Интернет на (медицинските) неща: опасности, рискове и проблеми със сигурността

Реклама

Може би сте чували израза „вашето здраве е вашето богатство“. Това е една от причините САЩ да похарчат над 3,2 трилиона долара за здравеопазване само през 2015 г.

С толкова много пари, които се носят наоколо, съвсем естествено е много фирми да навлязат на пазара на здравеопазване – включително технологични компании.

Медицинските технологии понякога изглеждат остарели, но компаниите възнамеряват да влачат тези устройства в 21-ви век. И докато интернет свързаността може да изглежда като страхотна функция, има някои реални опасности и проблеми, които могат да ви изненадат.

Какво представляват медицинските изделия?

Световната здравна организация (СЗО) дефинира медицинско изделие като „всеки инструмент, апарат, инструмент, машина, уред, имплант, реагент за използване in vitro, софтуер, материал […], предназначен от производителя да се използва […] за хора, за един или повече […] специфични медицински предназначение".

Въпреки че това звучи доста сложно, това просто означава всяко устройство или софтуер, който може да се използва за медицински цели.

Американската администрация по храните и лекарствата (FDA) отговаря за регулаторния надзор на медицинските изделия и ги разделя на три категории: Клас I, Клас II и Клас III. Устройствата от клас 1 са леко регулирани, като повечето контроли се поставят само върху начина, по който се произвеждат и продават. Клас II добавя по-специфично регулиране, а клас III е запазен за устройства, които поддържат или поддържат човешки живот.

Въпреки това, както е типично по света, FDA се бори да поддържа темпото на иновациите. Има малко препратки за това как трябва да се регулират съвременните, свързани с интернет устройства.

Какви стъпки трябва да предприемат производителите, за да гарантират сигурността на такива устройства? През декември 2016 г. FDA публикува насоки за сигурност на медицинските изделия, но те не са законово приложими. Това остави производителите да решат дали да следват съветите или не.

Интернет на (медицинските) неща

Това поставя свързаните с интернет медицински устройства в същата лодка като тези в по-широката категория Интернет на нещата (IoT). Има много ползи за IoT медицинските устройства 5 начина, по които Интернет на нещата революционизира здравеопазванетоЕто някои от най-готините (и най-важните) начини, по които свързаните технологии революционизират медицинския свят. Прочетете още , но липсата на приложима регулация означава, че няма вероятност производителите да вложат много ресурси, за да ги осигурят.

Това е само едно от много причини, поради които Интернет на нещата е кошмар за сигурността Защо Интернет на нещата е най-големият кошмар за сигурностЕдин ден се прибирате от работа, за да откриете, че вашата облачна система за домашна сигурност е нарушена. Как може да се случи това? С Интернет на нещата (IoT) можете да разберете по трудния начин. Прочетете още . Освен това ние буквално поставяме живота си в ръцете на медицински IoT устройства. Като такива, залозите са дори по-високи, отколкото при обикновените IoT устройства.

Здравеопазването е скъп бизнес не само за пациентите, но и за самите доставчици. Компаниите таксуват огромни суми за нови устройства и техническа поддръжка. Това означава, че болниците и другите медицински практики са смесица от инструменти - някои нови, някои стари с редица различни оперативни изисквания. Старият хардуер, наследеният софтуер и собствените интерфейси се събират заедно, за да направят подходящото осигуряване на системата кошмар за ИТ отдела на доставчика.

Пример: Подслушване на медицинска помпа

Интерфейсът между софтуер и хардуер често разкрива експлоатируеми уязвимости, т.к Saurabh Harit се показа на Black Hat Europe 2017. Той получи интравенозна инфузионна помпа, която инжектира лекарства в кръвта на пациента, които могат да бъдат програмирани и управлявани дистанционно.

След като влезе в режим на администратор на помпата с парола по подразбиране, намерена онлайн, той успя да използва устройството инфрачервен и стар PDA, закупен от eBay за импортиране на техните Wi-Fi идентификационни данни в мрежата на помпата настройки.

