האינטרנט של הדברים (רפואיים): סכנות, סיכונים ובעיות אבטחה

פרסומת

אולי שמעת את המשפט "הבריאות שלך היא העושר שלך". זו אחת הסיבות שארה"ב הוציאה יותר מ-3.2 טריליון דולר על שירותי בריאות ב-2015 בלבד.

עם כל כך הרבה כסף שמסתובב, זה רק טבעי שהרבה עסקים נכנסו לשוק הבריאות - כולל חברות טכנולוגיה.

הטכנולוגיה הרפואית מרגישה לפעמים מיושנת, אבל חברות מתכוונות לגרור את המכשירים האלה למאה ה-21. ולמרות שקישוריות לאינטרנט עשויה להיראות כמו תכונה מצוינת שיש, יש כמה סכנות ובעיות אמיתיות שיכולות להפתיע אותך.

מהם מכשירים רפואיים?

ארגון הבריאות העולמי (WHO) מגדיר מכשיר רפואי כ"כל מכשיר, מכשיר, כלי, מכונה, מכשיר, שתל, מגיב עבור שימוש במבחנה, תוכנה, חומר […] המיועד על ידי היצרן לשימוש […] עבור בני אדם, עבור אחד או יותר […] מַטָרָה".

למרות שזה נשמע די מסובך, זה רק אומר כל מכשיר או תוכנה שעשוי לשמש למטרות רפואיות.

מינהל המזון והתרופות האמריקאי (FDA) אחראי על הפיקוח הרגולטורי על מכשירים רפואיים ומחלק אותם לשלוש קטגוריות: Class I, Class II ו- Class III. מכשירי Class 1 מווסתים קלות, כאשר רוב הפקדים ממוקמים רק על אופן הייצור והשיווק שלהם. Class II מוסיף רגולציה ספציפית יותר, ו-Class III שמור למכשירים התומכים או מקיימים חיי אדם.

עם זאת, כפי שאופייני ברחבי העולם, ה-FDA נאבק לעמוד בקצב החדשנות. יש מעט התייחסויות לאופן שבו יש להסדיר מכשירים מודרניים המחוברים לאינטרנט.

אילו צעדים צריכים היצרנים לנקוט כדי להבטיח את האבטחה של מכשירים כאלה? בדצמבר 2016, ה-FDA אכן פרסם הנחיות בנושא אבטחת מכשור רפואי, אבל הם אינם ניתנים לאכיפה משפטית. זה הותיר את היצרנים להחליט אם לפעול לפי העצה או לא.

האינטרנט של הדברים (הרפואיים).

זה מציב מכשירים רפואיים המחוברים לאינטרנט באותה סירה כמו אלה שבקטגוריית האינטרנט של הדברים (IoT) הרחבה יותר. יש הרבה יתרונות למכשירי IoT רפואיים 5 דרכים שהאינטרנט של הדברים מחולל מהפכה בתחום הבריאותהנה כמה מהדרכים המגניבות (והחשובות ביותר) שבהן טכנולוגיה מחוברת מחוללת מהפכה בעולם הרפואה. קרא עוד , אבל היעדר רגולציה הניתנת לאכיפה פירושו שיצרנים לא צפויים להשקיע משאבים רבים באבטחתם.

זה רק אחד מה סיבות רבות לכך שהאינטרנט של הדברים הוא סיוט אבטחה מדוע האינטרנט של הדברים הוא סיוט האבטחה הגדול ביותריום אחד, אתה מגיע הביתה מהעבודה כדי לגלות שמערכת האבטחה הביתית התומכת בענן נפרצה. איך זה יכל לקרות? עם האינטרנט של הדברים (IoT), אתה יכול לגלות בדרך הקשה. קרא עוד . בנוסף, אנו ממש מעבירים את חיינו בידי מכשירי IoT רפואיים. ככזה, ההימור גבוה אפילו יותר מאשר במכשירי IoT רגילים.

שירותי בריאות הם עסק יקר, לא רק עבור המטופלים, אלא עבור הספקים עצמם. חברות גובות סכומי כסף עצומים עבור מכשירים חדשים ותמיכה טכנית. המשמעות היא שבתי חולים ושיטות רפואיות אחרות הם ערבוביה של כלים - חלקם חדשים, חלקם ישנים עם מגוון דרישות תפעול שונות. חומרה ישנה, ​​תוכנה מדור קודם וממשקים קנייניים כולם יחד הופכים את אבטחת המערכת כסיוט לסיוט עבור מחלקת ה-IT של הספק.

דוגמה: האזנת סתר למשאבה רפואית

הממשק בין תוכנה לחומרה חושף לעתים קרובות נקודות תורפה שניתנות לניצול, כמו Saurabh Harit הופיע ב-Black Hat Europe 2017. הוא השיג משאבת עירוי IV, אשר מזריקה תרופות לדם של המטופל, שניתן לתכנת ולהפעיל מרחוק.

לאחר גישה למצב הניהול של המשאבה עם סיסמת ברירת מחדל שנמצאה באינטרנט, הוא הצליח להשתמש בזו של היחידה אינפרא אדום ומחשב כף יד ישן שנרכש מ-eBay כדי לייבא את אישורי ה-Wi-Fi שלהם לרשת המשאבה הגדרות.

