Internet av (medicinska) saker: faror, risker och säkerhetsproblem

Annons

Du kanske har hört frasen "din hälsa är din rikedom." Det är en av anledningarna till att USA spenderade över 3,2 biljoner dollar på sjukvård bara under 2015.

Med så mycket pengar som flyter runt är det bara naturligt att många företag har tagit sig in på sjukvårdsmarknaden – inklusive teknikföretag.

Medicinsk teknik känns ibland föråldrad, men företag är inställda på att dra in dessa enheter till 2000-talet. Och även om internetanslutning kan verka som en fantastisk funktion att ha, finns det några verkliga faror och problem som kan överraska dig.

Vad är medicinsk utrustning?

Världshälsoorganisationen (WHO) definierar en medicinteknisk produkt som "varje instrument, apparat, redskap, maskin, apparat, implantat, reagens för in vitro-användning, programvara, material […] avsett av tillverkaren att användas […] för människor, för en eller flera […] specifik medicinsk ändamål".

Även om det låter ganska komplicerat, betyder det bara vilken enhet eller programvara som helst som kan användas för medicinska ändamål.

US Food & Drug Administration (FDA) ansvarar för tillsynen över medicinsk utrustning och delar upp dem i tre kategorier: Klass I, Klass II och Klass III. Klass 1-enheter är lätt reglerade, med de flesta kontrollerna endast placerade på hur de tillverkas och marknadsförs. Klass II lägger till mer specifik reglering, och klass III är reserverad för enheter som stöder eller upprätthåller människoliv.

Men som är typiskt runt om i världen har FDA kämpat för att hänga med i innovationstakten. Det finns få referenser till hur moderna, internetanslutna enheter ska regleras.

Vilka åtgärder bör tillverkarna vidta för att säkerställa säkerheten för sådana enheter? I december 2016 släppte FDA vägledning om säkerhet för medicinsk utrustning, men de är inte juridiskt verkställbara. Detta lämnade tillverkarna att bestämma om de skulle följa rådet eller inte.

Internet of (medicinska) saker

Detta sätter internetanslutna medicinska apparater i samma båt som de i den bredare kategorin Internet of Things (IoT). Det är många fördelar med IoT medicinsk utrustning 5 sätt att sakernas internet revolutionerar sjukvårdenHär är några av de coolaste (och viktigaste) sätten som uppkopplad teknik revolutionerar den medicinska världen. Läs mer , men bristen på verkställbar reglering innebär att tillverkare sannolikt inte kommer att lägga många resurser på att säkra dem.

Det är bara en av de många anledningar till varför Internet of Things är en säkerhetsmardröm Varför Internet of Things är den största säkerhetsmardrömmenEn dag kommer du hem från jobbet för att upptäcka att ditt molnaktiverade hemsäkerhetssystem har brutits. Hur kunde detta hända? Med Internet of Things (IoT) kan du ta reda på den hårda vägen. Läs mer . Dessutom lägger vi bokstavligen våra liv i händerna på medicinska IoT-enheter. Som sådan är insatserna ännu högre än med vanliga IoT-enheter.

Sjukvården är en dyr verksamhet, inte bara för patienterna, utan för leverantörerna själva. Företag tar ut enorma summor pengar för nya enheter och teknisk support. Detta innebär att sjukhus och andra medicinska metoder är ett virrvarr av verktyg – vissa nya, andra gamla med en rad olika driftskrav. Gammal hårdvara, äldre mjukvara och proprietära gränssnitt kombineras för att göra korrekt säkrande av systemet till en mardröm för leverantörens IT-avdelning.

Exempel: Avlyssning av en medicinsk pump

Gränssnittet mellan mjukvara och hårdvara avslöjar ofta exploateringsbara sårbarheter, som Saurabh Harit visade på Black Hat Europe 2017. Han skaffade en IV-infusionspump, som injicerar mediciner i en patients blod, som kan programmeras och fjärrstyras.

Efter att ha kommit åt pumpens administratörsläge med ett standardlösenord som hittats online kunde han använda enhetens infraröd och en gammal handdator köpt från eBay för att importera sina Wi-Fi-uppgifter till pumpens nätverk inställningar.

