Das Internet der (medizinischen) Dinge: Gefahren, Risiken und Sicherheitsprobleme

Werbung

Vielleicht haben Sie schon einmal den Satz „Ihre Gesundheit ist Ihr Vermögen“ gehört. Dies ist einer der Gründe, warum die USA allein im Jahr 2015 über 3,2 Billionen US-Dollar für das Gesundheitswesen ausgegeben haben.

Bei so viel Geld im Umlauf ist es nur natürlich, dass viele Unternehmen in den Gesundheitsmarkt eingestiegen sind – einschließlich Technologieunternehmen.

Medizintechnik fühlt sich manchmal veraltet an, aber Unternehmen sind bestrebt, diese Geräte ins 21. Jahrhundert zu ziehen. Und während die Internetverbindung wie eine großartige Funktion erscheinen mag, gibt es einige echte Gefahren und Probleme, die Sie überraschen könnten.

Was sind Medizinprodukte?

Die Weltgesundheitsorganisation (WHO) definiert ein Medizinprodukt als „jedes Instrument, jede Apparatur, jedes Gerät, jede Maschine, jedes Gerät, jedes Implantat, jedes Reagenz für“ In-vitro-Anwendung, Software, Material […], das vom Hersteller bestimmt ist, um […] am Menschen, für ein oder mehrere […] bestimmte medizinische Zweck".

Das klingt zwar ziemlich kompliziert, bedeutet aber nur jedes Gerät oder jede Software, die für medizinische Zwecke verwendet werden können.

Die US-amerikanische Food & Drug Administration (FDA) ist für die behördliche Aufsicht über Medizinprodukte zuständig und teilt diese in drei Kategorien ein: Klasse I, Klasse II und Klasse III. Geräte der Klasse 1 unterliegen nur geringen Vorschriften, wobei die meisten Kontrollen nur auf die Art und Weise vorgenommen werden, wie sie hergestellt und vermarktet werden. Klasse II fügt spezifischere Vorschriften hinzu, und Klasse III ist Geräten vorbehalten, die menschliches Leben unterstützen oder erhalten.

Wie auf der ganzen Welt üblich, hat die FDA jedoch Mühe, mit dem Innovationstempo Schritt zu halten. Es gibt nur wenige Hinweise darauf, wie moderne, mit dem Internet verbundene Geräte reguliert werden sollten.

Welche Schritte sollten Hersteller unternehmen, um die Sicherheit solcher Geräte zu gewährleisten? Im Dezember 2016 veröffentlichte die FDA Leitlinien zu Sicherheit medizinischer Geräte, sind aber rechtlich nicht durchsetzbar. Dies überließ den Herstellern die Entscheidung, ob sie den Ratschlägen folgten oder nicht.

Das Internet der (medizinischen) Dinge

Damit sind mit dem Internet verbundene medizinische Geräte im selben Boot wie die der breiteren Kategorie Internet der Dinge (IoT). Es gibt viele Vorteile für medizinische IoT-Geräte 5 Wege, wie das Internet der Dinge das Gesundheitswesen revolutioniertHier sind einige der coolsten (und wichtigsten) Möglichkeiten, wie vernetzte Technologie die medizinische Welt revolutioniert. Weiterlesen , aber das Fehlen einer durchsetzbaren Regulierung bedeutet, dass die Hersteller wahrscheinlich nicht viele Ressourcen aufwenden werden, um sie zu sichern.

Das ist nur einer von viele Gründe, warum das Internet der Dinge ein Sicherheitsalptraum ist Warum das Internet der Dinge der größte Sicherheitsalptraum istEines Tages kommen Sie von der Arbeit nach Hause und stellen fest, dass Ihr Cloud-fähiges Heimsicherheitssystem verletzt wurde. Wie konnte das passieren? Mit dem Internet der Dinge (IoT) können Sie es auf die harte Tour herausfinden. Weiterlesen . Darüber hinaus legen wir unser Leben buchstäblich in die Hände von medizinischen IoT-Geräten. Daher ist der Einsatz noch höher als bei normalen IoT-Geräten.

Das Gesundheitswesen ist ein teures Geschäft, nicht nur für die Patienten, sondern auch für die Leistungserbringer selbst. Unternehmen verlangen hohe Summen für neue Geräte und technischen Support. Dies bedeutet, dass Krankenhäuser und andere Arztpraxen ein Durcheinander von Werkzeugen sind – manche neu, andere alt mit unterschiedlichen Betriebsanforderungen. Alte Hardware, Legacy-Software und proprietäre Schnittstellen kommen zusammen, um eine angemessene Absicherung des Systems zu einem Albtraum für die IT-Abteilung des Anbieters zu machen.

Beispiel: Abhören einer medizinischen Pumpe

Die Schnittstelle zwischen Software und Hardware legt oft ausnutzbare Schwachstellen offen, da Saurabh Harit zeigte auf der Black Hat Europe 2017. Er erhielt eine IV-Infusionspumpe, die Medikamente in das Blut eines Patienten injiziert, die aus der Ferne programmiert und bedient werden können.

Nachdem er mit einem online gefundenen Standardpasswort auf den Admin-Modus der Pumpe zugegriffen hatte, konnte er die Infrarot und einen alten PDA, der von eBay gekauft wurde, um ihre Wi-Fi-Anmeldeinformationen in das Netzwerk der Pumpe zu importieren die Einstellungen.

