REKOMENDUJ | DO ULUBIONYCH | RSS | NEWSLETTER Nick: Hasło: ZAREJESTRUJ  
 
Autor: Kan2017-02-20 14:17 | PDA & Navi | g-data | cyberatak | bluetooth | wi-fi | zdrowie
Kan
Wykop Sledzik Google drukuj Poleć 1

Luki w sprzęcie medycznym, czyli hakowanie ludzkiego serca

W jaki sposób badacze i fundusze hedgingowe mogą wpływać na bezpieczeństwo sprzętu medycznego?

Wprawdzie powyższy tytuł przywołuje romantyczne skojarzenia, jednak prawdziwe tło tej historii budzi duży niepokój. Naukowcy odkryli, że stacjonarny nadajnik wykorzystywany przez pewien typ rozrusznika posiada luki bezpieczeństwa, do których można uzyskać zdalny dostęp. Producent udostępnił nową wersję oprogramowania pozwalającą naprawić usterkę, zaś FDA (Agencja ds. Żywności i Leków) poinformował pacjentów oraz lekarzy o konieczności aktualizacji softwaru.


Luki w sprzęcie medycznym istnieją już od jakiegoś czasu

Komunikacja pomiędzy urządzeniami staje się jednym z najważniejszych trendów w branży ochrony zdrowia. To duże ułatwienie zarówno dla lekarzy, jak i pacjentów. Chory w niektórych przypadkach nie musi odwiedzać gabinetu lekarskiego, bowiem rutynowe czynności mogą być wykonywane zdalnie. Taki sposób komunikacji pozwala zaoszczędzić czas pacjentów i personelu medycznego. Niestety, pojawiają się też zagrożenia, bowiem część systemów nie posiada odpowiednich zabezpieczeń.

Jeden z takich przypadków miał miejsce w sierpniu 2016, kiedy eksperci od bezpieczeństwa wykryli lukę w produkcie St. Jude Medical, wiodącego dostawcy rozruszników serca i defibrylatorów. Co ciekawe, w tym czasie firma była przejmowana przez Abbott Laboratories.

System posiada nadajnik obsługiwany za pośrednictwem strony internetowej i pozwalający zdalnie monitorować stan pracy serca, a także rozrusznika. Urządzenie umożliwia także rekonfigurację zadań. Niemniej należy spełnić jeden warunek - pacjent znajduje się w bliskim sąsiedztwie urządzenia.

Naukowcy zwrócili uwagę na fakt, iż można uzyskać nieautoryzowany dostęp do niektórych indywidualnych punktów danych na nadajniku, a co za tym idzie, również do wszczepionego urządzenia. Istnieje obawa, że nieuprawniony użytkownik może wykorzystać tę lukę, aby ponownie skonfigurować wszczepione urządzenie i np. zakłócić jego pracę.

Wszczepiony defibrylator może być skonfigurowany w ten sposób, że powoduje zbędne wstrząsy i akumulator rozładowuje się szybciej aniżeli podczas pracy w normalnym trybie. W zależności od typu i konfiguracji urządzenia, nieprawidłowe działanie prowadzi do dużego dyskomfortu fizycznego pacjenta. Niespodziewane rozładowania akumulatora może doprowadzić do awarii urządzenia w chwili, kiedy jest ono najbardziej potrzebne.

Chociaż nic nie wiadomo o cyberatakach na tego typu urządzenia, nie ulega wątpliwości, że nie można bagatelizować kwestii bezpieczeństwa IT podczas projektowania systemów medycznych. W ślad za szkodami wizerunkowymi podążą również konkretne straty finansowe. W przypadku, gdy urządzenia wiodącego producenta okażą się podatne na ataki hakerów, wpłynie to z pewnością na wycenę spółki.

Wymieniony przypadek nie jest odosobniony. W 2015 roku niemiecki naukowiec wyłączał zdalnie funkcję wentylacji w urządzeniu do znieczulania, za pomocą połączenia internetowego. Później zauważył, że część sprzętu bazuje na standardach bezpieczeństwa z 1990 roku. Luki bezpieczeństwa w sprzęcie medycznym budzą poważny niepokój. Wszak łatwo wyobrazić sobie sytuację, że do sterowanej zdalnie pompy insulinowej ktoś wstrzykuje śmiertelną dawkę insuliny. To samo dotyczy pomp z lekarstwami, znajdującymi powszechne zastosowanie w szpitalach.

Specjaliści od bezpieczeństwa biją na alarm. Każdy element nowoczesnego, sieciowego sprzętu medycznego, który jest wprowadzany obecnie na rynek, może być opóźniony nawet o kilka lat pod względem stosowanych zabezpieczeń.

Zapobieganie lukom bezpieczeństwa nie jest łatwym zadaniem, podobnie jak ich łatanie.

