ექსპერტები აფასებენ სამედიცინო მოწყობილობების უსაფრთხოების მდგომარეობას დღეს და მის ფარგლებს გარეთ

სითბო ემსახურება სამედიცინო მოწყობილობების გამყიდველებს, ჯანდაცვის პროვაიდერებს და უსაფრთხოების ფირმებს, რათა გაუმკლავდნენ კიბერშეტევების პრობლემას, რომელიც ორიენტირებულია სამედიცინო ნივთების ინტერნეტზე (IoMT).

თითქმის კვირა არ გადის, როცა არ გვესმის უახლესი კომპანიის მსხვერპლი ჰაკერებს, მაგრამ სამედიცინო მოწყობილობების კომპრომეტირების შესაძლებლობა შეიძლება ბევრად აღემატებოდეს სტანდარტული მავნე პროგრამების ინფექციების შედეგებს და პერსონალური იდენტიფიცირებადი ინფორმაციის (PII) ქურდობას.

სამედიცინო მოწყობილობებზე თავდასხმები შეიძლება მოხდეს სოციალური ინჟინერიისა და ქსელის ინფილტრაციის გამო, ისევე როგორც დაუცველობის გამო აპარატურა და პროგრამული უზრუნველყოფა. დღეს ყველაზე გავრცელებულ საფრთხეებს მიეკუთვნება გამოსასყიდი პროგრამა, ადამიანის შუა რიცხვებში (MiTM) თავდასხმები, ფიშინგი და, ზოგჯერ, ფიზიკურად კომპრომეტირებული მოწყობილობები.

ძლიერმა ქსელებმა შეიძლება შექმნას ბარიერი თავდამსხმელებსა და ჯანდაცვის სისტემებს შორის, მაგრამ სამედიცინო მოწყობილობები შეიძლება დაზარალდნენ იგივე დაუცველობისგან, ექსპლოიტების, მოძველებული პროგრამული უზრუნველყოფისა და უსაფრთხოების ხარვეზებისგან, რომლებიც აწუხებს ტრადიციულ კომპიუტერს სისტემები.

სამედიცინო მოწყობილობის უსაფრთხოება ყურადღების ცენტრში მოექცა 2012 წელს, როდესაც IOActive უსაფრთხოების მკვლევარმა ბარნაბი ჯეკმა აღმოაჩინა გადამცემის უსაფრთხოების ხარვეზები რომელიც შეიძლება გამოყენებულ იქნას კარდიოსტიმულატორებისთვის ლეტალური დარტყმის მოსატანად. ცოტა ხნის წინ სამედიცინო აღჭურვილობის მწარმოებელი St. Jude Medical იყო იძულებული გახდა პატჩი უსაფრთხოების ხვრელები ფირმის გულის მოწყობილობებში.

მიუხედავად იმისა, რომ სამედიცინო მოწყობილობები შეიძლება იყოს გამიზნული ცალკეული პაციენტებისთვის ზიანის მიყენების ან შანტაჟის მიზნით, ერთ-ერთი მთავარი მიზეზი, როგორც ჩანს, ფინანსური სარგებლობაა.

2016 წლის მარტში აშშ-ს საავადმყოფოების ქსელი MedStar-ის IT ინფრასტრუქტურა ინვალიდი იყო მავნე პროგრამების წარმატებული შეტევის შემდეგ და კალიფორნიის ჰოლივუდის პრესბიტერიანულმა სამედიცინო ცენტრმა თავდამსხმელებს ათასობით დოლარი გადაუხადა მას შემდეგ, რაც გამოსასყიდმა პროგრამამ შეაფერხა კრიტიკული სერვისები იმავე წელს.

ZDNet-თან საუბრისას ჯეისონ ალავეი, ვიცე პრეზიდენტი RES დიდი ბრიტანეთი და ირლანდიათქვა, რომ საავადმყოფოებისთვის მთავარი საფრთხე არის გამოსასყიდი პროგრამა თავდასხმების „დამანგრეველი ეფექტურობის“ გამო - და „რადგან მონაცემების დაკარგვის შედეგი ბევრად სცილდება ფინანსურ ხარჯებს“.