Използване на Wireshark (един от многото инструменти за мрежова сигурност с отворен код Как да тествате сигурността на вашата домашна мрежа с безплатни хакерски инструментиНикоя система не може да бъде напълно „доказателство за хакване“, но тестовете за сигурност на браузъра и мрежовите защити могат да направят вашата настройка по-стабилна. Използвайте тези безплатни инструменти, за да идентифицирате "слабите места" във вашата домашна мрежа. Прочетете още ), за да инспектира пакетите, Харит прегледа данни за пациента като доза на лекарството, болногледач, име, местоположение и маршрут. Удивително, той дори успя да получи достъп до основния списък с лекарства, който определя и поддържа предписаната доза.

Списъкът с примери продължава...

Ако подобни уязвимости бяха ограничени до тази една помпа, това би било достатъчно шокиращо, но изследователите редовно разкриват нови. Един отбор успя да получите достъп до CT скенер, устройство, което ви дава малка доза радиация, за да създадете 3D модели на вътрешността на тялото си.

През август 2017 г., FDA изтегли 465 000 пейсмейкъри направени от Abbott заради опасения за хакерство. Вместо да принуди почти половин милион души да се подложат на инвазивна хирургия, Abbott издаде пач на фърмуера, който медицинският персонал успя да приложи към пейсмейкъра.

Още през 2014 г. стартира Министерството на вътрешната сигурност (DHS). разследва 24 устройства за предполагаеми критични дефекти. Устройствата включват инфузионна помпа от Hospira Inc и имплантируеми сърдечни устройства от Medtronic и St Jude Medical.

Наследени медицински устройства и лоша сигурност

Ако някога сте работили в офис, ще знаете, че много фирми разчитат на наследен софтуер. Това неизменно изисква по-стари операционни системи, драйвери и периферни устройства, което ги прави много несигурни. Цената обикновено е решаващ фактор дали да се актуализира и мнозина решават, че не могат да оправдаят разходите. Ако не е счупен, не го поправяйте, нали?

Фирмите често се борят да приоритизират киберсигурността, като преобладава нагласата, че ако атаката все още не се е случила, тогава няма да се случи. За съжаление, доставчиците на здравни услуги също не са имунизирани срещу тази линия на мислене. През май 2017 г. атака на ransomware, наречен WannaCry Глобалната атака на Ransomware и как да защитите данните сиМасова кибератака удари компютри по целия свят. Били ли сте засегнати от силно вирулентния самовъзпроизвеждащ се ransomware? Ако не, как можете да защитите данните си, без да плащате откуп? Прочетете още , почти едновременно зарази 300 000 компютъра, много от които принадлежат на Националната здравна служба на Обединеното кралство (NHS).

Рансъмуерът засегна над 40 NHS Trusts в цялата страна, намалявайки грижите за пациентите, затваряйки операции и дори затваряйки болници. Ефектите от атаката излагат пациентите на риск и потенциално подкопават сигурността на техните данни. За съжаление, Microsoft пусна кръпка един месец преди атаката, която би попречила на WannaCry да се задържи. Актуализацията не само не беше пусната, но както се оказа, че много компютри все още работеха с Windows XP.

Това е въпреки прекратяването на разширената поддръжка за 15-годишната операционна система две години преди атаката.

Бъдещето на медицинските изделия ме плаши

Технологията продължава да осигуряват значителен напредък в медицинското лечение 8 медицински технологични пробиви, от които може да се нуждаете един денВярвате или не, скоростта на технологичния напредък все още се увеличава - и много пробиви се случват в областта на медицината. Вижте тези невероятни нови неща! Прочетете още , но това не е спасителната благодат на медицинския сектор, както откри NHS на Обединеното кралство. Според здравния секретар на правителството Джеръми Хънт, може да са загинали до 270 жени след като „грешка в компютърния алгоритъм“ не успя да покани 450 000 жени на редовен скрининг за рак на гърдата.

За разлика от много други области, засегнати от напредъка на технологиите, медицинските изделия могат да бъдат въпрос на живот или смърт. Тъй като законът на Мур позволява на повече устройства да бъдат онлайн през следващите години, производителите трябва да дадат приоритет на сигурността. В крайна сметка не е добре да се проектира „убийствена характеристика“, ако това се окаже опустошително точно описание.