Hakowanie ludzkiego serca
Naukowcy odkryli, że stacjonarny nadajnik wykorzystywany przez pewien typ rozrusznika posiada luki bezpieczeństwa, do których można uzyskać zdalny dostęp. Producent udostępnił nową wersję oprogramowania pozwalającą naprawić usterkę, zaś FDA (Agencja ds. Żywności i Leków) poinformował pacjentów oraz lekarzy o konieczności aktualizacji softwaru.
Komunikacja pomiędzy urządzeniami staje się jednym z najważniejszych trendów w branży ochrony zdrowia. To duże ułatwienie zarówno dla lekarzy, jak i pacjentów. Chory w niektórych przypadkach nie musi odwiedzać gabinetu lekarskiego, bowiem rutynowe czynności mogą być wykonywane zdalnie. Taki sposób komunikacji pozwala zaoszczędzić czas pacjentów i personelu medycznego. Niestety, pojawiają się też zagrożenia, bowiem część systemów nie posiada odpowiednich zabezpieczeń.
Jeden z takich przypadków miał miejsce w sierpniu 2016, kiedy eksperci od bezpieczeństwa wykryli lukę w produkcie St. Jude Medical, wiodącego dostawcy rozruszników serca i defibrylatorów. Co ciekawe, w tym czasie firma była przejmowana przez Abbott Laboratories.
System posiada nadajnik obsługiwany za pośrednictwem strony internetowej i pozwalający zdalnie monitorować stan pracy serca, a także rozrusznika. Urządzenie umożliwia także rekonfigurację zadań. Niemniej należy spełnić jeden warunek - pacjent znajduje się w bliskim sąsiedztwie urządzenia.
Naukowcy zwrócili uwagę na fakt, iż można uzyskać nieautoryzowany dostęp do niektórych indywidualnych punktów danych na nadajniku, a co za tym idzie, również do wszczepionego urządzenia. Istnieje obawa, że nieuprawniony użytkownik może wykorzystać tę lukę, aby ponownie skonfigurować wszczepione urządzenie i np. zakłócić jego pracę.
Wszczepiony defibrylator może być skonfigurowany w ten sposób, że powoduje zbędne wstrząsy i akumulator rozładowuje się szybciej aniżeli podczas pracy w normalnym trybie. W zależności od typu i konfiguracji urządzenia, nieprawidłowe działanie prowadzi do dużego dyskomfortu fizycznego pacjenta. Niespodziewane rozładowania akumulatora może doprowadzić do awarii urządzenia w chwili, kiedy jest ono najbardziej potrzebne.
Chociaż nic nie wiadomo o cyberatakach na tego typu urządzenia, nie ulega wątpliwości, że nie można bagatelizować kwestii bezpieczeństwa IT podczas projektowania systemów medycznych. W ślad za szkodami wizerunkowymi podążą również konkretne straty finansowe. W przypadku, gdy urządzenia wiodącego producenta okażą się podatne na ataki hakerów, wpłynie to z pewnością na wycenę spółki.
Wymieniony przypadek nie jest odosobniony. W 2015 roku niemiecki naukowiec wyłączał zdalnie funkcję wentylacji w urządzeniu do znieczulania, za pomocą połączenia internetowego. Później zauważył, że część sprzętu bazuje na standardach bezpieczeństwa z 1990 roku. Luki bezpieczeństwa w sprzęcie medycznym budzą poważny niepokój. Wszak łatwo wyobrazić sobie sytuację, że do sterowanej zdalnie pompy insulinowej ktoś wstrzykuje śmiertelną dawkę insuliny. To samo dotyczy pomp z lekarstwami, znajdującymi powszechne zastosowanie w szpitalach.
Specjaliści od bezpieczeństwa biją na alarm. Każdy element nowoczesnego, sieciowego sprzętu medycznego, który jest wprowadzany obecnie na rynek, może być opóźniony nawet o kilka lat pod względem stosowanych zabezpieczeń.
Sprzęt oraz oprogramowanie wykorzystywane w medycynie zanim trafi do sprzedaży powinno przejść rygorystyczne testy, a następnie otrzymać odpowiednie certyfikaty. Nikt nie ma wątpliwości, że kryteria stosowane wobec urządzeń medycznych muszą być ostre, ponieważ w grę wchodzi życie pacjenta. Proces certyfikacji może trwać bardzo długo i być kosztowny dla producenta. Sprzęt medyczny oraz oprogramowanie mają ograniczone możliwości w zakresie aktualizacji. W praktyce wszelkiego rodzaju poprawki są bardzo rzadkie lub nie występują w ogóle. Kwestie bezpieczeństwa nie można ograniczać wyłącznie do samych urządzeń. Dlaczego? Istnieje wiele przypadków, kiedy sprzęt bezpośrednio łączy się z różnego rodzaju platformami online. Niewykluczone, że są one kontrolowane przez cyberprzestępców.
Niezależnie od tego czy mamy do czynienia z zabawką czy sprzętem podtrzymującym życie, należy dokonać starannej oceny ryzyka związanego z połączeniem internetowym.
Tempo, w jakim rozwija się bezpieczeństwo IT jest zawrotne, dlatego długie postępowanie nie ma racji bytu. Zasadnicze zagadnienia związane z bezpieczeństwem pacjenta, powinno się realizować równolegle z rozwojem i tworzeniem produktu.
Sprawa ma jeszcze jeden istotny aspekt, który w nieodległej przyszłości może odgrywać coraz większą rolę. Firma MedSec, specjalizująca się w analizie urządzeń medycznych pod kątem bezpieczeństwa, a także fundusz Muddy Waters Capital opublikowały raport, w którym poinformowały o podatności urządzeń St Jude Medical na cyberataki. Jak wspomnieliśmy wcześniej firma St Jude Medical była w tym czasie przejmowana przez inny podmiot, a jej wartość wyceniono na 25 mld dol. Raport miał rzekomo obniżyć cenę akcji St Jude Medical. Producent skierował pozew do sądu przeciwko MedSec i Muddy Waters Capital. Postępowanie sądowe jest w toku.
Brak odpowiednich zabezpieczeń w systemach medycznych sprawia, że do akcji wkraczają nowi gracze, pochodzący ze świata finansów i obrotu papierami wartościowymi. W przyszłości mogą mieć miejsce podobne zdarzenia. Z jednej strony ma to swoje plusy, ponieważ potencjalne kosztowne postępowanie sądowe zachęca producentów, aby poprawić bezpieczeństwo. Ale z drugiej strony, pojawia się poważny dylemat etyczny, bowiem w grę wchodzą urządzenia decydujące o ludzkim życiu.
Nagrody zachęcają ekspertów od bezpieczeństwa do bardziej skrupulatnego wyszukiwania i ujawniania luk występujących w zabezpieczeniach. Jeśli strategia MedSec oraz Muddy Waters Capital przyniesie profity, może mieć istotny wpływ na na sposób badań nad bezpieczeństwem urządzeń medycznych.