”სხვა ორგანიზაციების მონაცემებისგან განსხვავებით, როგორიცაა ფინანსებში მოქმედი, სამედიცინო მონაცემებს აქვთ სიცოცხლისა და სიკვდილის მნიშვნელობა”, - ამბობს ალავეი. „სამედიცინო ორგანიზაციებს არ შეუძლიათ ტკივილგამაყუჩებლების ყველაზე ძირითადი საშუალებების გაცემაც, თუ მათი მონაცემები სრულად არ არის ხელმისაწვდომი. [...] თუ საავადმყოფოებს არ აქვთ მკაცრი სარეზერვო პოლიტიკა, გამოსასყიდის გადახდის გარდა სხვა ვარიანტია, რათა პერსონალმა გააგრძელოს კრიტიკული სამედიცინო დახმარების გაწევა. ”

თუმცა, ალავეი ამბობს, რომ ასევე არის მოძრაობა დოქსურის აწევა. გამოსასყიდი პროგრამისგან განსხვავებით, რომელიც ბლოკავს მონაცემებს, doxware ემუქრება მათ ველურ ბუნებაში გაშვებას, რაც შეიძლება დამანგრეველი იყოს საავადმყოფოებისთვის.

აღმასრულებელი ხელისუფლება თვლის, რომ ერთ-ერთი მთავარი მიზეზი, რის გამოც ჯანდაცვის პროვაიდერებზე თავდასხმები წარმატებულია, არის განათლების ნაკლებობა, რადგან ბევრი საავადმყოფო უბრალოდ ვარაუდობს, რომ მათ პერსონალს შეუძლია აღიაროს ფიშინგის ელფოსტა ან მავნე ბმული.

განათლების ნაკლებობა და კიბერშეტევების წინააღმდეგ სიფხიზლე პრობლემაა, მაგრამ ეს არ არის ერთადერთი პრობლემა.

Იხილეთ ასევე: მითი ადამიანური სისუსტის შესახებ უსაფრთხოებაში: როგორ ვაქციოთ პერსონალი ქსელის აქტიურ დამცველებად

ვიდეო: ეს არის IBM-ის ხუთწლიანი გეგმა ჯანდაცვის გადაკეთების მიზნით

"ასევე არსებობს ვარაუდი, რომ მათ თავს არ დაესხმებიან, რათა გვერდის ავლით დადასტურებული ტექნოლოგიური მიდგომები -- როგორიცაა თეთრი სია, ნებართვაზე დაფუძნებული წვდომა, მხოლოდ წაკითხვადი დაფარვა და წვდომის გაუქმება,” Allaway ამბობს.

რჩება კითხვა: რატომ უნდათ კიბერთავდამსხმელებს სამედიცინო მიზნებზე თავდასხმა? თქვენ შეიძლება იფიქროთ, რომ ასეთი ძირითადი და კრიტიკული სერვისები იმუნური იქნებიან ამ საფრთხეებისგან, მაგრამ მორალის გარდა - რადგან სამედიცინო მონაცემები და PII ძალიან ღირებულია - ბიზნესი ყვავის.

შეიძლება არ ღირდეს თავდამსხმელებისთვის ცალკეულ მოწყობილობებთან შეხება, როგორიცაა კარდიოსტიმულატორები ან ინსულინის ტუმბოები, მაგრამ როგორც რიკ ვალენსია, პრეზიდენტი Qualcomm Life გვითხრა, "იგივე დანაშაულებრივი განზრახვის ვექტორები მოქმედებს IoMT-ში, მხოლოდ უფრო მაღალი ფსონების შემთხვევაში."

”ზოგადად, ჰაკერები კეთდება ფულის, შეფერხების ან თესლის (ბოტების) დარგვის მიზნით, თავდასხმების გასააქტიურებლად,” - ამბობს ვალენსია. ”ჯანმრთელობის სფეროში, მონაცემების მოპარვას ან სამედიცინო მოწყობილობების კონტროლს შეიძლება ჰქონდეს კიდევ უფრო ბოროტი ზრახვები.”

