Cyberprzestępcy mogą zagrozić zdrowiu pacjentów

Marcin Ludwiszewski,

W związku z działaniem szpitali w trybie ciągłym (24/7) i dużą zależnością od informacji zgromadzonych w ich systemach, znajdują się one coraz częściej na celowniku cyberprzestępców.

W 2014 roku szpital w Bostonie stał się ofiarą m.in. cyberataku, który doprowadził do obciążenia zasobów, uniemożliwiając dostęp do usług (DDOS). Zakłóciło to działanie sieci komputerowej szpitala na kilka dni, powodując straty finansowe.

Słynny jest także przypadek Hollywood Presby-terian Medical Center, który w lutym 2016 roku zapłacił 17 tysięcy dolarów okupu za odszyfrowanie swoich plików w wyniku ataku z użyciem złośliwego oprogramowania, tzw. ransomware (szyfrującego zasoby informacyjne organizacji, uniemożliwiając dostęp do nich). 

Utrata dostępu do danych

Tego typu ataki najczęściej paraliżują funkcjonowanie szpitala lub innej placówki świadczącej usługi medyczne, ponieważ traci ona dostęp do danych pacjentów oraz wyników ich badań. Dodatkowo personel szpitali najczęściej nigdy nie odbywa szkoleń związanych z bezpieczeństwem informacji, stając się przez to potencjalnie łatwym celem dla przestępców. Co gorsza, niedawno miał miejsce przypadek, w którym szpital po zapłaceniu okupu nie odzyskał danych, a jedynie otrzymał żądanie wpłacenia kolejnej kwoty.  

To, o czym należy pamiętać, to fakt, że zagrożona jest nie tylko infrastruktura szpitalna i przechowywane dane, ale również, w bezpośredni sposób, pacjenci. Praktycznie przy każdej wizycie diagnostycznej w szpitalu korzystamy z różnego typu urządzeń medycznych. Ich dostępność i właściwe funkcjonowanie może mieć wpływ na ludzkie życie. 

Przejęcie kontroli 
nad urządzeniami medycznymi

W ostatnich latach na konferencjach poświęconych sprawom bezpieczeństwa mogliśmy oglądać podatność pomp infuzyjnych, skanerów EEG oraz innych urządzeń na cyberataki. Wynika to z tego, że wiele urządzeń medycznych dysponuje możliwością podłączenia do sieci, co ułatwia zarządzenie nimi, monitorowanie ich działania, odbieranie danych i pozwala sterować parametrami pracy. Jednak poziom bezpieczeństwa wdrożonych rozwiązań jest często niewystarczający. Komputery korzystają ze starych, niewspieranych już przez producentów systemów, a urządzenia takie, jak pompy infuzyjne czy tomografy nie posiadają żadnych zabezpieczeń, umożliwiając intruzom przejęcie kontroli nad nimi. 

Już w 2013 roku wiceprezydent USA Dick Cheney przyznał, że jego rozrusznik serca został pozbawiony funkcji sieciowych z uwagi na zagrożenie atakiem. W 2011 roku jednym z pierwszych zaprezentowanych (w ramach pokazu) ataków było zmuszenie pompy insulinowej do podania zabójczej dawki insuliny pacjentowi. Skutecznie zaatakowane mogły być pompy infuzyjne jednej z firm, używane również w Polsce. 

Badanie przeprowadzone w 2013 roku wykryło 300 urządzeń 40 różnych dostawców, które miały na stałe zapisane w kodzie loginy i hasła dostępu. Podatne urządzenia medyczne można znaleźć nawet w popularnej wyszukiwarce urządzeń podłączonych do Internetu — Shodan.

Dodatkowym czynnikiem ryzyka jest brak możliwości modyfikacji konfiguracji urządzeń nawet w wypadku wykrycia problemów — jedynie producent może wprowadzać zmiany konfiguracyjne.

Nieszyfrowane = łatwo dostępne

W 2016 roku Deloitte przeprowadził badanie 24 szpitali w 9 krajach pod kątem bezpieczeństwa urządzeń medycznych podłączonych do sieci. Wynika z niego, że więcej niż połowa badanych szpitali posiadała urządzenia medyczne podłączone do sieci, które korzystają z zaszytych w nich na stałe haseł fabrycznych. Jednocześnie większość z ankietowanych przyznała, że korzysta z urządzeń, które nie szyfrują komunikacji sieciowej. 

Kiedy hasła nie są zmieniane (a z reguły tzw. hasła standardowe są powszechnie znane), to włamując się do sieci relatywnie łatwo jest uzyskać nieautoryzowany dostęp do urządzenia i tym samym naruszyć prywatność pacjentów (np. uzyskując dostęp do danych diagnostycznych, zdjęć itp.). Nieszyfrowana komunikacja umożliwia nieautoryzowany dostęp do danych pacjentów w sieci lub nieautoryzowaną manipulację danymi (np. wynikami diagnostyki), co może narazić zdrowie pacjentów. 

