Интернет (медицинских) вещей: Опасности, риски и проблемы безопасности
Безопасность

Интернет (медицинских) вещей: Опасности, риски и проблемы безопасности

Подключенное медицинское оборудование может улучшить здравоохранение, сбор данных о пациентах и ведение записей.но оно сопряжено с новыми рисками для онлайн-безопасности. Вот почему медицинские устройства Интернета вещей должны быть более безопасными

Возможно, вы слышали фразу ‘ваше здоровье – ваше богатство’. Это одна из причин, по которой США только в 2015 году потратили более 3,2 триллиона долларов на здравоохранение

С таким количеством денег на плаву вполне естественно, что многие компании вышли на рынок здравоохранения – в том числе и технологические компании

Медицинская техника иногда кажется устаревшей, но компании намерены перевести эти устройства в 21 век. И хотя подключение к Интернету может показаться отличной функцией, существуют некоторые реальные опасности и проблемы, которые могут вас удивить

Что такое медицинские устройства?

Всемирная организация здравоохранения (ВОЗ) определяет медицинское изделие как ‘любой инструмент, аппарат, приспособление, машину, прибор, имплантат, реагент для использования in vitro, программное обеспечение, материал . предназначенный производителем для использования . для человека, для одной или нескольких . конкретных медицинских целей’

Хотя это звучит довольно сложно, это просто означает любое устройство или программное обеспечение, которое может быть использовано в медицинских целях

Управление по контролю за продуктами питания и лекарствами США (FDA) отвечает за нормативный надзор за медицинскими изделиями и делит их на три категории: Класс I, Класс II и Класс III. Устройства класса 1 являются слабо регулируемыми, большинство из них контролируется только в отношении того, как они производятся и продаются. Класс II добавляет более конкретные нормы, а класс III предназначен для устройств, поддерживающих или сохраняющих жизнь человека

Однако, как это типично для всего мира, FDA с трудом поспевает за темпами инноваций. Существует мало ссылок на то, как должны регулироваться современные устройства, подключенные к Интернету

Какие шаги должны предпринять производители для обеспечения безопасности таких устройств? В декабре 2016 года FDA выпустило руководство по безопасности медицинских устройств, но оно не имеет юридической силы. Это оставило производителям право решать, следовать этим рекомендациям или нет

Интернет (медицинских) вещей

Это ставит подключенные к Интернету медицинские устройства в одну лодку с устройствами более широкой категории Интернета вещей (IoT). Медицинские устройства IoT имеют множество преимуществ, но отсутствие обязательного регулирования означает, что производители вряд ли будут вкладывать много ресурсов в их защиту

Это лишь одна из многих причин, по которым Интернет вещей является кошмаром безопасности. Кроме того, мы буквально отдаем свои жизни в руки медицинских IoT-устройств. Таким образом, ставки еще выше, чем в случае с обычными IoT-устройствами

Здравоохранение – дорогой бизнес, причем не только для пациентов, но и для самих поставщиков. Компании берут огромные суммы денег за новые устройства и техническую поддержку. Это означает, что больницы и другие медицинские учреждения представляют собой нагромождение инструментов – одних новых, других старых, с различными эксплуатационными требованиями. Старое оборудование, устаревшее программное обеспечение и проприетарные интерфейсы – все это вместе взятое превращает надлежащую защиту системы в кошмар для ИТ-отдела провайдера

Пример: Подслушивание медицинского насоса

Как показал Саурабх Харит на Black Hat Europe 2017, интерфейс между программным и аппаратным обеспечением часто открывает уязвимости, которые можно использовать. Он получил насос для внутривенных инфузий, который вводит лекарства в кровь пациента, который можно было программировать и управлять им удаленно

Получив доступ в режим администратора насоса с помощью пароля по умолчанию, найденного в Интернете, он смог использовать инфракрасный порт устройства и старый КПК, купленный на eBay, чтобы импортировать свои учетные данные Wi-Fi в сетевые настройки насоса