”სერიოზული დაზიანებები, სიკვდილი, ან თუნდაც უკიდურესი მკვლელობები შეიძლება განხორციელდეს, თუ ეს სათანადო იქნება უსაფრთხოებისა და კონფიდენციალურობის დაცვა არ არის დაცული სიცოცხლეზე დამოკიდებული სამედიცინო მოწყობილობებისთვის", - აღმასრულებელი დაემატა.

ნივთების ინტერნეტი (IoT), რომელიც მოიცავს მოწყობილობებს დაწყებული თქვენი სმარტფონიდან დამთავრებული ჭკვიანი განათებითა და მოდემებით, პირველად გაგვიმხილა, რა შეიძლება მოხდეს, როდესაც ცუდი უსაფრთხოების მქონე მოწყობილობები მოულოდნელად დაუკავშირდებიან ინტერნეტს მასიური.

ეს მოწყობილობები, თუ დამონებული იქნება, შეიძლება იყოს დამღუპველი ბოტის ინსტრუმენტი -- მაგალითად Mirai botnet -- და სიტუაცია შეიძლება გაუარესდეს დაკავშირებული, სამედიცინო მოწყობილობების შემოღებით.

თუმცა, მაიკ პიტენგერი, უსაფრთხოების სტრატეგიის ვიცე პრეზიდენტი შავი იხვი პროგრამული უზრუნველყოფა, თვლის, რომ სამედიცინო მოწყობილობების ბოტნეტებად გამოყენება არ არის ისეთივე შემაშფოთებელი, როგორც IoT, უბრალოდ მასშტაბურობის გამო.

„სამედიცინო მოწყობილობებზე წვდომა და კომპრომეტირება, სავარაუდოდ, უფრო რთული იქნება და არ იძლევა ეფექტური DDoS შეტევისთვის საჭირო მოწყობილობების დიდ რაოდენობას“, - თქვა აღმასრულებელმა კომენტარს.

მიუხედავად იმისა, რომ ბოტნეტის შექმნა შეიძლება ნაკლებად საინტერესო იყოს ჰაკერისთვის, რომელიც მიზნად ისახავს სამედიცინო მოწყობილობებს, წარმატებულმა თავდასხმამ მაინც შეიძლება რისკის ქვეშ დააყენოს პაციენტის უსაფრთხოება. შესაძლოა დაზიანდეს კარიერა და რეპუტაცია, ასევე შეიძლება დაირღვეს ჯანდაცვის პროვაიდერების ბრენდები.

გარდა ამისა, მოვაჭრეები და ჯანდაცვის სერვისები ეკისრებათ პასუხისმგებლობის რისკს, როდესაც PII კომპრომეტირებულია მათი ქსელებით ან მოწყობილობებით, რომლებსაც ისინი უკავშირებენ პაციენტებს.

ასეთ პოტენციურ საფრთხეებთან გამკლავება, ჯანდაცვის პროვაიდერებსა და სამედიცინო მოწყობილობების მწარმოებლებს აქვთ გამოწვევა. ვალენსიაში აცხადებენ, რომ სამედიცინო ხარისხის გადაწყვეტილებებს და სამედიცინო საგნების ინტერნეტს (IoMT) შეიძლება მოითხოვდეს უსაფრთხოების უფრო მაღალი ზოლი, მაგრამ ეს არ ნიშნავს, რომ უსაფრთხოების გადაწყვეტილებები უნაკლოა.

Qualcomm, მაგალითად, IoMT-ს განიხილავს, როგორც ნივთების ინტერნეტის (IoT) მსგავსი, აღმასრულებელი ხელისუფლების თანახმად, რამდენიმე „ძირითადი მოთხოვნის“ ჩართვით.

ეს მოიცავს დაცულ ჯანმრთელობის ინფორმაციას (PHI) და HIPAA-ს მარეგულირებელ შესაბამისობას და სტანდარტებს, რომლებიც მოითხოვება აშშ-ს სურსათისა და წამლების ადმინისტრაციის (FDA) მიერ. მოწყობილობის კლასის კიბე.

”რეგულირებადი გამოყენების შემთხვევაში, არ არის უჩვეულო, რომ დაკავშირებული გადაწყვეტილებები გამოიყენონ მონაცემთა დაშიფვრა ამ დროს მონაცემების დამუშავება ხდება დასვენებისა და ტრანზიტის დროს - რაც ხშირად არ ხდება სამომხმარებლო IoT მოწყობილობებში“, - ვალენსია ამბობს.

