Internett av (medisinske) ting: farer, risikoer og sikkerhetsproblemer

Annonse

Du har kanskje hørt uttrykket "helsen din er din rikdom." Det er en av grunnene til at USA brukte over 3,2 billioner dollar på helsetjenester i 2015 alene.

Med så mye penger som flyter rundt, er det bare naturlig at mange bedrifter har gått inn i helsesektoren – inkludert teknologiselskaper.

Medisinsk teknologi føles noen ganger utdatert, men selskaper er innstilt på å dra disse enhetene inn i det 21. århundre. Og selv om Internett-tilkobling kan virke som en flott funksjon å ha, er det noen reelle farer og problemer som kan overraske deg.

Hva er medisinsk utstyr?

Verdens helseorganisasjon (WHO) definerer et medisinsk utstyr som ethvert instrument, apparat, redskap, maskin, apparat, implantat, reagens for in vitro-bruk, programvare, materiale […] beregnet av produsenten for å brukes […] for mennesker, for en eller flere […] spesifikke medisinske hensikt".

Selv om det høres ganske komplisert ut, betyr det bare hvilken som helst enhet eller programvare som kan brukes til medisinske formål.

US Food & Drug Administration (FDA) er ansvarlig for regulatorisk tilsyn med medisinsk utstyr og deler dem inn i tre kategorier: Klasse I, Klasse II og Klasse III. Klasse 1-enheter er lett regulert, med de fleste kontroller kun plassert på hvordan de produseres og markedsføres. Klasse II legger til mer spesifikk regulering, og Klasse III er reservert for enheter som støtter eller opprettholder menneskeliv.

Men som det er vanlig rundt om i verden, har FDA slitt med å holde tritt med innovasjonstakten. Det er få referanser til hvordan moderne, internett-tilkoblede enheter bør reguleres.

Hvilke skritt bør produsenter sette i verk for å sikre sikkerheten til slike enheter? I desember 2016 ga FDA ut veiledning om medisinsk utstyrssikkerhet, men de er ikke juridisk håndhevbare. Dette gjorde at produsentene måtte bestemme om de skulle følge rådene eller ikke.

Internett av (medisinske) ting

Dette setter Internett-tilkoblede medisinske enheter i samme båt som de i den bredere kategorien Internet of Things (IoT). Det er mange fordeler til IoT medisinsk utstyr 5 måter tingenes internett revolusjonerer helsevesenetHer er noen av de kuleste (og viktigste) måtene tilkoblet teknologi revolusjonerer den medisinske verdenen på. Les mer , men mangelen på håndhevbar regulering betyr at produsenter sannsynligvis ikke vil bruke mange ressurser på å sikre dem.

Det er bare en av de mange grunner til at tingenes internett er et sikkerhetsmareritt Hvorfor tingenes internett er det største sikkerhetsmarerittetEn dag kommer du hjem fra jobb for å oppdage at det skyaktiverte hjemmesikkerhetssystemet ditt har blitt brutt. Hvordan kunne dette skje? Med Internet of Things (IoT) kan du finne ut av det på den harde måten. Les mer . I tillegg legger vi bokstavelig talt livene våre i hendene på medisinske IoT-enheter. Som sådan er innsatsen enda høyere enn med vanlige IoT-enheter.

Helsetjenester er en kostbar virksomhet, ikke bare for pasienter, men for tilbyderne selv. Bedrifter krever enorme summer for nye enheter og teknisk støtte. Dette betyr at sykehus og annen medisinsk praksis er et virvar av verktøy – noen nye, noen gamle med en rekke forskjellige driftskrav. Gammel maskinvare, eldre programvare og proprietære grensesnitt kommer alle sammen for å gjøre riktig sikring av systemet til et mareritt for leverandørens IT-avdeling.

Eksempel: Avlytting av en medisinsk pumpe

Grensesnittet mellom programvare og maskinvare avslører ofte utnyttbare sårbarheter, som Saurabh Harit stilte på Black Hat Europe 2017. Han skaffet seg en IV-infusjonspumpe, som injiserer medisiner i en pasients blod, som kan programmeres og fjernstyres.

Etter å ha tilgang til pumpens admin-modus med et standardpassord funnet på nettet, kunne han bruke enhetens infrarød og en gammel PDA kjøpt fra eBay for å importere Wi-Fi-legitimasjonen til pumpens nettverk innstillinger.

