Trei motive pentru care stimulatoarele cardiace sunt vulnerabile la hacking

Administrația SUA pentru alimente și medicamente (FDA) a reamintit recent aproximativ 465.000 de stimulatoare cardiace fabricate de compania Abbott ‘ s (fostă St.Jude Medical) Care erau vulnerabile la hacking, dar situația indică o problemă de securitate continuă.

motivul rechemării? Dispozitivele pot fi „hackate” de la distanță pentru a crește activitatea sau a reduce durata de viață a bateriei, potențial punând în pericol pacienții. Potrivit rapoartelor, o parte semnificativă a stimulatoarelor cardiace este probabil să fie instalată la pacienții Australieni.

cu toate acestea, calitățile care fac implanturile umane accesibile de la distanță de dorit-și anume, costuri reduse, Baterii cu întreținere redusă, dimensiuni reduse, acces de la distanță – fac, de asemenea, asigurarea unor astfel de dispozitive o provocare serioasă.

trei aspecte cheie împiedică securitatea cibernetică:

  1. majoritatea dispozitivelor încorporate nu au memoria sau puterea de a sprijini securitatea criptografică adecvată, criptarea sau controlul accesului.
  2. medicii și pacienții preferă confortul și ușurința accesului în locul controlului de securitate.
  3. monitorizarea de la distanță, o caracteristică neprețuită a dispozitivelor încorporate, le face, de asemenea, vulnerabile.

situația lui Abbott

o rechemare a stimulatoarelor cardiace Abbott, conform FDA, nu ar implica o intervenție chirurgicală. În schimb, firmware-ul dispozitivului ar putea fi actualizat cu un medic.

vulnerabilitatea stimulatorului cardiac pare să fie că cineva cu „echipament disponibil comercial” ar putea trimite comenzi stimulatorului cardiac, schimbându-i setările și software-ul. Versiunea „patch” previne acest lucru – permite doar instrumentelor hardware și software autorizate să trimită comenzi către dispozitiv.

Abbott ‘ s a minimalizat riscurile, insistând că niciunul dintre cele 465.000 de dispozitive nu a fost raportat ca fiind compromis.

dar temerile legate de atacurile cibernetice asupra dispozitivelor medicale individuale nu sunt nimic nou.

dispozitivele medicale fac acum parte din „Internetul lucrurilor” (IoT), unde senzorii mici alimentați de baterii, combinați cu computere încorporate și personalizate și comunicații radio (tehnologii precum Wi-Fi, Bluetooth, NFC) găsesc utilizări în domenii în care securitatea cibernetică nu a fost luată în considerare anterior.

această ciocnire a lumilor aduce provocări deosebite.

putere versus securitate

majoritatea dispozitivelor medicale încorporate nu au în prezent memoria, puterea de procesare sau durata de viață a bateriei pentru a susține securitatea criptografică, criptarea sau controlul accesului.

de exemplu, utilizarea HTTPS (o modalitate de criptare a traficului web pentru a preveni interceptarea), mai degrabă decât HTTP, potrivit cercetătorilor Carnegie Mellon, poate crește consumul de energie al unor telefoane mobile cu până la 30% din cauza pierderii proxy-urilor.

suitele de criptografie convenționale (algoritmii și cheile folosite pentru a dovedi identitatea și a păstra secretul transmisiilor) sunt concepute pentru computere și implică operații matematice complexe dincolo de puterea dispozitivelor IoT mici și ieftine.

o soluție emergentă este mutarea criptografiei în cipuri hardware dedicate, dar acest lucru crește costul.

Institutul Național de standarde și Tehnologie din SUA (NIST) dezvoltă, de asemenea, suite criptografice „ușoare” concepute pentru dispozitive IoT cu putere redusă.

comoditate versus securitate

medicii și pacienții nu se așteaptă să fie întotdeauna nevoiți să se conecteze la aceste dispozitive medicale. Perspectiva de a păstra la îndemână și în siguranță numele de utilizator, parolele și cheile de criptare este contrară modului în care intenționează să le folosească.

nimeni nu se așteaptă să fie nevoit să se conecteze la prăjitorul de pâine sau la frigider. Din fericire, omniprezența telefoanelor inteligente și utilizarea lor ca interfețe pentru dispozitivele IoT „inteligente” schimbă comportamentul utilizatorilor pe acest front.

când stimulatorul cardiac eșuează și ambulanța ajunge, totuși, veți avea cu adevărat timpul (sau capacitatea) de a găsi numărul de serie al dispozitivului și detaliile de autentificare pentru a le oferi paramedicilor?

monitorizare de la distanță versus securitate

implanturile chirurgicale prezintă riscuri medicale clare atunci când trebuie îndepărtate sau înlocuite. Din acest motiv, monitorizarea de la distanță este, fără îndoială, o tehnologie de salvare a vieții pentru pacienții cu aceste dispozitive.

pacienții nu se mai bazează pe avertizarea „buzz” a bateriei scăzute, iar dacă dispozitivul funcționează defectuos, software-ul său poate fi actualizat fără probleme de către medici.

din păcate, această caracteristică de control de la distanță creează un nou tip de vulnerabilitate. Dacă medicul dumneavoastră vă poate actualiza de la distanță software-ul, la fel pot și alții.

securizarea dispozitivelor în viitor

securitatea dispozitivelor medicale conectate, încorporate este o problemă „rea”, dar soluțiile sunt la orizont.

ne putem aștepta la cipuri hardware criptografice cu costuri reduse și suite criptografice standardizate concepute pentru dispozitive cu putere redusă, memorie redusă și capacitate redusă în viitor.

poate că ne putem aștepta și la o generație care este obișnuită să se conecteze la tot ceea ce atinge și va avea modalități de a se autentifica pe dispozitivele lor ușor și sigur, dar nu suntem încă acolo.

între timp, nu putem decât să evaluăm riscurile și să luăm decizii măsurate cu privire la modul de a ne proteja.

Lasă un răspuns

Adresa ta de email nu va fi publicată.