Na internetu v ČR je 96 zdravotnických přístrojů, které „čekají“ na zneužití
Lékařské přístroje připojené k internetu přinášejí zlepšení péče o pacienty a snižují potřebné finanční náklady na vyšetření a léčbu. Na druhou stranu většina těchto přístrojů je poměrně snadno hacknutelná. Proto představují riziko pro kybernetickou bezpečnost. Pokud by se podařilo je zneužít, mělo by to negativní vliv na péči o pacienty.
Typická nemocnice má dnes k internetu připojených stovky specializovaných zdravotnických zařízení, jako jsou rentgeny, počítačové tomografy, infuzní a inzulínové pumpy a další. Sbírají se z nich nejen různá data, ale jsou na dálku ovládána, servisována a aktualizována. „Tato specializovaná zařízení jsou navržena především pro použití v medicíně. Většina z nich však postrádá základní IT zabezpečení, a tak mohou sloužit jako vstupní bod pro přístup k síti nemocnice,“ vysvětluje Martin Lohnert, specialista pro kyberbezpečnost v technologické společnosti Soitron. A protože tyto medicínské přístroje používají vlastní specifické komunikační protokoly, jsou v případě připojení k internetu poměrně dobře vypátratelné. Dokonce existují i jejich veřejné seznamy.
Tímto způsobem má útočník obrovsky zjednodušenou práci. Nejprve se seznámí s problematikou. Následně si z registru potenciálně komunikujících lékařských přístrojů na internetu stačí jeden vybrat. Chce-li, může si ověřit, že vše sedí – prostřednictvím Google map zjistí, zda se v konkrétním místě nachází nemocnice, nebo jiné zdravotnické zařízení využívající lokalizovaný medicínský přístroj. Využije-li webové stránky zařízení a funkci Street View, může se dokonce utvrdit prostřednictvím fotek, že tomu tak skutečně je. Prostřednictvím dnes běžně dostupných hackovacích nástrojů identifikuje, jaké systémy má podnik přístupné z internetu. „V tuto chvíli útočník disponuje vším potřebným k zahájení útoku,“ říká Martin Lohnert. „Má konkrétní cíl a ví, jak se do přístroje nabourat.“
Pro komunikaci se zařízením stačí, aby útočník znal jistý programovací kód, který může mít například pouze třicet řádků. Ten si upraví pro své potřeby a adekvátně použije. Rázem se ocitne v zařízení, a to, aniž by narazil, nebo dokonce musel obcházet nějaké bezpečnostní prvky. Dokonce se obejde bez jakéhokoliv logování do zařízení. „Medicínské přístroje často nedisponují zabezpečením na úrovni opravňující vstup do komunikačního rozhraní, například prostřednictvím přihlašovacího jména a hesla,“ vysvětluje Martin Lohnert. „Proto by na to mělo být myšleno a použito adekvátní zabezpečení – přístroje by ideálně měly komunikovat pouze se serverem uvnitř organizace.“
Jak je na tom Česko
V České republice je aktuálně 96 připojených zdravotnických přístrojů k internetu, a tudíž potenciálně „připravených“ k zneužití. Z toho více než 80 v Praze. Trend má vzestupnou tendenci, připojených přístrojů přibývá. Přitom z pohledu zabezpečení instalace nových zařízení na internetu neprobíhá dostatečně důkladně.
Nemocnice jsou stále častějším cílem ransomwarových útoků. Infiltrace do nemocniční sítě nebo zdravotnické databáze by kyberzločincům poskytla přístup k tisícům osobních lékařských záznamů. Z velké části je to způsobeno nedostatečnou bezpečnostní ochranou a stále rostoucím počtem nezabezpečených připojených zařízení. Přestože dosud neexistují žádné zdokumentované důkazy o tom, že by hackeři ublížili pacientům prostřednictvím zdravotnického přístroje, odborníci v oblasti kybernetické bezpečnosti poukazují na to, že každé zdravotnické zařízení je hacknutelné.
Řešení pro zabezpečení lékařských IoT zařízení
Jak z toho ven? „Budováním povědomí o kybernetické bezpečnosti. Zavedením podnikovou bezpečnostní strategii do praxe. Proaktivním monitoringem vlastního ICT prostředí, rizik a nových hrozeb. A v neposlední řadě se připravit na kritické situace a umět na ně správně reagovat,“ radí Martin Lohnert.
Soitron je IT integrátor inovativních řešení a technologií původem ze Slovenska. Zaměstnává přes 800 lidí a jeho týmy pracují kromě Slovenska také v České republice, Rumunsku, Turecku, Bulharsku, Polsku a Velké Británii.