Ataki hakerskie urządzeń medycznych to przyszłość. Przygotowujesz się na nie? – część I

Urządzenia medyczne w szpitalach, przychodniach czy prywatnych klinikach nie są w żaden sposób zabezpieczone przed ewentualnymi atakami. Większość kadry kierowniczej opieki zdrowotnej jest świadoma tego problemu (przynajmniej do pewnego stopnia), jednak niewielu dysponuje skutecznym narzędziem w celu zapobiegnięcia temu wciąż rosnącemu ryzyku.

Odwiedzając cyklicznie szpitale czy kliniki trudno nie dostrzec rosnącej liczby nowych urządzeń medycznych. Dostarczają wszystkich rodzajów telemetrii pacjenta do serwera głównego. Zapewniają automatyczne i regularne podawanie leków za pomocą pomp, kroplówek czy dozowników tlenu. Nowoczesne łóżko medyczne samo śledzi lokalizację pacjenta w szpitalu, gdy ten jest skierowany na badania do innych oddziałów.

Co roku przybywa średnio 20% nowych urządzeń medycznych na świecie

Globalne dane dostarczają informacji, że rocznie przybywa średnio 20% nowych urządzeń medycznych na świecie, co więcej, tempo wzrostu stale rośnie. Tak dynamiczny rozwój sektora medycznego powoduje duże trudności z optymalnym zarządzaniem, eksploatacją a przede wszystkim próbą zabezpieczenia urządzeń medycznych, co dodatkowo utrudnia fakt podłączania coraz większej ich liczby do sieci.

Istota problemu nie tkwi wyłącznie w konieczności ciągłej modernizacji zasobów placówek medycznych, ale również w fakcie, że większość urządzeń medycznych, które mają kluczowe znaczenie dla życia i zdrowia pacjenta w zasadzie nie posiada zdolności ich zabezpieczenia. Nie mogą być ponadto zabezpieczone standardowymi narzędziami jak programy antywirusowe czy anty-malware. Niestety, analizując powiązania urządzeń medycznych między sobą i siecią dochodzimy do wniosku, iż cechują się one ogromną podatnością na ataki. Pamiętajmy, że po drugiej stronie zawsze znajduje się pacjemnt.

Produkty branży medycznej wyróżniają bardzo wysokie standardy, urządzenia te muszą przejść restrykcyjne testy, przede wszystkim pod kątem niezawodności działania, aby zostać dopuszczonym do użytku. Wąska specjalizacja urządzeń medycznych w wykonywaniu konkretnych zadań sprawia, że mają tendencje do przestojów, gdy są poddawane czynnościom spoza ich parametrów projektowych. Nagła konieczność wykonywania wielu operacji spowodowana przez wirusy i inne złośliwe oprogramowania może całkowicie zaburzyć ich ciągłość działania
Dodatkowym zagrożeniem jest czas użytkowania urządzeń medycznych. Często, szczególnie publiczne szpitale, korzystają z urządzeń zaprojektowanych kilkadziesiąt lat temu. W tamtym czasie nie istniał jeszcze „Word Wide Web”(www), dlatego nie mogą być w żaden sposób przystosowane do obrony przed atakami cybernetycznymi, z którymi mamy dziś do czynienia.

Wiele samodzielnych urządzeń medycznych opuszcza zakład produkcyjny ze wszystkimi rodzajami luk w zabezpieczeniach – otwarte porty TCP / UDP oraz liczne domyślnie włączone protokoły, takie jak TFTP, FTP, Telnet itp. – z których wiele jest podatnych na ataki. W ostatnich latach na konferencjach poświęconych sprawom bezpieczeństwa mogliśmy oglądać podatność pomp infuzyjnych, skanerów EEG oraz innych urządzeń na cyberataki. Problem jest coraz częściej poruszany ze względu na konieczność podłączenia wielu urządzeń medycznych do sieci, co ułatwia zarządzenie nimi, monitorowanie ich działania, odbieranie danych i sterowanie parametrami pracy.

Jednak poziom bezpieczeństwa wdrożonych rozwiązań jest często niewystarczający. Komputery korzystają ze starych, niewspieranych już przez producentów systemów, a urządzenia takie, jak pompy infuzyjne czy tomografy nie posiadają żadnych zabezpieczeń, umożliwiając intruzom przejęcie kontroli nad nimi. Ukierunkowany atak na nowoczesne urządzenia medyczne jest stosunkowo łatwy, co udowodnił eksperyment z 2011 gdzie celem ataku było zmuszenie pompy insulinowej do podania pacjentowi zabójczej dawki insuliny.

Dyskusyjnym tematem jest ciągły brak podejmowania odpowiednich kroków w celu zabezpieczenia urządzeń medycznych przed atakami, pomimo stosunkowo dużej świadomości społecznej w tej kwestii. Zmiana podejścia powinna rozpocząć się już na etapie projektowym urządzeń medycznych. Należy stworzyć odpowiednią infrastrukturę umożliwiającą wdrożenie skutecznych zabezpieczeń wraz z możliwością ich aktualizacji na przestrzeni dalszych okresów użytkowania.

Nadal jednak urządzenia medyczne mogące stać się potencjalnym zagrożeniem dla zdrowia i życia pacjentów stanowią stałe wyposażenie placówek medycznych. Musimy zatem przygotować się na całkiem realne zagrożenie cyberataków, które już jutro mogą stać się rzeczywistością.