Internet af (medicinske) ting: farer, risici og sikkerhedsproblemer

Reklame

Du har måske hørt sætningen "dit helbred er din rigdom." Det er en af ​​grundene til, at USA brugte over 3,2 billioner dollars på sundhedspleje alene i 2015.

Med så mange penge, der flyder rundt, er det kun naturligt, at mange virksomheder er gået ind på sundhedsmarkedet – inklusive teknologivirksomheder.

Medicinsk teknologi føles nogle gange forældet, men virksomheder er opsatte på at trække disse enheder ind i det 21. århundrede. Og selvom internetforbindelse kan virke som en fantastisk funktion at have, er der nogle reelle farer og problemer, der kan overraske dig.

Hvad er medicinsk udstyr?

Verdenssundhedsorganisationen (WHO) definerer et medicinsk udstyr som "ethvert instrument, apparat, redskab, maskine, apparat, implantat, reagens til in vitro-brug, software, materiale […] beregnet af producenten til at blive brugt […] til mennesker, til en eller flere […] specifik medicinsk formål".

Selvom det lyder ret kompliceret, betyder det bare enhver enhed eller software, der kan bruges til medicinske formål.

Den amerikanske Food & Drug Administration (FDA) er ansvarlig for regulatorisk tilsyn med medicinsk udstyr og opdeler dem i tre kategorier: Klasse I, Klasse II og Klasse III. Klasse 1-enheder er let regulerede, med de fleste kontroller kun placeret på, hvordan de fremstilles og markedsføres. Klasse II tilføjer mere specifik regulering, og Klasse III er forbeholdt enheder, der understøtter eller opretholder menneskeliv.

Men som det er typisk rundt om i verden, har FDA kæmpet for at følge med innovationstempoet. Der er få referencer til, hvordan moderne, internet-tilsluttede enheder skal reguleres.

Hvilke skridt bør producenterne tage for at sikre sikkerheden af ​​sådanne enheder? I december 2016 udgav FDA vejledning om sikkerhed for medicinsk udstyr, men de er ikke juridisk håndhævede. Dette fik producenterne til at beslutte, om de ville følge rådene eller ej.

Internet af (medicinske) ting

Dette placerer internetforbundet medicinsk udstyr i samme båd som dem i den bredere Internet of Things (IoT) kategori. Der er mange fordele ved IoT medicinsk udstyr 5 måder, hvorpå tingenes internet revolutionerer sundhedsvæsenetHer er nogle af de fedeste (og vigtigste) måder, hvorpå forbundet teknologi revolutionerer den medicinske verden. Læs mere , men manglen på håndhæver regulering betyder, at producenterne sandsynligvis ikke vil bruge mange ressourcer på at sikre dem.

Det er bare en af ​​de mange grunde til, at tingenes internet er et sikkerhedsmareridt Hvorfor tingenes internet er det største sikkerhedsmareridtEn dag kommer du hjem fra arbejde for at opdage, at dit cloud-aktiverede hjemmesikkerhedssystem er blevet brudt. Hvordan kunne dette ske? Med Internet of Things (IoT) kunne du finde ud af det på den hårde måde. Læs mere . Derudover lægger vi bogstaveligt talt vores liv i hænderne på medicinske IoT-enheder. Som sådan er indsatsen endnu højere end med almindelige IoT-enheder.

Sundhedspleje er en dyr forretning, ikke kun for patienterne, men for udbyderne selv. Virksomheder opkræver enorme summer for nye enheder og teknisk support. Det betyder, at hospitaler og anden medicinsk praksis er et virvar af værktøjer – nogle nye, nogle gamle med en række forskellige driftskrav. Gammel hardware, ældre software og proprietære grænseflader samles for at gøre passende sikring af systemet til et mareridt for udbyderens it-afdeling.

Eksempel: Aflytning af en medicinsk pumpe

Grænsefladen mellem software og hardware afslører ofte udnyttelige sårbarheder, f.eks Saurabh Harit viste ved Black Hat Europe 2017. Han fik en IV-infusionspumpe, som sprøjter medicin ind i en patients blod, som kunne programmeres og fjernbetjentes.

Efter at have adgang til pumpens admin-tilstand med en standardadgangskode fundet online, var han i stand til at bruge enhedens infrarød og en gammel PDA købt fra eBay for at importere deres Wi-Fi-legitimationsoplysninger til pumpens netværk indstillinger.

