Содержание
Возможно, вы слышали фразу «ваше здоровье — это ваше богатство». Это одна из причин, по которой США потратили более 3,2 триллиона долларов на здравоохранение только в 2015 году.
С таким большим количеством денег вполне естественно, что многие компании вышли на рынок здравоохранения, включая технологические компании.
Медицинские технологии иногда кажутся устаревшими, но компании намерены перетянуть эти устройства в XXI век. И хотя подключение к Интернету может показаться отличной возможностью, есть некоторые реальные опасности и проблемы, которые могут вас удивить.
Что такое медицинские приборы?
Всемирная организация здравоохранения (ВОЗ) определяет медицинское устройство как «любой инструмент, прибор, инструмент, машину, прибор, имплантат, реагент для использования in vitro, программное обеспечение, материал […], предназначенный производителем для использования […] для человека. существа, для одного или нескольких […] конкретных медицинских целей ».
Хотя это звучит довольно сложно, это просто означает любое устройство или программное обеспечение, которое может использоваться в медицинских целях.
Пища США Управление по лекарственным средствам (FDA) отвечает за надзор за медицинскими устройствами и делит их на три категории: класс I, класс II и класс III. Устройства класса 1 слабо регулируются, при этом большинство элементов управления размещаются только на том, как они производятся и продаются. Класс II добавляет более конкретные правила, а класс III зарезервирован для устройств, которые поддерживают или поддерживают человеческую жизнь.
Однако, как это характерно для всего мира, FDA изо всех сил пытается идти в ногу с темпами инноваций. Есть несколько ссылок на то, как должны регулироваться современные устройства, подключенные к Интернету.
Какие шаги должны предпринять производители для обеспечения безопасности таких устройств? В декабре 2016 года FDA выпустило руководство по безопасности медицинских устройств, но они не имеют юридической силы. Это оставило производителям решать, следовать ли совету или нет.
Интернет (медицинских) вещей
Это ставит подключенные к Интернету медицинские устройства в ту же лодку, что и устройства в более широкой категории Интернета вещей (IoT). Есть много преимуществ для медицинских устройств IoT
, но отсутствие обязательного регулирования означает, что производители вряд ли будут вкладывать много средств в их обеспечение.
Это только одна из многих причин, почему Интернет вещей — это кошмар безопасности
, Кроме того, мы буквально отдаем нашу жизнь в руки медицинских устройств IoT. Таким образом, ставки даже выше, чем с обычными устройствами IoT.
Здравоохранение — это дорогостоящий бизнес, причем не только для пациентов, но и для самих поставщиков. Компании берут огромные суммы денег за новые устройства и техническую поддержку. Это означает, что больницы и другие медицинские практики — это куча инструментов — некоторые новые, некоторые старые с рядом различных эксплуатационных требований. Старое оборудование, устаревшее программное обеспечение и проприетарные интерфейсы объединяются, чтобы сделать надлежащую защиту системы настоящим кошмаром для ИТ-отдела провайдера.
Пример: подслушивание на медицинском насосе
Интерфейс между программным и аппаратным обеспечением часто обнаруживает уязвимости, которые можно использовать, как показал Саураб Харит на Black Hat Europe 2017. Он получил инфузионный насос для внутривенного вливания, который вводит лекарства в кровь пациента, которые можно программировать и управлять дистанционно.
Получив доступ к режиму администрирования насоса с помощью пароля по умолчанию, найденного в Интернете, он смог использовать инфракрасный порт устройства и старый КПК, приобретенный у eBay, для импорта своих учетных данных Wi-Fi в настройки сети насоса.
Использование Wireshark (один из многих инструментов безопасности сети с открытым исходным кодом
Чтобы проверить пакеты, Харит просмотрела данные пациента, такие как доза лекарства, лицо, осуществляющее уход, имя, местоположение и маршрут. Удивительно, но он даже смог получить доступ к Основному списку лекарств, который устанавливает и поддерживает предписанную дозировку.
Список примеров продолжается …
Если бы такие уязвимости были ограничены этим одним насосом, это было бы достаточно шокирующим, но исследователи регулярно обнаруживают новые. Одна команда смогла получить доступ к КТ-сканеру, устройству, которое дает вам небольшую дозу радиации для создания 3D-моделей внутри вашего тела.
В августе 2017 года FDA отозвало 465 000 кардиостимуляторов, сделанных Abbott по поводу взлома. Вместо того, чтобы заставлять почти полмиллиона человек проходить инвазивные операции, Abbott выпустил патч прошивки, который медицинский персонал смог применить к кардиостимулятору.
Еще в 2014 году министерство внутренней безопасности (DHS) начало расследование 24 устройств на предмет предполагаемых критических недостатков. Устройства включали инфузионный насос от Hospira Inc и имплантируемые сердечные устройства от Medtronic и St Jude Medical.
Устаревшие медицинские приборы и плохая безопасность
Если вы когда-либо работали в офисе, вы знаете, что многие компании полагаются на устаревшее программное обеспечение. Это неизменно требует старых операционных систем, драйверов и периферийных устройств, что делает их очень небезопасными. Стоимость обычно является решающим фактором при обновлении, и многие решают, что не могут оправдать расходы. Если он не сломался, не почините его, верно?
Компании часто пытаются расставить приоритеты в кибербезопасности, при этом преобладает мнение, что если атака еще не произошла, то она не будет. К сожалению, поставщики медицинских услуг также не застрахованы от этого мышления. В мае 2017 года атака вымогателей, получившая название WannaCry
почти одновременно заразили 300 000 компьютеров, многие из которых принадлежат Национальной службе здравоохранения Великобритании (NHS).
Вымогатели затронули более 40 трастов NHS по всей стране, сократив объем ухода за пациентами, закрыв операции и даже закрыв больницы. Последствия атаки подвергают пациентов риску и потенциально подрывают безопасность их данных. К сожалению, Microsoft выпустила патч за месяц до атаки, который помешал бы WannaCry завладеть. Обновление не только не было выпущено, но, как оказалось, многие компьютеры все еще работали под управлением Windows XP.
И это несмотря на расширенную поддержку 15-летней операционной системы, которая закончилась за два года до атаки.
Будущее медицинского оборудования волнует меня
Технология продолжает приносить значительные успехи в лечении
, но это не спасительная грация медицинского сектора, как обнаружили в NHS Великобритании. По словам министра здравоохранения правительства Джереми Ханта, до 270 женщин, возможно, умерли после того, как «ошибка компьютерного алгоритма» не смогла пригласить 450 000 женщин на регулярный скрининг рака молочной железы.
В отличие от многих других областей, затронутых развитием технологий, медицинские устройства могут быть вопросом жизни или смерти. Так как закон Мура позволяет в ближайшие годы подключать больше устройств, производители должны отдавать приоритет безопасности. В конце концов, не стоит разрабатывать «убийственную функцию», если это оказывается невероятно точным описанием.