„მონაცემთა დაშიფვრა ნაწილობრივ აგვარებს კონფიდენციალურობის საკითხებს - სადაც HIPAA და PHI რეგულაციები გულდასმით უნდა იყოს გადამოწმებული - მაგრამ რჩება თავდასხმების შესაძლებლობები“, - აღნიშნავს აღმასრულებელი.

ვალენსია დაშიფვრას უწოდებს "უსაფრთხოების ძლიერი პროგრამის საფუძველს" და "აბსოლუტურ აუცილებლობას" PHI და სამედიცინო ინფორმაციისთვის. როგორც სამედიცინო პროგრამები და სისტემები უფრო რთული ხდება და მონაცემები გროვდება, ინახება და გადაიცემა IoMT მოწყობილობებიდან, დაშიფვრა არის პაციენტის მონაცემების დაცვის მნიშვნელოვანი ასპექტი.

განხილვის კიდევ ერთი თემაა ღია კოდის სისტემებისა და კომპონენტების გამოყენება სამედიცინო მოწყობილობებსა და მათ სისტემებში.

ღია კოდის პროგრამული უზრუნველყოფა, განსაზღვრებით, გამოშვებულია ღია და საავტორო უფლებების გარეშე. დღევანდელ ბევრ მოწყობილობას, აპს და პოპულარულ პროგრამულ პაკეტს აქვს მინიმუმ რამდენიმე ელემენტი -- იქნება ეს სკრიპტები ან პროტოკოლები -- რომლებიც ღია წყაროა და ხშირად აქვთ უპირატესობა, რომ ბევრი დეველოპერი მუშაობს მათზე პროექტები.

რაც მეტი თვალის კაკალი, მით უკეთესი, მაგრამ ღია კოდის კომპონენტებზე ცენტრალური უფლებამოსილების გარეშე, არის თუ არა ეს სამედიცინო მოწყობილობის უსაფრთხოებისთვის რისკი?

ერთი შეშფოთება, მაგალითად, არის ის, რომ კოდის ღიაობამ შეიძლება საფრთხის მოქმედ პირებს საშუალება მისცეს, ჩასვათ უკანა კარები და ასეთი პროგრამული უზრუნველყოფის მავნე პროცესები, ან მათ შეუძლიათ გამოიყენონ სისუსტეები, რომლებიც ღია წყაროში რჩება მიუმართავი სისტემები.

ამასთან, უსაფრთხოების ექსპერტები, რომლებიც ZDNet-თან ამ თემაზე საუბრობენ, თვლიან, რომ უპირატესობა აღემატება სარგებელს.

Qualcomm Life-ის აღმასრულებელი დირექტორი ამბობს, რომ ღია კოდის პროტოკოლები საშუალებას აძლევს კოდის საჯარო შემოწმებას, რაც დაგეხმარებათ დარწმუნდეთ, რომ კომპონენტები, როგორიცაა დაშიფვრის ალგორითმები, არ ჯდება პაციენტის მონაცემების დაცვაში.

„დახურულ პროგრამულ უზრუნველყოფას უფრო სავარაუდოა, რომ ჰქონდეს სისუსტეები და დაუცველობები, რომლებიც შეუმოწმებელია, რაც იწვევს ექსპლუატაციის უფრო დიდ ალბათობას“, - ამბობს ვალენსია. „სათანადო ზედამხედველობითა და პროცედურებით, ღია წყარო შეიძლება იყოს ღირებული ინსტრუმენტი ჯანდაცვის გადაწყვეტილებებში“.

აარონ ჰიგბი, თანადამფუძნებელი და CTO ფიშმეეთანხმება და მან ასევე აღნიშნა სისწრაფით, რომ დღევანდელი გამყიდველები ახალ სამედიცინო მოწყობილობებს შემოაქვთ ბაზარზე, ღია კოდის ხელსაწყოები და ბიბლიოთეკები არის გასაღები ტემპის შესანარჩუნებლად.

