Roboty: Aj do intenzívnej medicíny preniká čoraz viac zariadení ovládaných automaticky a pripojených na internet alebo vnútornú sieť nemocníc. To je ďalší z potenciálnych cieľov pre hekerov.

Máme sa báť? Hekeri si brúsia zuby na medicínske databázy, v ohrození budú aj roboprotézy a kardiostimulátory

S nástupom internetu vecí, pre ktorý sa vžila skratka IoT (Internet of Things), pribudli miliardy rozličných zariadení a senzorov schopných pripojiť sa na internet a šíriť, prípadne si medzi sebou vymieňať dáta. Navyše tieto zariadenia v čoraz väčšej miere fungujú „bez dozoru“, teda autonómne alebo poloautonómne.

Dnes je ich podľa spoločnosti Statista približne 23 miliárd, v roku 2025 by ich však malo byť už viac než 75 miliárd. A medzi nimi je aj veľa zariadení, ktoré zbierajú a archivujú citlivé údaje, týkajúce sa napríklad zdravotného stavu. Väčšina z nich je pritom chránená minimálne alebo nechránená.

Inzulínové pumpy v ohrození

Nejde pritom len o rôzne fitnesnáramky a smart hodinky, ale o ďalšie „nositeľné“ zariadenia prenášajúce dáta medzi pacientom a zdravotníckym personálom, napríklad kardiostimulátory, implantáty alebo inzulínové pumpy. Koncom minulého roku spoločnosť Johnson & Johnson informovala pacientov, že na jednom z modelov ich inzulínových púmp bola objavená bezpečnostná diera umožňujúca hekerom ovládnuť zariadenie a pacienta predávkovať
inzulínom. Pumpa však nebola
pripojená na internet, útočník sa musel nachádzať v jej bezprostrednej blízkosti.

Zmieňujeme sa o tom, lebo išlo o historicky prvý prípad, keď samotný výrobca medicínskych zariadení varoval pacientov pred rizikom ich softvérového zneužitia. Išlo o pumpu OneTouch Ping, v čase odhalenia problému ju v USA a Kanade využívalo približne 120-tisíc pacientov, pričom nezaznamenali žiaden reálny bezpečnostný incident.

OneTouch Ping: Pri tejto inzulínovej pumpe sa jej výrobca ako prvý rozhodol dobrovoľne informovať o softvérovom probléme umožňujúcom hekerovi regulovať množstvo inzulínu.
OneTouch Ping: Pri tejto inzulínovej pumpe sa jej výrobca ako prvý rozhodol dobrovoľne informovať o softvérovom probléme umožňujúcom hekerovi regulovať množstvo inzulínu.
Foto: OneTouch

Podobný problém sa vyskytol na modeli Animas OneTouch Ping s bezdrôtovým diaľkovým ovládačom, pričom bezpečnostní experti dokázali ovládnuť nešifrovanú komunikáciu medzi pumpou a ovládačom na vzdialenosť takmer desať metrov tak, že bolo možné aplikovať neautorizovanú inzulínovú injekciu. Približne v rovnakom čase o tom informoval Jay Radcliffe z bezpečnostnej firmy Rapid7 Inc.

Diaľkovo ovládnutá infúzia

Rovnako sa podarilo hekerom na diaľku ovládnuť automatické infúzne pumpy od spoločnosti Hospira a ľubovoľne v nich meniť dávkovanie látok. O tomto prípade v roku 2015 oficiálne informoval americký Úrad na kontrolu
potravín a liečiv (FDA). Ten v septembri tohto roku varoval aj pred kritickými bezpečnostnými chybami pri
infúznej pumpe Medfusion 4000 Wireless Syringe od spoločnosti Smith Medical.

Cez ňu hekeri dokázali nastaviť dávkovanie tak, že v realite by pacienta zabilo. Vážnych bezpečnostných dier našli hneď osem.

Zvolávačka kardiostimulátorov

Zanedbaná bezpečnosť nositeľnej elektroniky vedie k niektorým novým fenoménom - napríklad k zvolávacím akciám, aké poznáme skôr z automobilového priemyslu. Jedna veľká sa koná teraz v zámorí a týka sa približne pol milióna pacientov, ktorí majú zabudovaný niektorý zo šiestich modelov kardiostimulátorov od spoločnosti Abbott, vyrobených pred augustom 2017.

Zistená bezpečnostná diera umožňuje hekerom vybiť ich batériu alebo meniť rytmus srdca pacienta. Preto všetci musia opätovne navštíviť nemocnicu. Dobrá správa je, že kardio-stimulátory netreba z tela vybrať, stačí urobiť aktualizáciu firmvéru, ktorá trvá približne tri minúty.

Lukratívne databázy

Nejde však len o nebezpečný hardvér - medicínske databázy so súkromnými informáciami o pacientoch sú mimoriadne cenným artiklom na čiernom trhu a množia sa aj útoky priamo na nemocnice. Zariadenia pripojené na internet sú často životne dôležité pre pacientov a to robí nemocnice v očiach hekerov vhodnými cieľmi na vydieranie formou ransomvérových útokov, pri ktorých útočníci zašifrujú obsah na zasiahnutých počítačoch alebo serveroch, a za poskytnutie dešifrovacieho kľúča žiadajú výkupné, ktoré stúpa zväčša úmerne s časom váhania postihnutých organizácií.