Bruker Wireshark (et av mange åpen kildekode-nettverkssikkerhetsverktøy Slik tester du hjemmenettverkssikkerheten med gratis hackingverktøyIngen system kan være helt "hack-sikker", men nettlesersikkerhetstester og nettverkssikringer kan gjøre oppsettet ditt mer robust. Bruk disse gratisverktøyene til å identifisere "svake punkter" i hjemmenettverket ditt. Les mer ) For å inspisere pakkene, så Harit på pasientdata som medisindose, omsorgsperson, navn, plassering og rute. Utrolig nok var han til og med i stand til å få tilgang til Master Drugs List som angir og opprettholder den foreskrevne dosen.

Listen over eksempler fortsetter...

Hvis slike sårbarheter var begrenset til denne ene pumpen, ville det vært sjokkerende nok, men forskere avdekker jevnlig nye. Ett lag klarte det få tilgang til en CT-skanner, en enhet som gir deg en liten dose stråling for å lage 3D-modeller av kroppen din.

I august 2017 ble FDA tilbakekalte 465 000 pacemakere laget av Abbott på grunn av bekymringer om hacking. I stedet for å tvinge nesten en halv million mennesker til å gjennomgå invasiv kirurgi, utstedte Abbott en firmware-lapp, som medisinsk personell kunne sette på pacemakeren.

Tilbake i 2014 startet Department for Homeland Security (DHS). undersøker 24 enheter over mistenkte kritiske feil. Enhetene inkluderte en infusjonspumpe fra Hospira Inc og implanterbare hjerteenheter fra Medtronic og St Jude Medical.

Eldre medisinsk utstyr og dårlig sikkerhet

Hvis du noen gang har jobbet på et kontor, vil du vite at mange bedrifter er avhengige av eldre programvare. Dette krever alltid eldre operativsystemer, drivere og periferiutstyr, noe som gjør dem svært usikre. Kostnader er vanligvis en avgjørende faktor for om de skal oppdatere, og mange bestemmer seg for at de ikke kan rettferdiggjøre utgiftene. Hvis det ikke er ødelagt, ikke fiks det, ikke sant?

Bedrifter sliter ofte med å prioritere cybersikkerhet, med en rådende holdning om at hvis et angrep ikke har skjedd ennå, så vil det ikke gjøre det. Dessverre er ikke helsepersonell immune mot denne tankegangen heller. I mai 2017 et løsepengevareangrep, kalt WannaCry Det globale ransomware-angrepet og hvordan du kan beskytte dataene dineEt massivt nettangrep har rammet datamaskiner over hele kloden. Har du blitt påvirket av den svært virulente selvreplikerende løsepengevaren? Hvis ikke, hvordan kan du beskytte dataene dine uten å betale løsepenger? Les mer , nesten samtidig infiserte 300 000 datamaskiner, mange tilhørte Storbritannias National Health Service (NHS).

Løsepengevaren påvirket over 40 NHS-truster rundt om i landet, og reduserte pasientbehandlingen, stengte operasjoner og til og med stengte sykehus. Effektene av angrepet setter pasienter i fare og undergraver potensielt også sikkerheten til dataene deres. Dessverre ga Microsoft ut en oppdatering én måned før angrepet, som ville ha forhindret WannaCry i å ta tak. Ikke bare ble oppdateringen ikke rullet ut, men det viste seg at mange datamaskiner fortsatt kjørte Windows XP.

Dette er til tross for at utvidet støtte for det 15 år gamle operativsystemet er avsluttet to år før angrepet.

Fremtiden til medisinsk utstyr skremmer meg

Teknologien fortsetter gi betydelige fremskritt innen medisinsk behandling 8 medisinske tekniske gjennombrudd som du kan trenge en dagTro det eller ei, hastigheten på teknologiske fremskritt øker fortsatt - og det skjer mange gjennombrudd innen det medisinske feltet. Sjekk ut disse fantastiske nye tingene! Les mer , men det er ikke medisinsk sektors frelsende nåde slik Storbritannias NHS oppdaget. Ifølge regjeringens helsesekretær, Jeremy Hunt, opptil 270 kvinner kan ha dødd etter at en "dataalgoritmefeil" ikke klarte å invitere 450 000 kvinner til vanlig brystkreftscreening.

I motsetning til mange andre områder som påvirkes av fremskritt innen teknologi, kan medisinsk utstyr være et spørsmål om liv eller død. Ettersom Moores lov gjør det mulig for flere enheter å komme på nettet de neste årene, må produsenter prioritere sikkerhet. Tross alt er det ikke bra å designe en "killer-funksjon" hvis det viser seg å være en ødeleggende nøyaktig beskrivelse.