რადგან ბევრ გამყიდველს არ ჰყავს საკუთარი შიდა უსაფრთხოების გუნდები, რომლებსაც შეუძლიათ შეცვალონ ინჟინერიის პროდუქტები და გამოიტანონ ყველა დაუცველობა, ჰიგბის თვლის, რომ „რაც უფრო მეტი თვალი შეგეძლება პროგრამულ უზრუნველყოფას ან აპარატურის ნაწილს, ისინი უფრო დაცულნი არიან ეს იქნება."

„ღია კოდის გამოყენება არ არის პრობლემა“, დასძენს Black Duck Software-ის მაიკ პიტენგერი. "საკითხი არის იმის უზრუნველყოფა, რომ სამედიცინო მოწყობილობების მწარმოებლის განვითარების გუნდი იცავს და მართავს ღია წყაროს, რომელსაც ისინი იყენებენ."

მაგრამ თუ არ იცით, თუ რომელ ღია კოდის კომპონენტებს იყენებთ, ან სად არის ისინი თქვენს აპლიკაციის კოდში ბაზაზე, თქვენ ვერ შეძლებთ ამ კომპონენტების დაცვას, როდესაც დაუცველობა გამჟღავნდება, ”- Pittenger აგრძელებს.

რაც შეეხება მენეჯმენტსა და ბიუჯეტს, საავადმყოფოები და ჯანდაცვის გამყიდველები საკმარის ინვესტიციას აკეთებენ თავიანთ დროსა და ფულზე? ჰიგბის თქმით, თითქმის 20 წლის განმავლობაში, რაც ის მუშაობს IT-ში, ის ხშირად აღმოაჩენდა, რომ სამედიცინო საზოგადოება "ნაკლებს ხარჯავს" ასეთ პრობლემებზე.

აღმასრულებელი ხელისუფლება ამბობს, რომ ეს შესაძლოა გამოწვეული იყოს ტექნიკის შეძენით და დიაგნოსტიკით, რომლებიც ერთობლიობაშია IT დახარჯვაში, შემდეგ კი მისი ნაწილი გამოიყოფა უსაფრთხოებისთვის - თუ რამე დარჩა ყველა.

თუმცა, კიდევ ერთი ბარიერი ძლიერი უსაფრთხოებისთვის არის ის, რომ ამ აღჭურვილობის შეძენისას, მხარდაჭერისა და ტექნიკური მომსახურების კონტრაქტები გახდე პაკეტის ნაწილი -- და თუ მოწყობილობები დაზიანებულია კონტაქტის გარეთ, გარანტია ძალადაკარგულია და ბათილად.

”ასე რომ, თუ ფიქრობთ ძალიან ძვირადღირებულ აღჭურვილობაზე, რომელიც მუშაობს Windows XP-ის მოძველებულ ვერსიაზე, ჰოსპიტალმა იცის, რომ პრობლემაა, მაგრამ ცოტა რამის გაკეთება შეუძლიათ, რადგან არ სურთ კონტრაქტის გაუქმება“, - ჰიგბი დასძენს.

IoMT ინდუსტრია ჯერ კიდევ საწყის ეტაპზეა, მაგრამ საბედნიეროდ, ასეთია საფრთხეები ამ მოწყობილობების წინააღმდეგ. თუმცა, თუ მოვაჭრეები და ჯანდაცვის პროვაიდერები აპირებენ დარჩნენ უსაფრთხოების პრობლემებზე და შეინარჩუნონ იგივე რაც შეიძლება მეტი კონტროლი პაციენტის მონაცემებზე, მაშინ ეს არ არის მხოლოდ დამატებითი ინვესტიცია, ტრენინგი და ზრუნვა საჭირო.

ჩვენ ბევრი რამ ვისწავლეთ IoT ბაზრიდან და ჭკვიანი მოწყობილობებისგან. ჩვენ ასევე უნდა ვიფიქროთ ამ ინდუსტრიიდან მიღებული გაკვეთილების IoMT-ზე გამოყენებაზე, არა მხოლოდ სამედიცინო მოწყობილობების უსაფრთხოების გასაუმჯობესებლად, არამედ იმისთვის, რომ მაქსიმალურად დაცული ვიყოთ ჩვენს ყოველდღიურ ცხოვრებაში.