Také útoky sa nevyhli ani Slovensku, v máji tohto roku napadol ransomvér Fakultnú nemocnicu v Nitre, v rovnakom čase identický vírus napadol minimálne 16 nemocníc v Spojenom kráľovstve a desiatky po celej Európe.

V minulom roku sa hekeri dostali napríklad k zdravotným údajom pacientov niekoľkých amerických poisťovní - pôvodne sa myslelo, že ich je necelých 700-tisíc, v skutočnosti ich však bolo 9,3 milióna. V polovici roku sa na Darknete táto databáza predala za 750 bitcoinov, ktoré mali v tom čase hodnotu približne pol milióna dolárov.

Zvolávačka: Takmer pol milióna pacientov s niekoľkými modelmi kardiostimulátorov musí v USA prísť do nemocníc - dôvodom je aktualizácia firmvéru, ktorý obsahuje bezpečnostnú dieru umožňujúcu úplné vybitie ich batérie.
Zvolávačka: Takmer pol milióna pacientov s niekoľkými modelmi kardiostimulátorov musí v USA prísť do nemocníc - dôvodom je aktualizácia firmvéru, ktorý obsahuje bezpečnostnú dieru umožňujúcu úplné vybitie ich batérie.
Foto: Shutterstock

Situácia u nás

V tejto súvislosti sme sa slovenských zdravotných poisťovní spýtali, či sú spokojné so zabezpečením údajov, ktoré o svojich poistencoch rôznym spôsobom archivujú. Za poisťovňu Dôvera nám odpovedal Branislav Cehlárik, ktorý si myslí, že ich aplikácia spĺňa vysoké bezpečnostné štandardy. „Do aplikácie sa klient dostane iba po aktivácii. To znamená, že musí prejsť registračným procesom a získať prihlasovacie meno a heslo - podobne ako do internetbankingu. Mobilná komunikácia je pritom zabezpečená a šifrovaná. Navyše sa v nej neuchovávajú žiadne citlivé dáta. Tie sa „doťahujú“ až po overení cez zabezpečené webové služby a po odchode z aplikácie sa opäť odstránia. Okrem toho aplikáciu pravidelne preventívne overujeme štandardizovanými bezpečnostnými testmi, pričom spolupracujeme s top expertmi na IT bezpečnosť. Uvedomujeme si, že v súčasnosti tvrdenie, že myslíme na všetky prípady, je relatívny pojem, no aj uvedená sumarizácia ukazuje, že robíme všetko pre to, aby sme dosiahli čo najvyššiu možnú bezpečnosť. Ešte raz by som chcel v tomto kontexte vyzdvihnúť mimoriadne dôležitý fakt, že naša aplikácia si neuchováva dáta, ale vždy sa nanovo doťahujú.“

So zabezpečením sú spokojní aj v zdravotnej poisťovni Union. Jej hovorkyňa Beáta Dupaľová-Ksenzsighová nám povedala: „Všetky naše weby, aplikácie a rozhrania, s ktorými prichádza náš klient do styku, sú zabezpečené výkonnými bezpečnostnými bránami (firewallmi), monitorujúcimi všetky dopyty ,zvonku‘ smerujúce na citlivé dáta, a komunikáciu, ktorú vyhodnotia ako potenciálne nebezpečnú, zablokujú. Okrem toho nonstop, 24 hodín denne, sedem dní v týždni monitorujeme prevádzku celej infra-štruktúry vrátane dát a sme presvedčení o tom, že sme dobre pripravení na prípadné hekerské útoky.“

Novú aplikáciu pre poistencov nedávno spustila aj Všeobecná zdravotná poisťovňa. Jej hovorkyňa Viktória Vasilenková nám povedala: „Mobilné aplikácie VšZP sa vyvíjajú natívne pre platformy IOS a Android, nepoužíva sa multiplatformový vývoj. Samozrejme, sú overované pomocou výkonných štandardizovaných OWASP (Open Web Application Security Project) testov, zameraných na najčastejšie formy útokov proti mobilným zariadeniam. Okrem toho je prístup k údajom zabezpečený dvojfaktorovou autentifikáciou používateľa a mobilné aplikácie komunikujú so servermi zabezpečeným šifrovaným kanálom. Samozrejmé je priebežné testovanie aplikácií aj aplikačných rozhraní.“

eHealth

Bezpečnosť dát je taktiež jednou z priorít v systéme eHealth. V súčasnosti systém obsahuje 53 aplikácií. Každá z nich sa skladá z viacerých samostatných modulov. Aplikácie sú z bezpečnostných dôvodov umiestnené na 86 fyzických serveroch a 77 virtuálnych serveroch. Spolu teda na 163 serveroch.

Overený prístup k serverom a dátam v súčasnosti zabezpečuje 39 fyzických bezpečnostných zariadení. Či to stačí, sa možno dozvieme už v najbližšom roku, keď by sa práve takéto systémy mali stať jedným z dôležitých cieľov hekerov.


VIDEO Plus 7 Dní