שימוש ב-Wireshark (אחד מכלי אבטחת רשת בקוד פתוח רבים כיצד לבדוק את אבטחת הרשת הביתית שלך עם כלי פריצה בחינםאף מערכת לא יכולה להיות "מוגנת פריצה" לחלוטין, אבל מבחני אבטחה של דפדפן ואמצעי הגנה ברשת יכולים להפוך את ההגדרה שלך לחזקה יותר. השתמש בכלים החינמיים האלה כדי לזהות "נקודות תורפה" ברשת הביתית שלך. קרא עוד ) כדי לבדוק את החבילות, הריט צפה בנתוני מטופל כמו מינון תרופות, מטפל, שם, מיקום ומסלול. למרבה הפלא הוא אפילו הצליח לגשת לרשימת התרופות הראשית שקובעת ושומרת על המינון שנקבע.

רשימת הדוגמאות נמשכת...

אם נקודות תורפה כאלה היו מוגבלות למשאבה האחת הזו, זה היה מספיק מזעזע, אבל חוקרים חושפים באופן קבוע פגיעות חדשות. צוות אחד הצליח לקבל גישה לסורק CT, מכשיר שנותן לך מנה קטנה של קרינה כדי ליצור מודלים תלת מימדיים של הגוף שלך.

באוגוסט 2017, ה ה-FDA החזיר 465,000 קוצבי לב שנעשה על ידי אבוט בגלל חששות פריצה. במקום לאלץ כמעט חצי מיליון אנשים לעבור ניתוח פולשני, אבוט הוציא תיקון קושחה, שהצוות הרפואי הצליח להדביק לקוצב הלב.

עוד בשנת 2014, החלה המחלקה לביטחון פנים (DHS). חוקר 24 מכשירים עקב חשד לליקויים קריטיים. המכשירים כללו משאבת עירוי מבית Hospira Inc ומכשירי לב מושתלים מבית מדטרוניק וסנט ג'וד מדיקל.

מכשירים רפואיים מדור קודם ואבטחה לקויה

אם אי פעם עבדת במשרד, תדע שעסקים רבים מסתמכים על תוכנות מדור קודם. זה תמיד מצריך מערכות הפעלה ישנות יותר, מנהלי התקנים וציוד היקפי, מה שהופך אותם מאוד לא בטוחים. העלות היא בדרך כלל גורם מכריע אם לעדכן, ורבים מחליטים שהם לא יכולים להצדיק את ההוצאה. אם זה לא שבור, אל תתקן את זה, נכון?

עסקים נאבקים לעתים קרובות לתעדף אבטחת סייבר, עם גישה רווחת שאם התקפה עדיין לא התרחשה, אז היא לא יקרה. לרוע המזל, גם ספקי שירותי בריאות אינם חסינים לקו החשיבה הזה. במאי 2017 מתקפת תוכנת כופר, המכונה WannaCry מתקפת הכופר העולמית וכיצד להגן על הנתונים שלךמתקפת סייבר מסיבית פגעה במחשבים ברחבי העולם. האם הושפעת מתוכנת הכופר הארסית ביותר המשכפלת את עצמה? אם לא, כיצד תוכל להגן על הנתונים שלך מבלי לשלם את הכופר? קרא עוד , הדביקו כמעט בו זמנית 300,000 מחשבים, רבים מהם שייכים לשירות הבריאות הלאומי של בריטניה (NHS).

תוכנת הכופר השפיעה על למעלה מ-40 נאמנויות של NHS ברחבי הארץ, צמצמה את הטיפול בחולים, סגרה ניתוחים ואפילו סגירת בתי חולים. השפעות המתקפה מסכנות את המטופלים ועשויות לערער גם את אבטחת הנתונים שלהם. למרבה הצער, מיקרוסופט פרסמה תיקון חודש לפני המתקפה, שהיה מונע מ-WannaCry להשתלט. לא רק שהעדכון לא הושק, אלא שכפי שהתברר במחשבים רבים עדיין פועל Windows XP.

זה למרות שהתמיכה המורחבת במערכת ההפעלה בת ה-15 הסתיימה שנתיים לפני הפיגוע.

העתיד של מכשור רפואי מפחיד אותי

הטכנולוגיה ממשיכה לספק התקדמות משמעותית בטיפול הרפואי 8 פריצות דרך של טכנולוגיה רפואית שאולי תצטרך יום אחדתאמינו או לא, מהירות ההתקדמות הטכנולוגית עדיין עולה - והרבה פריצות דרך מתרחשות בתחום הרפואי. בדוק את הדברים החדשים והמדהימים האלה! קרא עוד , אבל זה לא החסד המציל של המגזר הרפואי כפי שגילה ה-NHS של בריטניה. לדברי שר הבריאות של הממשלה, ג'רמי האנט, ייתכן שמתו עד 270 נשים לאחר ש"שגיאת אלגוריתם מחשב" לא הצליחה להזמין 450,000 נשים לבדיקת סרטן שד קבועה.

בניגוד לתחומים רבים אחרים המושפעים מהתקדמות הטכנולוגיה, מכשור רפואי יכול להיות עניין של חיים או מוות. מכיוון שחוק מור מאפשר למכשירים נוספים להיכנס לרשת בשנים הקרובות, היצרנים חייבים לתת עדיפות לאבטחה. אחרי הכל, זה לא טוב לעצב "פיצ'ר רוצח" אם זה יתברר כתיאור מדויק להחריד.