...] конкретних медичних цілей ".
Хоча це звучить досить складно, це просто означає будь-який пристрій або програмне забезпечення, яке може використовуватися в медичних цілях.
Управління з контролю за продуктами і ліками США (FDA) відповідає за нагляд за медичними пристроями і підрозділює їх на три категорії: клас I, клас II і клас III. Пристрої класу 1 слабо регулюються, при цьому більшість елементів управління розміщуються тільки на тому, як вони виробляються і продаються. Клас II додає більш конкретні правила, а клас III зарезервований для пристроїв, які підтримують або підтримують людське життя.
Однак, як це характерно для всього світу, FDA щосили намагається йти в ногу з темпами інновацій. Є кілька посилань на те, як слід регулювати сучасні пристрої, підключені до Інтернету.
Які кроки повинні зробити виробники для забезпечення безпеки таких пристроїв? У грудні 2016 року FDA випустило керівництво з безпеки медичних пристроїв, але вони не мають юридичної сили. Це залишило виробникам вирішувати, чи дотримуватися ради чи ні.
Інтернет (медичних) речей
Це ставить підключені до Інтернету медичні пристрої в той же човен, що і пристрої в більш широкій категорії Інтернету речей (IoT). Медичні пристрої IoT мають багато переваг. якими, але відсутність обов'язкового регулювання означає, що виробники навряд чи будуть вкладати багато коштів на їх захист.
Це лише одна з багатьох причин, через які Інтернет речей - це кошмар безпеки. Крім того, ми в буквальному сенсі віддаємо своє життя в руки медичних пристроїв IoT. Таким чином, ставки навіть вищі, ніж зі звичайними пристроями IoT.
Охорона здоров'я - це дорогий бізнес, причому не тільки для пацієнтів, але і для самих постачальників. Компанії беруть величезні суми грошей за нові пристрої і технічну підтримку. Це означає, що лікарні та інші медичні практики - це купа інструментів - деякі нові, деякі старі з низкою різних експлуатаційних вимог. Старе обладнання, застаріле програмне забезпечення та пропріетарні інтерфейси об'єднуються, щоб зробити належний захист системи справжнім кошмаром для ІТ-відділу провайдера.
Приклад: підслуховування на медичному насосі
Інтерфейс між програмним і апаратним забезпеченням часто виявляє вразливості, які можна використовувати, як показав Саураб Харіт на Black Hat Europe 2017. Він отримав інфузійний насос для внутрішньовенного вливання ліків у кров пацієнта, який можна було запрограмувати і керувати дистанційно.
Отримавши доступ до режиму адміністрування насоса з паролем за замовчуванням, знайденим в Інтернеті, він зміг використовувати інфрачервоний порт пристрою і старий КПК, придбаний у eBay, для імпорту своїх облікових даних Wi-Fi в налаштування мережі насоса.
Використання Wireshark (один з багатьох інструментів безпеки мережі з відкритим вихідним кодом.) для перевірки пакетів, Харіт переглядав дані пацієнта, такі як доза ліків, особа, яка здійснює догляд, ім'я, місце розташування і маршрут. Дивно, але він навіть зміг отримати доступ до Основного списку ліків, який встановлює і підтримує запропоноване дозування.
Список прикладів триває...
Якби такі вразливості були обмежені цим одним насосом, це було б досить шокуючим, але дослідники регулярно виявляють нові. Одна команда змогла отримати доступ до КТ-сканера, пристрою, який дає вам невелику дозу радіації для створення 3D-моделей всередині вашого тіла.
У серпні 2017 року FDA відкликало 465 000 кардіостимуляторів, зроблених Abbott через проблеми зі зломом. Замість того, щоб змушувати майже півмільйона людей проходити інвазивну операцію, Abbott випустив патч прошивки, який медичний персонал зміг застосувати до кардіостимулятора.
Ще в 2014 році міністерство внутрішньої безпеки (DHS) почало розслідування 24 пристроїв на предмет підозр на критичні недоліки. Пристрої включали інфузійний насос від Hospira Inc і імплантовані серцеві пристрої від Medtronic і St Jude Medical.
Застарілі медичні прилади і погана безпека
Якщо ви коли-небудь працювали в офісі, ви знаєте, що багато компаній покладаються на застаріле програмне забезпечення. Це незмінно вимагає старих операційних систем, драйверів і периферійних пристроїв, що робить їх дуже небезпечними. Вартість зазвичай є вирішальним фактором при оновленні, і багато хто вирішує, що не може виправдати витрати. Якщо це не зламано, не виправляйте це, правильно?
Компанії часто намагаються встановити пріоритети кібербезпеки, з переважанням позиції, згідно з якою, якщо атака ще не відбулася, вона не буде. На жаль, медичні працівники також не застраховані від цієї лінії мислення. У травні 2017 року атака вимагачів під назвою WannaCry атака вимагачів, майже одночасно заражені 300 000 комп'ютерів, багато з яких належать Національній службі охорони здоров'я Великобританії (NHS).
Здирники торкнулися понад 40 трастів NHS по всій країні, що призвело до скорочення догляду за пацієнтами, закриття операцій і навіть до закриття лікарень. Наслідки атаки піддають пацієнтів ризику і потенційно підривають безпеку їх даних. На жаль, Microsoft випустила патч за місяць до атаки, який би завадив WannaCry закріпитися. Оновлення не тільки не було випущено, але, як виявилося, багато комп'ютерів все ще працювали під управлінням Windows XP.
І це незважаючи на розширену підтримку 15-річної операційної системи, яка закінчилася за два роки до атаки.
Майбутнє медичного обладнання хвилює мене
Технологія продовжує приносити значні успіхи в лікуванні. досягнення, але це не рятівна грація медичного сектора, як виявили в NHS Великобританії. За словами міністра охорони здоров'я уряду Джеремі Ханта, до 270 жінок, можливо, померли після «помилки комп'ютерного алгоритму», яка не змогла запросити 450 000 жінок на регулярний скринінг раку молочної залози.
На відміну від багатьох інших областей, порушених розвитком технологій, медичні пристрої можуть бути питанням життя або смерті. Оскільки закон Мура дозволяє в найближчі роки підключати більше пристроїв, виробники повинні віддавати перевагу безпеці. Зрештою, недобре розробляти «вбивчу особливість», якщо це виявляється неймовірно точним описом.