13:44
18/10/2018

Pobyt w szpitalu jest groźny nie tylko z powodu choroby, dzięki której się tam znalazłeś. Tampony i endoskopy też mogą być groźne, a tzw. hackerzy mogą wykorzystać fakt, że systemy medyczne mają swoje słabości. Jakie? O tym można przeczytać w nieco przerażającym raporcie ECRI.

Problemem jak zwykle są… ludzie

Instytut ECRI  to niezależna organizacja non-profit, która prowadzi badania mające na celu zwiększenie jakości usług medycznych świadczonych na rzecz pacjentów. Niedawno opublikowała ona swój coroczny raport dotyczący największych zagrożeń technologicznych dla życia i zdrowia podopiecznych placówek medycznych w 2019 roku.

Ranking zagrożeń przedstawia się następująco:

  1. “Hackerzy”, którzy mogą uzyskać dostęp do zdalnych systemów (to naprawdę jest na pierwszym miejscu w rankingu).
  2. Płyny ustrojowe innych pacjentów, które wsiąkają w materace i pokrywy materaców (fuj!).
  3. Tampony pozostawione w ciele pacjenta.
  4. Niewłaściwie ustawione alarmy przy urządzeniach wentylujących pacjentów, co może prowadzić do niedotlenienia mózgu.
  5. Infekcje spowodowane nieodpowiednio oczyszczonymi endoskopami.
  6. Złe ustawienia pomp infuzyjnych.
  7. Niewłaściwe ustawienia alarmów urządzeń monitorujących funkcje fizjologiczne.
  8. Uszkodzenia uchwytów instalowanych nad łóżkami, aby pacjenci mogli się podnieść(!).
  9. Zalanie elektrycznego urządzenia medycznego płynem do czyszczenia.
  10. Niewłaściwie naładowane baterie.

Jak widzicie, są to naprawdę problemy technologiczne, ale szczególnego rodzaju. Choć w dzisiejszych wiele rzeczy robią doskonałe maszyny, to nadal ludzie obsługują te maszyny.

Nawet to nieszczęsne zaszywanie tamponów jest problemem, który da się rozwiązać technologicznie. W raporcie ECRI czytamy, że istnieją technologie wspierające proces liczenia po zabiegu, ale nadal nie są to technologie stosowane wszędzie.

Są potrzeby… biznesowe

Nas naturalnie najbardziej interesują hackerzy. W ciągu ostatnich 18 miesięcy, sam instytut ECRI opublikował blisko 50 alarmów oraz raportów odnoszących się do ryzyka związanego z bezpieczeństwem systemów informatycznych. Stanowi to znaczny wzrost w stosunku do okresu poprzedzającego wspomniany przedział czasowy.

Systemy zdalnego dostępu są powszechnym celem atakujących, ponieważ są z natury dostępne publicznie. Jest to uzasadniane intencją spełnienia potrzeb biznesowych, takich jak umożliwienie pełnienia obowiązków służbowych przez lekarzy poza miejscem pracy poprzez zapewnienie im dostępu do danych medycznych pacjentów, czy też diagnozowanie i rozwiązywanie problemów związanych z oprogramowaniem wykorzystywanym w szpitalach przez zespoły wsparcia.

W raporcie przygotowanym przez ECRI możemy wyczytać także, że atakujący po uzyskaniu dostępu do zasobów placówek medycznych najczęściej posuwają się do czynności takich jak:

Konsekwencje ataków hakerskich mogą być rozległe i drastyczne, co sprawia, że ochrona przed nimi powinna stać się priorytetem dla wszystkich organizacji opieki zdrowotnejtwierdzi David Jamison, Dyrektor Wykonawczy programu ECRI Healt Devices, dodając, że przecież “w krytycznych sytuacjach może dojść do uszczerbku na zdrowiu pacjenta, a nawet jego śmierci”.

Inne badania

Osobnym problemem (choć wcale nie akcentowanym mocno w raporcie ECRI) jest niedostateczne zabezpieczanie samego sprzętu. W roku 2017 dr. Jonathan Butts oraz Billy Rios z firmy Whitescope opublikowali ostatnio dość obszerny raport na temat rozruszników serca. Okazało się, że szczególnie ciekawym obiektem były programatory, czyli urządzenia służące do programowania rozrusznika u lekarza. Po zbadaniu urządzeń ustalono m.in., że w 4 programatorach od 4 różnych dostawców było aż 8 tysięcy znanych luk wynikających ze stosowania przestarzałych bibliotek w oprogramowaniu.

Co więcej, badane urządzenia włączały oprogramowanie programujące nie wymagając żadnego loginu i hasła. Okazało się też, że dowolny programator może programować dowolny rozrusznik danego dostawcy. Dlaczego producent nie zadbał o zabezpieczenia? No cóż… przecież kto by hackował rozrusznik serca? Nikt, prawda? Więc po co zabezpieczać?

Co robić by pacjent przeżył?

Wróćmy do raportu ECRI. Zgodnie z informacjami zawartymi w raporcie, organizacjom służby zdrowia zaleca się podjęcie czynności takich jak identyfikacja, ochrona oraz monitorowanie wszystkich systemów zdalnego dostępu oraz ich punktów wejścia, a także przyjęcie najlepszych praktyk związanych z bezpieczeństwem systemów informatycznych, takich jak stosowanie polityki silnych haseł, czy też bieżące aktualizowanie systemów operacyjnych oraz oprogramowania.

