Het internet der (medische) dingen: gevaren, risico's en beveiligingsproblemen

Advertentie

Je hebt misschien de uitdrukking "je gezondheid is je rijkdom" gehoord. Het is een van de redenen waarom de VS alleen al in 2015 meer dan $ 3,2 biljoen aan gezondheidszorg heeft uitgegeven.

Met zoveel geld dat rondzweeft, is het niet meer dan normaal dat veel bedrijven de zorgmarkt hebben betreden, inclusief technologiebedrijven.

Medische technologie voelt soms gedateerd aan, maar bedrijven zijn van plan om die apparaten de 21e eeuw in te slepen. En hoewel internetconnectiviteit misschien een geweldige functie lijkt, zijn er enkele echte gevaren en problemen die u kunnen verrassen.

Wat zijn medische hulpmiddelen?

De Wereldgezondheidsorganisatie (WHO) definieert een medisch hulpmiddel als "elk instrument, apparaat, werktuig, machine, apparaat, implantaat, reagens voor in vitro gebruik, software, materiaal […] bedoeld door de fabrikant om te worden gebruikt […] voor mensen, voor een of meer […] specifieke medische doel".

Hoewel dat behoorlijk ingewikkeld klinkt, betekent het gewoon elk apparaat of elke software die voor medische doeleinden kan worden gebruikt.

De Amerikaanse Food & Drug Administration (FDA) is verantwoordelijk voor regelgevend toezicht op medische hulpmiddelen en verdeelt deze in drie categorieën: Klasse I, Klasse II en Klasse III. Klasse 1-apparaten zijn licht gereguleerd, met de meeste controles alleen op hoe ze worden vervaardigd en op de markt gebracht. Klasse II voegt meer specifieke regelgeving toe en Klasse III is gereserveerd voor apparaten die het menselijk leven ondersteunen of ondersteunen.

Zoals echter overal ter wereld gebruikelijk is, heeft de FDA moeite om het innovatietempo bij te houden. Er zijn weinig verwijzingen naar hoe moderne, op internet aangesloten apparaten moeten worden gereguleerd.

Welke stappen moeten fabrikanten nemen om de beveiliging van dergelijke apparaten te waarborgen? In december 2016 heeft de FDA richtlijnen vrijgegeven over: beveiliging van medische apparatuur, maar ze zijn niet wettelijk afdwingbaar. Dit liet fabrikanten over om te beslissen of ze het advies opvolgden of niet.

Het internet der (medische) dingen

Dit plaatst op internet aangesloten medische apparaten in hetzelfde schuitje als die in de bredere categorie Internet of Things (IoT). Er zijn veel voordelen voor medische IoT-apparaten 5 manieren waarop het internet der dingen een revolutie teweegbrengt in de gezondheidszorgHier zijn enkele van de coolste (en belangrijkste) manieren waarop verbonden technologie een revolutie teweegbrengt in de medische wereld. Lees verder , maar het gebrek aan afdwingbare regelgeving betekent dat fabrikanten waarschijnlijk niet veel middelen zullen steken in het beveiligen ervan.

Dat is slechts een van de veel redenen waarom het internet der dingen een beveiligingsnachtmerrie is Waarom het internet der dingen de grootste beveiligingsnachtmerrie isOp een dag komt u thuis van uw werk en ontdekt u dat uw cloud-enabled beveiligingssysteem voor thuis is gehackt. Hoe kon dit gebeuren? Met Internet of Things (IoT) kom je er op de harde manier achter. Lees verder . Bovendien leggen we ons leven letterlijk in de handen van medische IoT-apparaten. Als zodanig is de inzet zelfs hoger dan bij reguliere IoT-apparaten.

Gezondheidszorg is een dure aangelegenheid, niet alleen voor patiënten, maar ook voor de zorgverleners zelf. Bedrijven vragen enorme sommen geld voor nieuwe apparaten en technische ondersteuning. Dit betekent dat ziekenhuizen en andere medische praktijken een wirwar van hulpmiddelen zijn - sommige nieuw, sommige oud met een reeks verschillende operationele vereisten. Oude hardware, legacy software en propriëtaire interfaces komen allemaal samen om het correct beveiligen van het systeem een ​​nachtmerrie te maken voor de IT-afdeling van de provider.

Voorbeeld: afluisteren van een medische pomp

De interface tussen software en hardware legt vaak misbruikbare kwetsbaarheden bloot, zoals: Saurabh Harit toonde op Black Hat Europe 2017. Hij kreeg een IV-infuuspomp, die medicijnen in het bloed van een patiënt injecteert, die op afstand kon worden geprogrammeerd en bediend.

Nadat hij toegang had gekregen tot de beheerdersmodus van de pomp met een online gevonden standaardwachtwoord, kon hij de infrarood en een oude PDA gekocht van eBay om hun Wi-Fi-inloggegevens te importeren in het netwerk van de pomp instellingen.

