Tři důvody, proč jsou kardiostimulátory náchylné k hackování

americká správa potravin a léčiv (FDA) nedávno připomněla přibližně 465,000 XNUMX kardiostimulátorů vyrobených společností Abbott ‚ s (dříve St. Jude Medical), které byly náchylné k hackování, ale situace ukazuje na pokračující bezpečnostní problém.

důvod odvolání? Zařízení lze vzdáleně „hacknout“, aby se zvýšila aktivita nebo zkrátila životnost baterie, což potenciálně ohrožuje pacienty. Podle zpráv je pravděpodobné, že významná část kardiostimulátorů bude instalována u australských pacientů.

přesto vlastnosti, díky nimž jsou lidské implantáty na dálku žádoucí-jmenovitě nízké náklady, baterie s nízkou údržbou, malá velikost, vzdálený přístup – také činí zabezpečení takových zařízení vážnou výzvou.

tři klíčové otázky brzdí kybernetickou bezpečnost:

  1. většina vestavěných zařízení nemá paměť ani sílu na podporu správného kryptografického zabezpečení, šifrování nebo řízení přístupu.
  2. lékaři a pacienti dávají přednost pohodlí a snadnému přístupu Před bezpečnostní kontrolou.
  3. vzdálené monitorování, neocenitelná vlastnost vestavěných zařízení, je také činí zranitelnými.

Abbottova situace

stažení Abbottových kardiostimulátorů podle FDA by nezahrnovalo operaci. Místo toho by firmware zařízení mohl být aktualizován lékařem.

zranitelnost kardiostimulátoru se zdá být taková, že někdo s „komerčně dostupným zařízením“ by mohl posílat příkazy kardiostimulátoru, měnit jeho nastavení a software. Tomu brání“ záplatovaná “ verze – umožňuje pouze autorizovaným hardwarovým a softwarovým nástrojům odesílat příkazy do zařízení.

společnost Abbott ‚ s snížila rizika a trvala na tom,že žádné ze 465 000 zařízení nebylo hlášeno jako ohrožené.

obavy z kybernetických útoků na jednotlivé zdravotnické prostředky však nejsou ničím novým.

zdravotnická zařízení jsou nyní součástí „internetu věcí“ (IoT), kde malé senzory napájené bateriemi v kombinaci s vestavěnými a přizpůsobenými počítači a radiokomunikacemi (technologie jako Wi-Fi, Bluetooth, NFC) nacházejí využití v oblastech, kde nebyla dříve zvažována kybernetická bezpečnost.

tento střet světů přináší zvláštní výzvy.

Power versus security

většina vestavěných zdravotnických zařízení nemá v současné době paměť, výpočetní výkon nebo výdrž baterie na podporu správného kryptografického zabezpečení, šifrování nebo řízení přístupu.

například použití HTTPS (způsob šifrování webového provozu, který zabraňuje Odposlouchávání), spíše než HTTP, podle vědců Carnegie Mellon, může zvýšit spotřebu energie některých mobilních telefonů až o 30% kvůli ztrátě proxy.

konvenční kryptografické sady (algoritmy a klíče používané k prokázání identity a udržení tajnosti přenosu) jsou určeny pro počítače a zahrnují složité matematické operace nad síly malých, levných IoT zařízení.

vznikajícím řešením je přesunout kryptografii do vyhrazených hardwarových čipů, ale to zvyšuje náklady.

americký Národní institut pro standardy a technologie (NIST) také vyvíjí“ lehké “ kryptografické sady určené pro zařízení s nízkým výkonem IoT.

pohodlí versus bezpečnost

lékaři a pacienti neočekávají, že se vždy budou muset přihlásit do těchto zdravotnických prostředků. Vyhlídka na to, že budete muset udržovat uživatelská jména, hesla a šifrovací klíče po ruce a v bezpečí, je v rozporu s tím, jak je plánují používat.

nikdo neočekává, že se bude muset přihlásit do svého toustovače nebo ledničky. Naštěstí všudypřítomnost chytrých telefonů a jejich použití jako rozhraní k „chytrým“ zařízením IoT mění chování uživatelů na této frontě.

když váš kardiostimulátor selže a sanitka dorazí, budete mít opravdu čas (nebo schopnost) najít sériové číslo zařízení a autentizační údaje, které chcete dát zdravotníkům?

vzdálené monitorování versus bezpečnost

chirurgické implantáty představují jasná zdravotní rizika, pokud je třeba je odstranit nebo vyměnit. Z tohoto důvodu je dálkové monitorování nepochybně technologií pro záchranu života pacientů s těmito zařízeními.

pacienti již nejsou závislí na varování „buzz“ s nízkou baterií a pokud zařízení nefunguje správně, jeho software mohou lékaři hladce aktualizovat.

bohužel tato funkce dálkového ovládání vytváří zcela nový typ zranitelnosti. Pokud váš lékař může vzdáleně aktualizovat váš software, mohou i ostatní.

zabezpečení zařízení v budoucnu

bezpečnost připojených, vestavěných zdravotnických prostředků je“ zlý “ problém, ale řešení jsou na obzoru.

v budoucnu můžeme očekávat levné kryptografické hardwarové čipy a standardizované kryptografické sady určené pro zařízení s nízkou spotřebou energie, nízkou pamětí a nízkou schopností.

možná můžeme také očekávat generaci, která je zvyklá přihlásit se do všeho, čeho se dotknou, a bude mít způsoby, jak se snadno a bezpečně autentizovat ke svým zařízením, ale ještě tam nejsme.

v mezidobí můžeme pouze posoudit rizika a učinit měřená rozhodnutí o tom, jak se chránit.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.