Verwenden von Wireshark (eines von vielen Open-Source-Netzwerksicherheitstools So testen Sie die Sicherheit Ihres Heimnetzwerks mit kostenlosen Hacking-ToolsKein System kann vollständig "hacksicher" sein, aber Browser-Sicherheitstests und Netzwerksicherungen können Ihr Setup robuster machen. Verwenden Sie diese kostenlosen Tools, um "Schwachstellen" in Ihrem Heimnetzwerk zu identifizieren. Weiterlesen ) um die Pakete zu inspizieren, hat Harit Patientendaten wie Medikamentendosis, Pflegeperson, Name, Standort und Route eingesehen. Erstaunlicherweise konnte er sogar auf die Master Drugs List zugreifen, die die vorgeschriebene Dosierung festlegt und aufrechterhält.

Die Liste der Beispiele geht weiter…

Wenn solche Schwachstellen auf diese eine Pumpe beschränkt wären, wäre das schon schockierend genug, aber Forscher entdecken regelmäßig neue. Ein Team konnte Zugang zu einem CT-Scanner erhalten, ein Gerät, das Ihnen eine kleine Strahlungsdosis gibt, um 3D-Modelle Ihres Körpers zu erstellen.

Im August 2017 wurde die FDA hat 465.000 Herzschrittmacher zurückgerufen von Abbott wegen Hacking-Bedenken gemacht. Anstatt fast eine halbe Million Menschen zu einer invasiven Operation zu zwingen, gab Abbott einen Firmware-Patch heraus, den das medizinische Personal auf den Herzschrittmacher anwenden konnte.

Bereits 2014 begann das Department for Homeland Security (DHS) Untersuchung von 24 Geräten auf vermutete kritische Fehler. Zu den Geräten gehörten eine Infusionspumpe von Hospira Inc und implantierbare Herzgeräte von Medtronic und St Jude Medical.

Ältere medizinische Geräte und schlechte Sicherheit

Wenn Sie jemals in einem Büro gearbeitet haben, wissen Sie, dass viele Unternehmen auf Legacy-Software angewiesen sind. Dies erfordert ausnahmslos ältere Betriebssysteme, Treiber und Peripheriegeräte, was sie sehr unsicher macht. Die Kosten sind normalerweise ein entscheidender Faktor bei der Aktualisierung, und viele entscheiden, dass sie die Kosten nicht rechtfertigen können. Wenn es nicht kaputt ist, repariere es nicht, oder?

Unternehmen haben oft Schwierigkeiten, der Cybersicherheit Priorität einzuräumen, wobei die vorherrschende Einstellung vorherrscht, dass, wenn noch kein Angriff stattgefunden hat, dies auch nicht der Fall ist. Leider sind auch Gesundheitsdienstleister gegen diese Denkweise nicht immun. Im Mai 2017 ein Ransomware-Angriff, genannt WannaCry Der globale Ransomware-Angriff und wie Sie Ihre Daten schützenEin massiver Cyberangriff hat Computer auf der ganzen Welt getroffen. Waren Sie von der hochvirulenten selbstreplizierenden Ransomware betroffen? Wenn nicht, wie können Sie Ihre Daten schützen, ohne das Lösegeld zu zahlen? Weiterlesen , infizierte fast gleichzeitig 300.000 Computer, von denen viele dem britischen National Health Service (NHS) gehörten.

Die Ransomware betraf über 40 NHS Trusts im ganzen Land, reduzierte die Patientenversorgung, schloss Operationen und sogar Krankenhäuser. Die Auswirkungen des Angriffs gefährden Patienten und untergraben möglicherweise auch die Sicherheit ihrer Daten. Leider hat Microsoft einen Monat vor dem Angriff einen Patch veröffentlicht, der WannaCry daran gehindert hätte, sich durchzusetzen. Das Update wurde nicht nur nicht ausgerollt, sondern es stellte sich heraus, dass auf vielen Computern noch Windows XP ausgeführt wurde.

Das ist trotz Ende des erweiterten Supports für das 15 Jahre alte Betriebssystem zwei Jahre vor dem Angriff.

Die Zukunft der Medizinprodukte macht mich verrückt

Technologie geht weiter bedeutende Fortschritte in der medizinischen Behandlung erzielen 8 Durchbrüche in der Medizintechnik, die Sie möglicherweise eines Tages brauchenOb Sie es glauben oder nicht, die Geschwindigkeit des technologischen Fortschritts nimmt immer noch zu – und im medizinischen Bereich geschehen viele Durchbrüche. Schauen Sie sich diese erstaunlichen neuen Dinge an! Weiterlesen , aber es ist nicht die Rettung des medizinischen Sektors, wie der britische NHS herausfand. Laut dem Gesundheitsminister der Regierung, Jeremy Hunt, bis zu 270 Frauen können gestorben sein nachdem ein „Computeralgorithmusfehler“ 450.000 Frauen nicht zu einem regelmäßigen Brustkrebs-Screening eingeladen hatte.

Im Gegensatz zu vielen anderen Bereichen, die vom technischen Fortschritt betroffen sind, können Medizinprodukte über Leben und Tod entscheiden. Da das Mooresche Gesetz es in den kommenden Jahren ermöglicht, mehr Geräte online zu stellen, müssen Hersteller der Sicherheit Priorität einräumen. Schließlich ist es nicht gut, ein „Killer-Feature“ zu entwerfen, wenn sich herausstellt, dass es eine vernichtend genaue Beschreibung ist.