Wireshark gebruiken (een van de vele open source netwerkbeveiligingstools Hoe u de beveiliging van uw thuisnetwerk kunt testen met gratis hacktoolsGeen enkel systeem kan volledig "hackproof" zijn, maar browserbeveiligingstests en netwerkbeveiligingen kunnen uw installatie robuuster maken. Gebruik deze gratis tools om "zwakke plekken" in uw thuisnetwerk te identificeren. Lees verder ) om de pakketten te inspecteren, bekeek Harit patiëntgegevens zoals medicatiedosis, zorgverlener, naam, locatie en route. Verbazingwekkend genoeg was hij zelfs in staat om toegang te krijgen tot de Master Drugs List die de voorgeschreven dosering vaststelt en handhaaft.

De lijst met voorbeelden gaat maar door...

Als dergelijke kwetsbaarheden beperkt zouden blijven tot deze ene pomp, zou het schokkend genoeg zijn, maar onderzoekers ontdekken regelmatig nieuwe. Een team was in staat om toegang krijgen tot een CT-scanner, een apparaat dat je een kleine dosis straling geeft om 3D-modellen van binnen in je lichaam te maken.

In augustus 2017 heeft de FDA roept 465.000 pacemakers terug gemaakt door Abbott vanwege zorgen over hacken. In plaats van bijna een half miljoen mensen te dwingen een invasieve operatie te ondergaan, bracht Abbott een firmwarepatch uit, die medisch personeel kon toepassen op de pacemaker.

In 2014 begon het Department for Homeland Security (DHS) 24 apparaten onderzoeken vanwege vermoedelijke kritieke gebreken. Tot de apparaten behoorden een infuuspomp van Hospira Inc en implanteerbare hartapparaten van Medtronic en St Jude Medical.

Verouderde medische hulpmiddelen en slechte beveiliging

Als je ooit op een kantoor hebt gewerkt, weet je dat veel bedrijven afhankelijk zijn van verouderde software. Dit vereist steevast oudere besturingssystemen, stuurprogramma's en randapparatuur, waardoor ze erg onveilig zijn. De kosten zijn meestal een beslissende factor bij het al dan niet bijwerken, en velen besluiten dat ze de kosten niet kunnen rechtvaardigen. Als het niet kapot is, repareer het dan niet, toch?

Bedrijven hebben vaak moeite om prioriteit te geven aan cyberbeveiliging, met de heersende houding dat als een aanval nog niet heeft plaatsgevonden, dat ook niet zal gebeuren. Helaas zijn zorgverleners ook niet immuun voor deze manier van denken. In mei 2017 een ransomware-aanval, genaamd WannaCry De wereldwijde ransomware-aanval en hoe u uw gegevens kunt beschermenEen massale cyberaanval heeft computers over de hele wereld getroffen. Bent u getroffen door de zeer virulente zelfreplicerende ransomware? Zo niet, hoe kunt u uw gegevens beschermen zonder losgeld te betalen? Lees verder , besmetten bijna gelijktijdig 300.000 computers, waarvan vele van de Britse National Health Service (NHS).

De ransomware trof meer dan 40 NHS Trusts in het hele land, waardoor de patiëntenzorg werd verminderd, operaties werden gesloten en zelfs ziekenhuizen werden gesloten. De effecten van de aanval brachten patiënten in gevaar en ondermijnden mogelijk ook de veiligheid van hun gegevens. Helaas heeft Microsoft een maand voor de aanval een patch uitgebracht, waardoor WannaCry niet door zou kunnen gaan. Niet alleen werd de update niet uitgerold, maar het bleek dat op veel computers nog Windows XP draaide.

Dit is ondanks dat de uitgebreide ondersteuning voor het 15 jaar oude besturingssysteem is beëindigd twee jaar voor de aanslag.

De toekomst van medische hulpmiddelen maakt me gek

Technologie blijft aanzienlijke vooruitgang in medische behandeling opleveren 8 medische technologische doorbraken die u misschien ooit nodig heeftGeloof het of niet, de snelheid van technologische vooruitgang neemt nog steeds toe - en er vinden veel doorbraken plaats op medisch gebied. Check deze geweldige nieuwe dingen! Lees verder , maar het is niet de goedmaker van de medische sector, zoals de Britse NHS ontdekte. Volgens de minister van Volksgezondheid van de regering, Jeremy Hunt, tot 270 vrouwen zijn mogelijk overleden nadat een "fout in het computeralgoritme" er niet in slaagde 450.000 vrouwen uit te nodigen voor een regelmatige screening op borstkanker.

In tegenstelling tot veel andere gebieden die worden beïnvloed door de technologische vooruitgang, kunnen medische hulpmiddelen een kwestie van leven of dood zijn. Omdat de wet van Moore het mogelijk maakt dat er de komende jaren meer apparaten online komen, moeten fabrikanten prioriteit geven aan beveiliging. Het heeft tenslotte geen zin om een ​​"killer-functie" te ontwerpen als dat een verwoestend nauwkeurige beschrijving blijkt te zijn.