Sårbare medisinske apparater: En klar og tilstedeværende fare

TechRepublics sjefredaktør, Jason Hiner, har utpekt "tingenes internett", ellers kjent som "maskin til maskin" -teknologi, som TechRepublics globale tema for januar:

Tingenes internett handler om sensorer som kan koble mange tidligere hverdagslige objekter til Internett og automatisk sende dataene sine til IT-systemer for analyse. Gjenstandene kan være alt fra helseomsorgskontroller til trafikklys til termostater til tog.

Som fyren som dekker IT-sikkerhet, lurer du kanskje på hvorfor jeg til og med er interessert. Vel, som Jason påpekte; helsevesenet bruker mange "ting", hvorav flere er hjertelig nær og kjær.

Siden hjerteoperasjonen i 2007 har jeg vært interessert i medisinsk databehandlingsteknologi og hvordan pasientbehandlingen har blitt bedre på grunn av fremskritt. Jeg skrev til og med en artikkel om min erfaring bare dager etter at jeg ble sluppet fra sykehuset, "Trådløs teknologi spilte en stor rolle i min kirurgi." Min sønn satte spørsmålstegn ved min dom og ga ut en artikkel som snart - noe om OxyContin.

I fjor sommer, da en kollega fortalte meg om "Attack Surface: Healthcare and Public Health Sector", en rapport utgitt av Department of Homeland Security; Jeg leste den umiddelbart, og lurte på hva "Attack Surface" betydde. Her er hva jeg fant:

A stor bekymring for helsevesenet og offentlig helse (HPH) sektoren er utnyttelse av potensielle sårbarheter av medisinsk utstyr i medisinske IT-nettverk (offentlige, private og hjemlige).

Det blir verre:

Disse sårbarhetene kan føre til mulige risikoer for pasientsikkerhet og tyveri eller tap av medisinsk informasjon på grunn av mangelfull integrering av IT-produkter, pasientbehandlingsprodukter og medisinsk utstyr på medisinske IT-nettverk. Feilkonfigurerte nettverk eller dårlig sikkerhetspraksis kan øke risikoen for medisinsk utstyr.

Rapporten fortsetter deretter med å forklare hvorfor:

  • Det er legemidler fra eldre tid som ble distribuert før loven om medisinsk utstyr ble vedtatt i 1976, som fremdeles er i bruk i dag.
  • Mange nyere enheter har gjennomgått strenge Food and Drug Administration (FDA) testprosedyrer og er utstyrt med designfunksjoner som letter deres integrasjon i medisinske IT-nettverk. Imidlertid kan det hende at disse sikre designfunksjonene ikke blir implementert i distribusjonsfasen på grunn av teknologiens kompleksitet eller mangelen på kunnskap om mulighetene.
  • I en tid med begrensede begrensninger prioriterer helsetjenester ofte mer tradisjonelle programmer og operasjonelle hensyn fremfor nettverkssikkerhet.
  • Fordi disse medisinske enhetene kan inneholde sensitiv informasjon eller personverninformasjon, kan systemeiere være motvillige til å gi produsenter tilgang til oppgraderinger eller oppdateringer. Unnlatelse av å installere oppdateringer legger grunnlaget for stadig mer ineffektiv trusselredusering etter hvert som tiden går.

Jeg la meg mentalt til å komme tilbake til dette og se om det var en historie som trengte å fortelle. Siden den gang har jeg samlet en ganske fil om emnet. Men jeg må tilstå, jeg hadde ikke planer om å skrive en artikkel ennå. Da juledag informerte Google Alerts meg om en Washington Post-artikkel av Robert O'Harrow jr. "Helsesektoren er utsatt for hackere, sier forskere."

I artikkelen siterer O'Harrow Avi Rubin, en datamaskinforsker og direktør for informasjonssikkerhetsinstituttet ved John Hopkins University, for å si:

Jeg har aldri sett en bransje med flere gapende sikkerhetshull. Hvis finansnæringen vår så på sikkerhet slik helsevesenet gjør, ville jeg fylt pengene mine på en madrass.

Det bare skjer

Rett før jul sendte jeg e-post til Denis Foo Kune. Han var min ekspertkilde for å "finne mobiltelefon-eiere på ikke-GPS-måten." Jeg ønsket å gratulere Denis med at han fikk doktorgraden sin, og ba om hans hjelp med denne artikkelen. Det var også da jeg fant ut at Denis nå jobber for professor Kevin Fu. Og...

Dr. Fu er en ledende myndighet innen sårbarheten til medisinsk utstyr og datamaskiner som brukes av helsepersonell. Dr. Fu, medlem av NISTs råd for informasjonssikkerhet og personvern, er sitert i omtrent hvert eneste dokument jeg har samlet om dette problemet.

Jeg lærte også Dr. Fu og hele forskergruppen hans, inkludert Denis, nettopp flyttet til University of Michigan, hvor Dr. Fu har vært med på å lage det første kandidatkurset dedikert til medisinsk utstyr. Selv om all uroen med å flytte, ble Denis og Shane Clark (en av Dr. Fu's PhD-studenter) enige om å svare på noen få spørsmål.

