Kolme syytä, miksi tahdistimet ovat alttiita hakkerointi

US Food and Drug Administration (FDA) äskettäin muistutti noin 465,000 tahdistimet valmistama yritys Abbott ’ s (entinen St. Jude Medical) jotka olivat alttiita hakkerointi, mutta tilanne viittaa jatkuva turvallisuusongelma.

takaisinvedon syy? Laitteet voidaan etänä ”hakkeroida” toiminnan lisäämiseksi tai akun keston lyhentämiseksi, mikä saattaa vaarantaa potilaat. Raporttien mukaan merkittävä osa tahdistimista asennetaan todennäköisesti australialaisille potilaille.

niiden ominaisuuksien vuoksi, jotka tekevät etäyhteyden ihmisimplanteista haluttavia-nimittäin edulliset, vähän huoltoa vaativat akut, pienet koko ja etäyhteys – tällaisten laitteiden varmistaminen on myös vakava haaste.

kolme keskeistä asiaa jarruttavat kyberturvallisuutta:

  1. useimmissa sulautetuissa laitteissa ei ole muistia tai voimaa, joka tukisi asianmukaista salausta, salausta tai kulunvalvontaa.
  2. lääkärit ja potilaat suosivat helppoutta ja helppoutta turvatarkastuksen sijaan.
  3. etävalvonta, joka on sulautettujen laitteiden korvaamaton ominaisuus, tekee niistä myös haavoittuvia.

Abbottin tilanne

Abbottin tahdistimien takaisinveto FDA: n mukaan ei edellyttäisi leikkausta. Sen sijaan laitteen laiteohjelmiston voisi päivittää lääkärin kanssa.

tahdistimen haavoittuvuus näyttää olevan se, että joku, jolla on” kaupallisesti saatavilla olevia laitteita”, voisi lähettää tahdistimelle komentoja ja muuttaa sen asetuksia ja ohjelmistoa. ”Paikattu” versio estää tämän-se sallii vain valtuutettujen laitteisto-ja ohjelmistotyökalujen lähettää komentoja laitteeseen.

Abbott ’ s on vähätellyt riskejä väittäen, ettei mitään 465 000 laitteesta ole ilmoitettu vaarantuneeksi.

mutta pelot yksittäisiin lääkinnällisiin laitteisiin kohdistuvista kyberturvallisuushyökkäyksistä eivät ole mitään uutta.

lääkinnälliset laitteet ovat nyt osa esineiden internetiä (IoT), jossa pienet akkukäyttöiset anturit yhdistettynä sulautettuihin ja räätälöityihin tietokoneisiin ja radioviestintään (teknologiat kuten Wi-Fi, Bluetooth, NFC) löytävät käyttöä alueilla, joilla kyberturvallisuutta ei ole aiemmin huomioitu.

tämä maailmojen yhteentörmäys tuo erityisiä haasteita.

teho vs. turvallisuus

useimmilla sulautetuilla lääkinnällisillä laitteilla ei ole tällä hetkellä muistia, prosessointitehoa tai akun kestoa, joka tukisi asianmukaista salausturvallisuutta, salausta tai kulunvalvontaa.

esimerkiksi HTTPS: n (tapa salata verkkoliikenne salakuuntelun estämiseksi) käyttäminen HTTP: n sijaan voi Carnegie Mellonin tutkijoiden mukaan lisätä joidenkin matkapuhelinten energiankulutusta jopa 30 prosenttia välityspalvelinten häviämisen vuoksi.

perinteiset salakirjoitussarjat (algoritmit ja avaimet, joita käytetään henkilöllisyyden todistamiseen ja lähetysten salaamiseen) on suunniteltu tietokoneille, ja niihin liittyy monimutkaisia matemaattisia operaatioita, jotka ylittävät pienten, halpojen IoT-laitteiden tehon.

kehittymässä oleva ratkaisu on siirtää salaus erillisiin laitteistosiruihin, mutta tämä nostaa kustannuksia.

Yhdysvaltain kansallinen standardointi-ja teknologiainstituutti (NIST) kehittää myös ”kevyitä” kryptografisia sviittejä, jotka on suunniteltu pienitehoisille IoT-laitteille.

mukavuus vs. turvallisuus

lääkärit ja potilaat eivät oleta, että heidän tarvitsee aina kirjautua näihin lääkinnällisiin laitteisiin. Mahdollisuus pitää käyttäjätunnukset, salasanat ja salausavaimet näppärinä ja turvallisina on ristiriidassa sen kanssa, miten he aikovat käyttää niitä.

kukaan ei odota joutuvansa kirjautumaan myöskään leivänpaahtimeensa tai jääkaappiinsa. Onneksi älypuhelinten läpitunkevaisuus ja niiden käyttö rajapintoina ”älykkäisiin” IoT-laitteisiin muuttaa käyttäjien käyttäytymistä tällä rintamalla.

kun tahdistin pettää ja ambulanssi saapuu, onko sinulla kuitenkaan todella aikaa (tai kykyä) löytää laitteen sarjanumero ja tunnistustiedot, jotka annetaan ensihoitajille?

etävalvonta vs turvallisuus

kirurgiset implantit aiheuttavat selviä lääketieteellisiä riskejä, kun ne on poistettava tai vaihdettava. Tästä syystä etävalvonta on epäilemättä hengenpelastustekniikka potilaille, joilla on nämä laitteet.

potilaat eivät ole enää riippuvaisia vähäisen akun ”buzz” – varoituksesta, ja jos laite menee epäkuntoon, lääkärit voivat päivittää sen ohjelmiston sujuvasti.

valitettavasti tämä kaukosäätimen ominaisuus luo aivan uudenlaisen haavoittuvuuden. Jos lääkäri voi etänä päivittää ohjelmiston, niin voivat muutkin.

laitteiden turvaaminen tulevaisuudessa

kytkettyjen, sulautettujen lääkinnällisten laitteiden turvallisuus on ”paha” ongelma, mutta ratkaisuja on näköpiirissä.

voimme odottaa tulevaisuudessa edullisia kryptografisia laitteistosiruja ja standardoituja kryptografisia sviittejä, jotka on suunniteltu pienitehoisille, vähämuistisille ja heikkokapasiteettisille laitteille.

ehkä voimme myös odottaa sukupolvea, joka on tottunut kirjautumaan kaikkeen, mihin koskee, ja jolla on tapoja todentaa itsensä laitteilleen helposti ja turvallisesti, mutta emme ole vielä siinä.

tällä välin voimme vain arvioida riskejä ja tehdä harkittuja päätöksiä siitä, miten suojaudumme.

Vastaa

Sähköpostiosoitettasi ei julkaista.