Hackeři škodí nemocnicím a ohrožují pacienty
Útočníci na informační systémy zdravotnictví se zaměřují na zdravotnické přístroje.
Zdravotnické přístroje a systémy vyžadují vysokou přesnost měření, a je zde kladen vysoký důraz na spolehlivý provoz – tedy je potřeba zachovat striktní integritu programového vybavení a zpracovávaných dat. Z toho důvodu může být jeden z cílů útočníků vyvolání špatného nastavení léčby, ať už přímo nebo nepřímo.
„Při přímém útoku může útočník provést změny nastavení daného úkonu pro specifického pacienta pomocí získaného přístupu k datům anebo k přístroji. Naproti tomu nepřímý útok znamená, že změny v nastavení úkonu či přístroje provede obsluha na základě pozměněných dat, která jí byla podsunuta útočníkem. Asi není třeba zdůrazňovat, že tato činnost může mít za následek neúčinnost léčby, trvalé zdravotní následky nebo smrt pacienta,“ vysvětluje Filip Štěpánek ze společnost Accenture ČR.
Útok však může mít i další negativní dopady, a to na důvěryhodnost zdravotní instituce poskytující zdravotní úkon, což následně vede ke snížení ochoty pacientů takový úkon podstupovat. V neposlední řadě může být útočníkovým úmyslem poškození dobrého jména organizace vedoucí k vyvolání paniky mezi širokou veřejností, což může vést ke ztrátě důvěry v instituci.
„Zdravotnické přístroje a zařízení provádějící léčbu nebo diagnostiku zdravotního stavu, kladou vysoké požadavky na spolehlivý provoz, monitorování své činnosti a zdraví pacientů. Jsou vyvíjeny s použitím časem prověřených technologií a postupů, které ze zkušenosti minimalizují vznik poruchy či chybu měření či výpočtu. Zároveň však nejsou odolné vůči aktuálním hrozbám v informačním světě. Jelikož bývají připojeny do informační sítě nemocnice, může na ně útočník pohlížet jako na přístupový bod k napadení informační sítě anebo na prvek, jenž může vzdáleně zneužít k ohrožení zdraví pacienta,“ říká Filip Štěpánek, odborník na kyberbezpečnost ze společnosti Accenture.
Výrobci zdravotnických přístrojů si jsou obecně vědomi možných problémů v bezpečnosti svých produktů a věnují značné úsilí k jejich nápravě. To však do jisté míry komplikuje situace s nedostatkem odborníků, kteří by rozuměli specifikům návrhu ve zdravotním sektoru, a zároveň byli odborníky na informační bezpečnost. Mezi hlavní problémy se řadí fakt, že implementace informační bezpečnosti není přímo součástí vývojového procesu, tzv. „security-by-design“, ale je často přidávána po skončení vývoje nebo až v produkčním prostředí.
Dalším souvisejícím problémem je, že tradiční zdravotnická zařízení byla navržena na fyzickou obsluhu. Vzdálenou správu si v době vývoje málokdo dokázal představit. Vzdálené případy užití (například distribuce aktualizací, vzdálená správa) tak byly následně přidávány často až v rámci produkčního životního cyklu. Aby byl zařízením umožněn přístup do sítě, je mnohdy zapotřebí použít síťové prvky třetích stran, které nemusí být plně kompatibilní se zdravotnickým HW, a to např. z důvodu konfigurace zabezpečené komunikace. Tento příklad ukazuje jednu ze situací, která přináší komplikace pro výrobce, a zároveň může představovat možnost přístupu pro útočníka.
„Situaci v zabezpečení systémů ve zdravotnických zařízeních komplikuje zejména fakt, že jsou používány různorodé komponenty a zařízení různého stáří. Je pak velmi těžké zajistit už jen jejich vzájemnou komunikaci a kompatibilitu – natož zabezpečení. Z praxe také víme, že nemocnice a výrobci mají na zabezpečení takových zařízení limitované finanční prostředky, což se bohužel odráží ve výsledném produktu. Pro útočníky je to ideální situace, kterou mohou využít k vydírání. Nezapomínejme, že se zde bavíme o zdravotnických zařízeních s přímým vlivem na zdraví a život člověka, kde zabezpečení bezporuchového provozu musí být jednou z hlavních priorit,“ varuje Michal Merta, ředitel Cyber Fusion centra společnosti Accenture.