Três razões por que marcapassos são vulneráveis a hackers

US Food and Drug Administration (FDA) recentemente lembrou que cerca de 465,000 pacemakers feita pela empresa Abbott (anteriormente St. Jude Medical), que eram vulneráveis a ataques por hackers, mas a situação aponta para um constante problema de segurança.

o motivo do recall? Os dispositivos podem ser remotamente “hackeados” para aumentar a atividade ou reduzir a vida útil da bateria, potencialmente colocando em Risco Os pacientes. De acordo com relatos, uma parte significativa dos marcapassos provavelmente será instalada em pacientes australianos.

no entanto, as qualidades que tornam os implantes humanos acessíveis remotamente desejáveis-ou seja, baixo custo, baterias de baixa manutenção, Tamanho Pequeno, acesso remoto – também tornam a segurança de tais dispositivos um sério desafio.

três questões-chave impedem a cibersegurança:

  1. a maioria dos dispositivos incorporados não tem memória ou poder para suportar segurança criptográfica, criptografia ou controle de acesso adequados.
  2. médicos e pacientes preferem conveniência e facilidade de acesso ao controle de segurança.O monitoramento remoto, uma característica inestimável dos dispositivos embarcados, também os torna vulneráveis.

a situação de Abbott

um recall dos marcapassos de Abbott, de acordo com a FDA, não envolveria cirurgia. Em vez disso, o firmware do dispositivo pode ser atualizado com um médico.

a vulnerabilidade do marcapasso parece ser que alguém com “equipamento comercialmente disponível” poderia enviar comandos para o marcapasso, alterando suas configurações e software. A versão” corrigida ” impede isso – ela só permite que Ferramentas de hardware e software autorizadas enviem comandos para o dispositivo. A Abbott minimizou os riscos, insistindo que nenhum dos 465.000 dispositivos foi relatado como comprometido.

mas os temores sobre ataques de segurança cibernética em dispositivos médicos individuais não são novidade.Os dispositivos médicos agora fazem parte da” internet das Coisas ” (IoT), onde pequenos sensores alimentados por bateria combinados com computadores embutidos e personalizados e comunicações de rádio (tecnologias como Wi-Fi, Bluetooth, NFC) estão encontrando usos em áreas onde a segurança cibernética não foi considerada anteriormente. Este choque de mundos traz desafios particulares.

poder contra a segurança

a maioria de dispositivos médicos encaixados não têm atualmente a memória, o poder de processamento ou a vida da bateria para apoiar a segurança cryptographic apropriada, a criptografia ou o controle de acesso.

por exemplo, usar HTTPS (uma maneira de criptografar o tráfego da web para evitar a espionagem) em vez de HTTP, de acordo com pesquisadores da Carnegie Mellon, pode aumentar o consumo de energia de alguns telefones celulares em até 30% devido à perda de proxies. Os conjuntos de criptografia convencionais (os algoritmos e chaves usados para provar a identidade e manter as transmissões em segredo) são projetados para computadores e envolvem operações matemáticas complexas além do poder de dispositivos IoT pequenos e baratos.

uma solução emergente é mover a criptografia para chips de hardware dedicados, mas isso aumenta o custo.

o Instituto Nacional de padrões e Tecnologia dos EUA (NIST) também está desenvolvendo suítes criptográficas “leves” projetadas para dispositivos IoT de baixa potência.

conveniência versus segurança

médicos e pacientes não esperam sempre ter que fazer login nesses dispositivos médicos. A perspectiva de ter que manter nomes de usuário, senhas e Chaves de criptografia acessíveis e seguras é contrária à forma como eles planejam usá-los.

ninguém espera ter que entrar em sua torradeira ou geladeira, também. Felizmente, a difusão dos smartphones e seu uso como interfaces para dispositivos IoT “inteligentes” está mudando o comportamento dos usuários nessa frente.

quando o marcapasso falhar e a ambulância chegar, no entanto, você realmente terá tempo (ou capacidade) para encontrar o número de série do dispositivo e os detalhes de autenticação para fornecer aos paramédicos?

monitoramento remoto versus segurança

os implantes cirúrgicos apresentam riscos médicos claros quando precisam ser removidos ou substituídos. Por esse motivo, o monitoramento remoto é, sem dúvida, uma tecnologia que salva vidas para pacientes com esses dispositivos.

os pacientes não dependem mais do aviso “buzz” de bateria fraca e, se o dispositivo funcionar mal, seu software pode ser atualizado sem problemas pelos médicos.

infelizmente, este recurso de controle remoto cria um novo tipo de vulnerabilidade. Se o seu médico pode atualizar remotamente o seu software, outros também podem.

proteger dispositivos no futuro

a segurança de dispositivos médicos conectados e incorporados é um problema” perverso”, mas as soluções estão no horizonte.

podemos esperar chips de hardware criptográfico de baixo custo e suítes criptográficas padronizadas projetadas para dispositivos de baixa potência, baixa memória e baixa capacidade no futuro.

talvez também possamos esperar uma geração que está acostumada a fazer login em tudo o que toca e terá maneiras de se autenticar em seus dispositivos com facilidade e segurança, mas ainda não estamos lá. Nesse ínterim, só podemos avaliar os riscos e tomar decisões medidas sobre como nos proteger.

Deixe uma resposta

O seu endereço de email não será publicado.