Kassner : Det ser ut til å være tre forskjellige områder som er bekymringsfulle: medisinsk utstyr (implanterbart eller på annen måte), datamaskiner som brukes av helsepersonell og elektroniske systemer for medisinsk journal. Vil du forklare hva bekymringene er for hver enkelt? Foo Kune og Clark : De viktigste problemene slik vi ser det for de tre enhetene du nevnte, er som følger:
  • For enheter som påvirker pasienten direkte (tenk infusjonspumpe eller hjertestarter), er vi bekymret for sikkerhet og sikkerhet.
  • For datamaskiner som brukes av klinikere på sykehus, er noen av de største bekymringene mangelen på oppdateringer og vanlige datasikkerhetstiltak, som lar systemene være sårbare for skadelig programvare fra hagen.
  • For maskiner som håndterer de elektroniske sykejournalene, vil den største bekymringen være personvern.
Kassner : O'Harrow siterte Dr. Rubin i sin artikkel som flat som uttalte at mange av disse problemene ikke lenger eksisterer på andre profesjonelle arenaer - for eksempel finansnæringen. Hvorfor ligger helsevesenet så langt bak? Foo Kune og Clark : Fra vår forståelse sa professor Rubin at andre felt har kommet raskere med tanke på sikkerhet enn helsevesenet. Vi har bare begrenset synlighet i bransjen, og utover misforståelsen om FDA-kravene til oppdateringer (Dr. Fu har et blogginnlegg om dette problemet). Industriprodusenter opplever kanskje liten nytte og muligens alvorlige implikasjoner ved utstedelse av sikkerhetsoppdateringer.

I tillegg ser det ut til å være liten belønning fra markedet for å sikre enheter. En produsent av medisinsk utstyr har faktisk til og med uttalelser som kan motvirke ytterligere sikkerhetstiltak. Se dette blogginnlegget.

Kassner : Da jeg hadde hjerteoperert, bugnet jeg sykepleierne og teknikerne ustanselig og spurte om skjermer og trådløse systemer de brukte. Et viktig poeng jeg oppdaget - utstyr som var direkte involvert i pasientbehandling, ble isolert fra andre sykehusnettverk og Internett.

Ut fra det jeg har lest i flere av forskningsartiklene som er oppført på nettstedet Security and Privacy Research Group, har nyere medisinsk utstyr muligheten til å kommunisere med medisinsk personell direkte eller via en tredjepartsleverandør. Hvilke implikasjoner ser du som følger av den evnen?

Foo Kune og Clark : For det første er ikke-nettverkssystemer ikke nødvendigvis sikre. Ormer som sprer seg via USB-pinner kan lett infisere disse enhetene.

Muligheten for et medisinsk utstyr til å kommunisere direkte med legitime fjernstasjoner, må balanseres med den økte angrepflaten som nettverkstilkoblingen tilbyr. Hvis de er riktig implementert ved bruk av passende sikkerhetstiltak, kan den tilkoblede evnen til enheter gi pasienter store fordeler.

Kassner : Du nevnte FDA - regjeringsorganet som regulerer medisinsk utstyr - i et tidligere svar. Du nevnte også at det var en misforståelse angående FDA-krav angående oppdateringer. Kan du forklare hva du mente? Foo Kune og Clark : FDA gjør klart at oppdateringer er en god ting er veldig nyttig. Vi må bare få ordet ut til flere mennesker. Misforståelsen er at oppdateringer på medisinsk utstyr vil kreve en ny sertifisering. Sannheten er at de fleste oppdateringer vil falle under FDA-gjennomgangsterskelen. Faktisk oppfordrer FDA produsentene til å gi ut regelmessige oppdateringer. Det er en annen sak som kryper inn: mangelen på en effektiv mekanisme for å rapportere sikkerhetshendelser etter markedet. Den nåværende metoden som bruker FDAs MAUDE-database, selv om den er nyttig, er ikke fokusert på sikkerhet.

Den neste versjonsdatabasen fokuserer heller ikke på sikkerhet, noe som gjør det vanskeligere for sikkerhetsforskere å få gode data. En del av grunnen til dette kan være at klinikere ikke er opplært til å gjenkjenne sikkerhetshendelser, og selv om databasen fokuserte på sikkerhet, kan datainnsamlingsprosessen være utfordrende.

Kassner : Jeg begynner akkurat å se kompleksiteten i denne utfordringen. Enheter og datamaskiner redder liv - jeg kjenner nært og personlig - slik at de kan stenges av eller ikke brukes. Hva ser du på som svaret? Foo Kune og Clark : Økt kompleksitet er et problem. Den resulterende forbedrede funksjonaliteten må balanseres med design som tar sikkerhet i betraktning. I dette tilfellet kan du starte sikkerhetsutviklingen så tidlig i designprosessen som mulig - når systemet fremdeles er konseptuelt, mindre sammensatt og lettere å resonnere - kan forbedre sikkerheten til dette systemet. Kassner : Jeg har tro på at dette blir ordnet opp. Men inntil da, lurte jeg på om det er noe vi personlig kan gjøre for å redusere risikoen. Hvis noen i nærheten av deg trengte større operasjoner, hva ville du gjøre for å forsikre deg om at alle mulige forholdsregler ble tatt? Foo Kune og Clark : Akkurat nå er pasienter som trenger terapi fra medisinsk utstyr, mye bedre med dagens enheter enn uten. Når det er sagt, er det fortsatt et stort arbeid med å forbedre sikkerhetsdesignen til medisinsk utstyr.

Siste tanker

Jeg har vært kjent for å fortsette med at sikkerhet er i strid med bekvemmelighet. Jeg må innrømme at jeg har vært overgitt til ikke å utvide den samme bekymringen for at sikkerhet er i strid med kompleksiteten. For alles skyld er det som skjer med medisinsk utstyr, databehandlingsapparater for helsevern og bevegelsen mot "maskin til maskin" -teknologi være en vekker.

Jeg vil rette en spesiell takk til Dr. Fu, Dr. Foo Kune og Mr. Clark for at du hjalp meg med denne artikkelen.

© Copyright 2020 | mobilegn.com