Sprzęt oraz oprogramowanie wykorzystywane w medycynie zanim trafi do sprzedaży powinno przejść rygorystyczne testy, a następnie otrzymać odpowiednie certyfikaty. Nikt nie ma wątpliwości, że kryteria stosowane wobec urządzeń medycznych muszą być ostre, ponieważ w grę wchodzi życie pacjenta. Proces certyfikacji może trwać bardzo długo i być kosztowny dla producenta. Sprzęt medyczny oraz oprogramowanie mają ograniczone możliwości w zakresie aktualizacji. W praktyce wszelkiego rodzaju poprawki są bardzo rzadkie lub nie występują w ogóle. Kwestie bezpieczeństwa nie można ograniczać wyłącznie do samych urządzeń. Dlaczego? Istnieje wiele przypadków, kiedy sprzęt bezpośrednio łączy się z różnego rodzaju platformami online. Niewykluczone, że są one kontrolowane przez cyberprzestępców.

Niezależnie od tego czy mamy do czynienia z zabawką czy sprzętem podtrzymującym życie, należy dokonać starannej oceny ryzyka związanego z połączeniem internetowym.

Tempo, w jakim rozwija się bezpieczeństwo IT jest zawrotne, dlatego długie postępowanie nie ma racji bytu. Zasadnicze zagadnienia związane z bezpieczeństwem pacjenta, powinno się realizować równolegle z rozwojem i tworzeniem produktu.

Bezpieczeństwo produktów a rynki finansowe

Sprawa ma jeszcze jeden istotny aspekt, który w nieodległej przyszłości może odgrywać coraz większą rolę. Firma MedSec, specjalizująca się w analizie urządzeń medycznych pod kątem bezpieczeństwa, a także fundusz Muddy Waters Capital opublikowały raport, w którym poinformowały o podatności urządzeń St Jude Medical na cyberataki. Jak wspomnieliśmy wcześniej firma St Jude Medical była w tym czasie przejmowana przez inny podmiot, a jej wartość wyceniono na 25 mld dolarów. raport miał rzekomo obniżyć cenę akcji St Jude Medical. Producent skierował pozew do sądu przeciwko MedSec i Muddy Waters Capital. Postępowanie sądowe jest w toku.

Brak odpowiednich zabezpieczeń w systemach medycznych sprawia, że do akcji wkraczają nowi gracze, pochodzący ze świata finansów i obrotu papierami wartościowymi. W przyszłości mogą mieć miejsce podobne zdarzenia. Z jednej strony ma to swoje plusy, ponieważ potencjalne kosztowne postępowanie sądowe zachęca producentów, aby poprawić bezpieczeństwo. Ale z drugiej strony, pojawia się poważny dylemat etyczny, bowiem w grę wchodzą urządzenia decydujące o ludzkim życiu.

Nagrody zachęcają ekspertów od bezpieczeństwa do bardziej skrupulatnego wyszukiwania i ujawniania luk występujących w zabezpieczeniach. Jeśli strategia MedSec oraz Muddy Waters Capital przyniesie profity, może mieć istotny wpływ na na sposób badań nad bezpieczeństwem urządzeń medycznych.

źródło: G DATA

Kan


Oceń ten artykuł w skali od 1 do 5.
Tagi: | g-data | cyberatak | bluetooth | wi-fi | zdrowie Wykop Sledzik Google drukuj Poleć 1
Komentarze: 1 | Napisz komentarz | Zobacz wszystkie komentarze na forum >>

AnonimTes
Niezarejestrowany




Zgłoś naruszenie
Wysłano: 2017.02.20 20:14 Odpowiedz
Tego można było się spodziewać

Napisz komentarz
Nick
  


Pogrubienie    Kursywa    Podkreślenie    Adres email    Cytat    Link    Obrazek    Film Youtube - wklej pełny link   

Wpisz kod z obrazka. Zaloguj się, żeby dodawać komentarze bez ograniczeń.
Wysłać powiadomienie email przy nowych odpowiedziach?




Test Hykker myTab 10 - telefon i internet 3G w jednym, czyli tablet z Biedronki
W opinii ekspertów o tabletach pojawia się całe mnóstwo głosów, że tablety się kończą, rynek kurczy, a hybrydy 2 w 1 i duże smartfony zabierają im klientów. Wszystko to jest prawdą. Sporo użytkowników jednak zostanie przy tabletach – to typowi konsumenci treści internetowej. To, co wyróżnia Hykker myTab 10 na tle konkurencji, to dwa wejścia na kartę SIM. Oznacza to, że możemy wyposażyć go w Internet, a także w funkcję telefonu.
Samsung S5570 Galaxy Mini
703
LG GT540 Swift
440
Samsung Ch@t 335
393
SonyEricsson Xperia neo V
393
Samsung GT-S5620 Monte
362
Samsung GT-C3530
281
Samsung GALAXY Y GT-S5360
279
Samsung Star II (S5260)
247
Więcej telefonów


Ankieta
HMD Global - Twoim zdaniem kontynuuje tradycje marki Nokia?

Tak
Tak, ale tylko trochę
Nie
Nie znam telefonów tej firmy


WynikiAnkiety

Głosów 46

Newsy
Artykuły
Video
Rankingi
Pliki / Download
Redakcja
Archiwum
RSS
Regulamin
Kontakt
Telefony Taryfy
Rozrywka Systemy Rynek Tablety Inne
// dodatkowy kod na dole strony (intext)