Dodajmy jeszcze, że badania przeprowadzone przez firmę Rapid7 potwierdzają, że wektorem ataku najczęściej wykorzystywanym w kampaniach skierowanych przeciwko instytucjom medycznym jest wspomniana w artykule możliwość zdalnego dostępu do systemu, a konkretniej próby logowania z wyłączonych/zablokowanych kont, ataki typu brute-force, czy też phishing i wyłudzanie informacji.

Przeczytaj także:

14 komentarzy

Dodaj komentarz
  1. Dodam od siebie ze połowa urządzeń medycznych działa na win XP. Reszta na win 7. Nie ma co marzyć o nowszych dystrybucjach.

    • A ten win10, co się ostatnio zaktualizował w trakcie zabiegu? ;)

  2. Koperek kryptowalut… Albo literówka albo nowy gatunek roślinki :)

    • Thank you for making my day :) Domagam się, by doniczki z Koperkiem Kryptowalutem (łać. Anethum Cryptomonetae) znalazły się w sklepiku Niebezpiecznika, obok zacnej offline’owej torby.

      A już myślałem, że to bardzo przygnębiający artykuł…

    • Miałem coś napisać o tym koperku ale poprawili ;(

    • Z artykułu dowiedziałem się również, że istnieje coś takiego jak proces LICZENIA po zabiegu :D

    • To akurat nie literówka – chodzi, rzeczywiście o *liczenie* a nie (w tym wypadku) *leczenie*. Ściślej mówiąc, liczenie narzędzi, gazików etc. przed i po zabiegu – aby upewnić się, że nic nie zostało zaszyte w pacjencie…

  3. Zabrakło sekcji “Mam rozrusznik serca, co robić, jak żyć?”

    • Nie narażać się hakierom

  4. To wszystko nie jest takie proste, jak się z pozoru wydaje. Lekarze, niejednokrotnie fachowcy w swojej dziedzinie, potrafią być kompletnymi “nogami” w innych dziedzinach, takich jak wymiana żarówki czy podstawowa obsługa komputera (to akurat z własnych niestety obserwacji). Nie mówię NIE zabezpieczeniom programatorów, ale szczerze mówiąc tylko nowe pokolenie lekarzy kończących właśnie studia, urodzonych w erze informatyzacji, jakoś to ogarnie, starsze pokolenia lekarzy – nie ma szans. Nie wyobrażam sobie, żeby niepełnosprytny informatycznie lekarz miał kombinować z próbami dostępu do przykładowego programatora – to się skończy albo przekroczeniem limitu prób i blokadą, karteczkami z hasłem porozklejanymi wszędzie, albo – co najprawdopodobniejsze – jednym prostym hasłem dostępu do wszystkich programatorów w całym kraju – tak, jak do automatycznych drzwi na SOR-ach, gdzie hasłem jest “1,2,3,4,dzwonek” (symbol dzwonka jest tam, gdzie na innych klawiaturach znajduje się “#”, ale za bardzo kojarzyło się z “krzyżyk”), inaczej gościnni lekarze czy zewnętrzne karetki straciłyby dostęp.

    • Poza tym wszelki sprzęt medyczny musi mieć miliard certyfikacji, a aktualizacja oprogramowania zapewne wymagałaby ponownego przejścia całego kosztownego procesu. Sytuacja gdzie dowolny lekarz może pacjentowi zmienić parametry rozrusznika jest chyba lepsza od “nie mogę pomóc, nie znam hasła”.

    • Zgadzam się, chociaż i młodzi lekarze też często nie ogarniają. A starsi po prostu nie zawsze są dobrze przeszkoleni bo dla nich to strata czasu (Można od nich usłyszeć tekst w stylu: ja mam tu leczyć ludzi a nie męczyć się z tym sprzętem/programem).

      Po za tym często oprogramowanie medyczne nie jest aktualizowane bo szpitale nie mają na to kasy. A firmy, które wdrażają swoje oprogramowanie/sprzęt liczą sobie często kosmiczne pieniądze za jakieś poprawki/aktualizacje po skończeniu się umowy, a szpitale nie chcą wydawać nie potrzebnie kasy jak coś dalej działa.

  5. Rekord medyczny jest dużo więcej wart niż rekord bankowy. Ostrożnie mówi się że sześciokrotnie więcej. Wydatki na it security w szpitalu są iloskrotnie niższe w banku. Rachunek jest prosty…

  6. “Po za tym często oprogramowanie medyczne nie jest aktualizowane bo szpitale nie mają na to kasy. A firmy, które wdrażają swoje oprogramowanie/sprzęt liczą sobie często kosmiczne pieniądze za jakieś poprawki/aktualizacje po skończeniu się umowy, a szpitale nie chcą wydawać nie potrzebnie kasy jak coś dalej działa.”

    Paweł, mylisz się. Gdybyś pracował w branży IT związanej z medycyną i farmacją, wiedziałbyś, że placówki medyczne/farmaceutyczne nie mogą sobie pozwolić na nieaktualizowanie oprogramowania gdyż zmiany jakie zachodzą w przepisach wymuszają na producentach wprowadzanie nowych funkcji w programach które to funkcje stają się niezbędne tym placówkom. Poza tym, co dwa miesiące, następują zmiany na listach leków a to wymaga aktualizacji baz leków. Aby więc używać oprogramowania, trzeba corocznie odnawiać licencje na oprogramowanie. Poprawki oprogramowania nie są dodatkowo płatne. Jeśli użytkownik zauważy błąd i zgłosi to swojemu serwisowi, ten sprawdza czy faktycznie jest to błąd programu i wtedy zgłasza do producenta który zajmuje się poprawkami, wypuszcza się nową wersję i serwisy aktualizują oprogramowanie klientom, w ramach ważnej licencji która posiadają.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.