logo

Zdravotnické přístroje nejsou odolné vůči aktuálním hrozbám v informačním světě

Zdravotnické přístroje se stávají novým cílem bezohledných hackerů - bývají často připojeny do informační sítě nemocnice a útočník proto ně může pohlížet jako na přístupový bod k napadení celé IT infrastruktury anebo na prvek, jenž může vzdáleně zneužít k ohrožení zdraví pacienta.

Výrobci zdravotnických přístrojů si jsou obecně vědomi možných problémů v oblasti bezpečnosti svých produktů a věnují značné úsilí k jejich nápravě. To však do jisté míry komplikuje situace s nedostatkem odborníků na trhu práce, kteří by rozuměli specifikům návrhu ve zdravotním sektoru, a zároveň byli odborníky na informační bezpečnost.

Mezi hlavní problémy se řadí fakt, že implementace informační bezpečnosti není přímo součástí vývojového procesu, tzv. security-by-design, ale je často přidávána po skončení vývoje nebo až v produkčním prostředí.

Dalším souvisejícím problémem je, že tradiční zdravotnická zařízení byla navržena na fyzickou obsluhu a vzdálenou správu si v době vývoje málokdo dokázal představit. Vzdálené případy užití (např. distribuce aktualizací, vzdálená správa) tak byly následně přidávány často až v rámci produkčního životního cyklu.

Aby byl zařízením umožněn přístup do sítě, je mnohdy zapotřebí použít síťové prvky třetích stran, které nemusí být plně kompatibilní se zdravotnickým HW, a to např. z důvodu konfigurace zabezpečené komunikace. Tento příklad ukazuje jednu ze situací, která přináší komplikace pro výrobce, a zároveň může představovat možnost přístupu pro útočníka.

"Situaci v zabezpečení systémů ve zdravotnických zařízeních komplikuje zejména fakt, že jsou používány různorodé komponenty a zařízení různého stáří. Je pak velmi těžké zajistit už jen jejich vzájemnou komunikaci a kompatibilitu - natož zabezpečení. Z praxe také víme, že nemocnice a výrobci mají na zabezpečení takových zařízení limitované finanční prostředky, což se bohužel odráží ve výsledném produktu. Pro útočníky je to ideální situace, kterou mohou využít k vydírání. Nezapomínejme, že se zde bavíme o zdravotnických zařízeních s přímým vlivem na zdraví a život člověka, kde zabezpečení bezporuchového provozu musí být jednou z hlavních priorit," říká Michal Merta, ředitel Cyber Fusion centra společnosti Accenture.

Zdravotnické přístroje a systémy vyžadují vysokou přesnost měření, a jak bylo zmíněno, je zde kladen vysoký důraz na spolehlivý provoz - tedy je potřeba zachovat striktní integritu programového vybavení a zpracovávaných dat. Z toho důvodu může být jeden z cílů útočníků vyvolání špatného nastavení léčby, ať už přímo nebo nepřímo.

Při přímém útoku může útočník provést změny nastavení daného úkonu pro specifického pacienta pomocí získaného přístupu k datům anebo přístroji. Naproti tomu nepřímý útok znamená, že změny v nastavení úkonu či přístroje provede obsluha na základě pozměněných dat, která jí byla podsunuta útočníkem. Tato činnost může mít za následek neúčinnost léčby, trvalé zdravotní následky nebo smrt pacienta.

Útok však může mít i další negativní dopady, a to na důvěryhodnost zdravotní instituce poskytující zdravotní úkon, což následně vede ke snížení ochoty pacientů takový úkon podstupovat.

V neposlední řadě může být útočníkovým úmyslem poškození dobrého jména organizace vedoucí k vyvolání paniky mezi širokou veřejností, což může vést ke ztrátě důvěry v instituci.

Článek ze dne 11. listopadu 2021 - čtvrtek

Další články od Accenture Central Europe