Brug af Wireshark (et af mange open source-netværkssikkerhedsværktøjer Sådan tester du din hjemmenetværkssikkerhed med gratis hackingværktøjerIntet system kan være helt "hack-sikkert", men browsersikkerhedstests og netværkssikkerhedsforanstaltninger kan gøre din opsætning mere robust. Brug disse gratis værktøjer til at identificere "svage punkter" i dit hjemmenetværk. Læs mere ) for at inspicere pakkerne, så Harit patientdata som medicindosis, plejer, navn, placering og rute. Utroligt nok var han endda i stand til at få adgang til Master Drug List, som indstiller og vedligeholder den foreskrevne dosis.

Listen over eksempler fortsætter...

Hvis sådanne sårbarheder var begrænset til denne ene pumpe, ville det være chokerende nok, men forskere afslører jævnligt nye. Et hold kunne få adgang til en CT-scanner, en enhed, som giver dig en lille dosis stråling til at skabe 3D-modeller af inde i din krop.

I august 2017 blev FDA tilbagekaldte 465.000 pacemakere lavet af Abbott over hacking bekymringer. I stedet for at tvinge næsten en halv million mennesker til at gennemgå en invasiv kirurgi, udstedte Abbott et firmwareplaster, som medicinsk personale var i stand til at sætte på pacemakeren.

Tilbage i 2014 begyndte Department for Homeland Security (DHS). efterforsker 24 enheder over formodede kritiske fejl. Enheder omfattede en infusionspumpe fra Hospira Inc og implanterbare hjerteenheder fra Medtronic og St Jude Medical.

Ældre medicinsk udstyr og dårlig sikkerhed

Hvis du nogensinde har arbejdet på et kontor, vil du vide, at mange virksomheder er afhængige af ældre software. Dette kræver uvægerligt ældre operativsystemer, drivere og ydre enheder, hvilket gør dem meget usikre. Omkostninger er normalt en afgørende faktor for, om de skal opdatere, og mange beslutter, at de ikke kan retfærdiggøre udgiften. Hvis det ikke er i stykker, så lad være med at reparere det, vel?

Virksomheder kæmper ofte med at prioritere cybersikkerhed med en fremherskende holdning om, at hvis et angreb ikke er sket endnu, så sker det ikke. Desværre er sundhedsudbydere heller ikke immune over for denne tankegang. I maj 2017 et ransomware-angreb, døbt WannaCry Det globale ransomware-angreb og hvordan du beskytter dine dataEt massivt cyberangreb har ramt computere over hele kloden. Er du blevet ramt af den meget virulente selvreplikerende ransomware? Hvis ikke, hvordan kan du så beskytte dine data uden at betale løsesum? Læs mere , næsten samtidigt inficerede 300.000 computere, hvoraf mange tilhørte Storbritanniens National Health Service (NHS).

Ransomwaren påvirkede over 40 NHS Trusts rundt om i landet, hvilket reducerede patientbehandlingen, lukkede operationer og endda lukkede hospitaler. Effekterne af angrebet satte patienterne i fare og underminerede potentielt også sikkerheden af ​​deres data. Desværre udgav Microsoft en patch en måned før angrebet, som ville have forhindret WannaCry i at tage fat. Ikke alene blev opdateringen ikke rullet ud, men som det viste sig, kørte mange computere stadig Windows XP.

Dette er på trods af, at udvidet support til det 15 år gamle styresystem er ophørt to år før angrebet.

Fremtiden for medicinsk udstyr skræmmer mig

Teknologien fortsætter med give betydelige fremskridt inden for medicinsk behandling 8 medicinske teknologiske gennembrud, som du kan få brug for en dagTro det eller ej, hastigheden af ​​teknologiske fremskridt er stadig stigende - og der sker en masse gennembrud på det medicinske område. Tjek disse fantastiske nye ting! Læs mere , men det er ikke den medicinske sektors frelsende nåde, som Storbritanniens NHS opdagede. Ifølge regeringens sundhedsminister, Jeremy Hunt, op til 270 kvinder kan være døde efter en "computeralgoritmefejl" undlod at invitere 450.000 kvinder til regelmæssig brystkræftscreening.

I modsætning til mange andre områder, der er påvirket af teknologiens fremskridt, kan medicinsk udstyr være et spørgsmål om liv eller død. Da Moores lov gør det muligt for flere enheder at komme online i de kommende år, må producenterne prioritere sikkerheden. Det nytter jo ikke at designe en "killer feature", hvis det viser sig at være en ødelæggende præcis beskrivelse.