Komunikacja pomiędzy urządzeniami staje się jednym z najważniejszych trendów w branży ochrony zdrowia. To duże ułatwienie zarówno dla lekarzy, jak i pacjentów. Chory w niektórych przypadkach nie musi odwiedzać gabinetu lekarskiego, bowiem rutynowe czynności mogą być wykonywane zdalnie. Taki sposób komunikacji pozwala zaoszczędzić czas pacjentów i personelu medycznego. Niestety, pojawiają się też zagrożenia, bowiem część systemów nie posiada odpowiednich zabezpieczeń.
Jeden z takich przypadków miał miejsce w sierpniu 2016, kiedy eksperci od bezpieczeństwa wykryli lukę w produkcie St. Jude Medical, wiodącego dostawcy rozruszników serca i defibrylatorów. Co ciekawe, w tym czasie firma była przejmowana przez Abbott Laboratories. System posiada nadajnik obsługiwany za pośrednictwem strony internetowej i pozwalający zdalnie monitorować stan pracy serca, a także rozrusznika. Urządzenie umożliwia także rekonfigurację zadań. Niemniej należy spełnić jeden warunek - pacjent znajduje się w bliskim sąsiedztwie urządzenia.
Naukowcy zwrócili uwagę na fakt, iż można uzyskać nieautoryzowany dostęp do niektórych indywidualnych punktów danych na nadajniku, a co za tym idzie, również do wszczepionego urządzenia. Istnieje obawa, że nieuprawniony użytkownik może wykorzystać tę lukę, aby ponownie skonfigurować wszczepione urządzenie i np. zakłócić jego pracę.
Wszczepiony defibrylator może być skonfigurowany w ten sposób, że powoduje zbędne wstrząsy i akumulator rozładowuje się szybciej aniżeli podczas pracy w normalnym trybie. W zależności od typu i konfiguracji urządzenia, nieprawidłowe działanie prowadzi do dużego dyskomfortu fizycznego pacjenta. Niespodziewane rozładowania akumulatora może doprowadzić do awarii urządzenia w chwili, kiedy jest ono najbardziej potrzebne.
Chociaż nic nie wiadomo o cyberatakach na tego typu urządzenia, nie ulega wątpliwości, że nie można bagatelizować kwestii bezpieczeństwa IT podczas projektowania systemów medycznych. W ślad za szkodami wizerunkowymi podążą również konkretne straty finansowe. W przypadku, gdy urządzenia wiodącego producenta okażą się podatne na ataki hakerów, wpłynie to z pewnością na wycenę spółki.
Wymieniony przypadek nie jest odosobniony. W 2015 roku niemiecki naukowiec wyłączał zdalnie funkcję wentylacji w urządzeniu do znieczulania, za pomocą połączenia internetowego. Później zauważył, że część sprzętu bazuje na standardach bezpieczeństwa z 1990 roku. Luki bezpieczeństwa w sprzęcie medycznym budzą poważny niepokój. Wszak łatwo wyobrazić sobie sytuację, że do sterowanej zdalnie pompy insulinowej ktoś wstrzykuje śmiertelną dawkę insuliny. To samo dotyczy pomp z lekarstwami, znajdującymi powszechne zastosowanie w szpitalach.
Specjaliści od bezpieczeństwa biją na alarm. Każdy element nowoczesnego, sieciowego sprzętu medycznego, który jest wprowadzany obecnie na rynek, może być opóźniony nawet o kilka lat pod względem stosowanych zabezpieczeń.
Zapobieganie lukom bezpieczeństwa nie jest łatwym zadaniem, podobnie jak ich łatanie
Sprzęt oraz oprogramowanie wykorzystywane w medycynie zanim trafi do sprzedaży powinno przejść rygorystyczne testy, a następnie otrzymać odpowiednie certyfikaty. Nikt nie ma wątpliwości, że kryteria stosowane wobec urządzeń medycznych muszą być ostre, ponieważ w grę wchodzi życie pacjenta. Proces certyfikacji może trwać bardzo długo i być kosztowny dla producenta. Sprzęt medyczny oraz oprogramowanie mają ograniczone możliwości w zakresie aktualizacji. W praktyce wszelkiego rodzaju poprawki są bardzo rzadkie lub nie występują w ogóle. Kwestie bezpieczeństwa nie można ograniczać wyłącznie do samych urządzeń. Dlaczego? Istnieje wiele przypadków, kiedy sprzęt bezpośrednio łączy się z różnego rodzaju platformami online. Niewykluczone, że są one kontrolowane przez cyberprzestępców.
Niezależnie od tego czy mamy do czynienia z zabawką czy sprzętem podtrzymującym życie, należy dokonać starannej oceny ryzyka związanego z połączeniem internetowym.
Tempo, w jakim rozwija się bezpieczeństwo IT jest zawrotne, dlatego długie postępowanie nie ma racji bytu. Zasadnicze zagadnienia związane z bezpieczeństwem pacjenta, powinno się realizować równolegle z rozwojem i tworzeniem produktu.
Bezpieczeństwo produktów a rynki finansowe
Sprawa ma jeszcze jeden istotny aspekt, który w nieodległej przyszłości może odgrywać coraz większą rolę. Firma MedSec, specjalizująca się w analizie urządzeń medycznych pod kątem bezpieczeństwa, a także fundusz Muddy Waters Capital opublikowały raport, w którym poinformowały o podatności urządzeń St Jude Medical na cyberataki. Jak wspomnieliśmy wcześniej firma St Jude Medical była w tym czasie przejmowana przez inny podmiot, a jej wartość wyceniono na 25 mld dolarów. Raport miał rzekomo obniżyć cenę akcji St Jude Medical. Producent skierował pozew do sądu przeciwko MedSec i Muddy Waters Capital. Postępowanie sądowe jest w toku.
Brak odpowiednich zabezpieczeń w systemach medycznych sprawia, że do akcji wkraczają nowi gracze, pochodzący ze świata finansów i obrotu papierami wartościowymi. W przyszłości mogą mieć miejsce podobne zdarzenia. Z jednej strony ma to swoje plusy, ponieważ potencjalne kosztowne postępowanie sądowe zachęca producentów, aby poprawić bezpieczeństwo. Ale z drugiej strony, pojawia się poważny dylemat etyczny, bowiem w grę wchodzą urządzenia decydujące o ludzkim życiu.
Nagrody zachęcają ekspertów od bezpieczeństwa do bardziej skrupulatnego wyszukiwania i ujawniania luk występujących w zabezpieczeniach. Jeśli strategia MedSec oraz Muddy Waters Capital przyniesie profity, może mieć istotny wpływ na na sposób badań nad bezpieczeństwem urządzeń medycznych.