Используя Wireshark (один из многих инструментов сетевой безопасности с открытым исходным кодом) для проверки пакетов, Харит просмотрел данные пациента, такие как доза лекарства, лицо, осуществляющее уход, имя, местоположение и маршрут. Удивительно, но он даже смог получить доступ к основному списку лекарств, который устанавливает и поддерживает предписанную дозировку

Список примеров можно продолжить

Если бы подобные уязвимости ограничивались одним насосом, это было бы достаточно шокирующе, но исследователи регулярно обнаруживают новые. Одна команда смогла получить доступ к компьютерному томографу – устройству, которое облучает вас небольшой дозой радиации для создания трехмерных моделей внутри вашего тела

В августе 2017 года FDA отозвало 465 000 кардиостимуляторов, произведенных компанией Abbott, из-за проблем со взломом. Вместо того чтобы заставлять почти полмиллиона человек подвергаться инвазивной операции, компания Abbott выпустила патч для прошивки, который медицинский персонал мог применить к кардиостимулятору

Еще в 2014 году Министерство внутренней безопасности (DHS) начало расследование в отношении 24 устройств в связи с подозрением на наличие критических дефектов. Среди устройств были инфузионный насос компании Hospira Inc и имплантируемые сердечные устройства компаний Medtronic и St Jude Medical

Устаревшие медицинские устройства и низкий уровень безопасности

Если вы когда-нибудь работали в офисе, вы знаете, что многие предприятия полагаются на устаревшее программное обеспечение. Для этого неизменно требуются старые операционные системы, драйверы и периферийные устройства, что делает их очень небезопасными. Стоимость обычно является решающим фактором при обновлении, и многие решают, что они не могут оправдать расходы. Если ничего не сломалось, не чините, верно?

Предприятиям часто трудно определить приоритеты в области кибербезопасности, преобладает мнение, что если атаки еще не было, значит, ее и не будет. К сожалению, поставщики медицинских услуг также не застрахованы от такого образа мышления. В мае 2017 года атака с использованием вымогательского ПО, получившая название WannaCry, почти одновременно заразила 300 000 компьютеров, многие из которых принадлежали Национальной службе здравоохранения Великобритании (NHS)

Эта программа-вымогатель затронула более 40 трастов NHS по всей стране, сократив обслуживание пациентов, закрыв операционные и даже больницы. Последствия атаки подвергли риску пациентов и потенциально подорвали безопасность их данных. К сожалению, компания Microsoft выпустила патч за месяц до атаки, который мог бы предотвратить распространение WannaCry. Обновление не только не было распространено, но, как оказалось, на многих компьютерах все еще работала Windows XP

И это несмотря на то, что расширенная поддержка 15-летней операционной системы закончилась за два года до атаки

Будущее медицинских устройств меня пугает

Технологии продолжают вносить значительный прогресс в медицинское лечение, но они не являются спасительной благодатью для медицинского сектора, как выяснилось в NHS Великобритании. По словам министра здравоохранения Джереми Ханта, до 270 женщин могли умереть после того, как из-за ‘ошибки компьютерного алгоритма’ 450 000 женщин не прошли регулярное обследование на рак молочной железы

В отличие от многих других областей, на которые влияет развитие технологий, медицинское оборудование может быть вопросом жизни и смерти. Поскольку закон Мура позволяет в ближайшие годы вводить в эксплуатацию все больше устройств, производители должны уделять приоритетное внимание безопасности. В конце концов, не стоит разрабатывать ‘убийственную функцию’, если это окажется разрушительно точным описанием

Об авторе

Алексей Белоусов

Привет, меня зовут Филипп. Я фрилансер энтузиаст . В свободное время занимаюсь переводом статей и пишу о потребительских технологиях для широкого круга изданий , не переставая питать большую страсть ко всему мобильному =)

Комментировать

Оставить комментарий