Använda Wireshark (ett av många nätverkssäkerhetsverktyg med öppen källkod Hur du testar ditt hemnätverkssäkerhet med gratis hackverktygInget system kan vara helt "hacksäkert" men webbläsarsäkerhetstester och nätverksskydd kan göra din installation mer robust. Använd dessa kostnadsfria verktyg för att identifiera "svaga punkter" i ditt hemnätverk. Läs mer ) för att inspektera paketen tittade Harit på patientdata som läkemedelsdos, vårdgivare, namn, plats och väg. Otroligt nog kunde han till och med komma åt Master Drugs List som anger och upprätthåller den föreskrivna dosen.

Listan över exempel fortsätter...

Om sådana sårbarheter var begränsade till denna ena pump skulle det vara chockerande nog, men forskare upptäcker regelbundet nya. Ett lag kunde få tillgång till en CT-skanner, en enhet som ger dig en liten dos strålning för att skapa 3D-modeller av din kropp.

I augusti 2017 FDA återkallade 465 000 pacemakers gjort av Abbott på grund av oro för hackning. Istället för att tvinga nästan en halv miljon människor att genomgå invasiv kirurgi, utfärdade Abbott en firmware-plåster, som medicinsk personal kunde applicera på pacemakern.

Redan 2014 började Department for Homeland Security (DHS). undersöker 24 enheter över misstänkta kritiska brister. Enheter inkluderade en infusionspump från Hospira Inc och implanterbara hjärtenheter från Medtronic och St Jude Medical.

Äldre medicinsk utrustning och dålig säkerhet

Om du någonsin har arbetat på ett kontor, vet du att många företag förlitar sig på äldre mjukvara. Detta kräver alltid äldre operativsystem, drivrutiner och kringutrustning, vilket gör dem mycket osäkra. Kostnaden är vanligtvis en avgörande faktor för att uppdatera, och många bestämmer sig för att de inte kan motivera kostnaden. Om det inte är trasigt, fixa det inte, eller hur?

Företag kämpar ofta för att prioritera cybersäkerhet, med en rådande attityd att om en attack inte har hänt än så kommer den inte att göra det. Tyvärr är vårdgivare inte heller immuna mot denna tankegång. I maj 2017 en ransomware-attack, döpt till WannaCry Den globala ransomware-attacken och hur du skyddar dina dataEn massiv cyberattack har drabbat datorer runt om i världen. Har du drabbats av den mycket virulenta självreplikerande ransomwaren? Om inte, hur kan du skydda din data utan att betala lösensumman? Läs mer , nästan samtidigt infekterade 300 000 datorer, många tillhörande Storbritanniens National Health Service (NHS).

Ransomwaren påverkade över 40 NHS Trusts runt om i landet, vilket minskade patientvården, stängde operationer och till och med stängde sjukhus. Effekterna av attacken utsätter patienter för risker och potentiellt undergrävde säkerheten för deras data också. Tyvärr släppte Microsoft en patch en månad före attacken, som skulle ha hindrat WannaCry från att få fäste. Inte nog med att uppdateringen inte rullades ut, utan som det visade sig körde många datorer fortfarande Windows XP.

Detta är trots att utökat stöd för det 15 år gamla operativsystemet upphört två år före attacken.

Framtiden för medicinsk utrustning gör mig rädd

Tekniken fortsätter att ger betydande framsteg inom medicinsk behandling 8 medicinska tekniska genombrott som du kan behöva en dagTro det eller ej, hastigheten på tekniska framsteg ökar fortfarande - och många genombrott sker inom det medicinska området. Kolla in dessa fantastiska nya saker! Läs mer , men det är inte den medicinska sektorns räddning som Storbritanniens NHS upptäckte. Enligt regeringens hälsominister Jeremy Hunt, upp till 270 kvinnor kan ha dött efter ett "datoralgoritmfel" misslyckades med att bjuda in 450 000 kvinnor till regelbunden bröstcancerscreening.

Till skillnad från många andra områden som påverkas av teknikens framsteg kan medicinsk utrustning vara en fråga om liv eller död. Eftersom Moores lag gör det möjligt för fler enheter att komma online under de kommande åren, måste tillverkare prioritera säkerhet. När allt kommer omkring är det inte bra att designa en "killer-funktion" om det visar sig vara en förödande korrekt beskrivning.