Większość ankietowanych nie analizowała, czy incydenty, których doświadczyli w przeszłości, mogłyby mieć wpływ na zdrowie pacjentów, ale w toku zwiększających się ataków warto takie działania prowadzić. Ważne jest również, że urządzenia medyczne, tak jak inne systemy komputerowe, posiadają podatności, które nie muszą być znane w momencie ich produkcji, a które w późniejszym etapie ich użytkowania mogą być wykorzystane do przeprowadzenia ataku. Większość badanych przyznała, że nie monitoruje na bieżąco informacji o podatnościach urządzeń.

Dodatkowo niemal połowa badanych stwierdziła, że nowe urządzenia nie są oceniane pod kątem wymagań ochrony prywatności, wynikających z nowych przepisów unijnych w tym zakresie — General Data Protection Regulation (GDPR), które muszą być zaimplementowane przez państwa członkowskie do 2018 roku. Inne obserwacje wynikające z ankiety dotyczą kwestii posiadania dedykowanej polityki obronności, która regulowałaby podejście nie tylko do bezpieczeństwa sieci, ale również do urządzeń medycznych i samych dostawców. Większość ankietowanych nie posiadała takich polityk.

Diagnostyka skażona błędem systemowym?

Warto zauważyć, że powszechne stosowanie komputerów w procesie diagnostycznym znacznie upraszcza zadania obliczeniowe, lecz obarczone jest ryzykiem systemowej pomyłki. W Wielkiej Brytanii weryfikowane będą wyniki badania schorzeń serca u 260 tysięcy pacjentów w związku z odkryciem, że implementacja algorytmu obliczającego ryzyko zachorowania obarczona była poważnym błędem.

W związku z rosnącym poziomem informatyzacji, sektor usług medycznych narażony jest na nowe kategorie zagrożeń, których nie doświadczał jeszcze 15 lat temu. Wiążą się z nimi zarówno zagrożenia typowe dla każdego sektora korzystającego z usług IT, jak i zagrożenia stworzone przez cyberprzestępców specjalnie dla sektora usług medycznych. 

Potrzebne strategie obronności

Dwa podstawowe obszary ryzyka to dane pacjentów przechowywane w systemach informatycznych oraz urządzenia medyczne podłączone do sieci komputerowych. Pomimo rosnącej świadomości i prowadzonych działań w obszarze bezpieczeństwa, podmioty świadczące usługi medyczne na pewno powinny zwrócić jeszcze większą uwagę na aspekty obronności. Wymóg ten wynika również z nowych regulacji prawnych UE w tym zakresie (GDPR).

 

Dobre praktyki 

Mądrzy przed szkodą

Badania przeprowadzone w placówkach medycznych wykazały, iż w części z nich były podejmowane działania w zakresie bezpieczeństwa używania IT. Oto one:

Bezpieczeństwo

ochrona prywatności wpisana w strategię biznesową firmy i jednocześnie strategię bezpieczeństwa oraz rozwoju technologii;

w aspekcie technicznym segmentacja sieci, Network Access Controls (NAC) oraz inne oprogramowanie antywirusowe, oprogramowanie do wykrywania i detekcji intruzów;

kompetentny personel do wsparcia operacyjnego tematyki bezpieczeństwa;

współpraca w ramach sektora i dzielenie się doświadczeniami. 

Czujność

budowanie świadomości osób decyzyjnych i personelu na temat zagrożeń;

zarządzanie ryzykiem dostawców w odniesieniu do urządzeń medycznych oraz wykorzystywanych systemów;

ciągłe zbieranie informacji o zagrożeniach i dokonywanie oceny ryzyka dla organizacji. 

Odporność

monitorowanie działań w sieci wspierane przez zespoły realizujące zadania Security Operations Center (SOC) oraz przez systemy typu Security Information and Event Management (SIEM);

monitorowanie anomalii w sieciach i urządzeniach oraz zapewnienie połączenia z procesem odpowiedzi na incydenty;

uwzględnienie scenariusza kompromitacji urządzeń oraz sieci w scenariuszach i symulacjach kryzysowych.

Ryzyko 

Użytkownicy IT pod ostrzałem

Trudno znaleźć sektor gospodarki, który nie jest obecnie celem cyberataków. Sektor usług medycznych także nie jest wolny od ryzyk dotykających wszystkich branż korzystających z technologii informacyjnej. Najczęściej spotykane problemy to:

ataki na rachunki bankowe za pośrednictwem złośliwego oprogramowania;

ataki na procedury akceptacji wydatków przez podszywanie się pod kierownictwo organizacji;

ataki ransomware na pojedyncze stacje robocze;

awarie sprzętowe prowadzące do utraty danych.

 

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Wszelkie prawa w tym Autora, Wydawcy i Producenta bazy danych zastrzeżone. Jakiekolwiek dalsze rozpowszechnianie artykułów zabronione.

Komentarze

Polecamy

Newsletter

Zapisz się do bezpłatnego newslettera Pulsu Medycyny.
Podaj swój email.


Blogi »

Lew Starowicz

Lew Starowicz

Co pana podnieca?

Kalendarium

« » maj 2017
PnWtŚrCzPtSbN
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 1 2 3 4
Studenci Medycyny i Farmacji