JAN TÅNGRING:LUGN!Om du befinner dig på ett sjukhus just nu – rusa i panik mot utgången! Stopp! jag skojar bara! Allvarligt talat – hur ska man bedöma riskerna i detta avslöjande? Jag sticker ut hakan – utan att skoja – och hävdar att systemen är säkrare genom att de saknar intrångsskydd. Va?! Jo, så här tänker jag: ett extra programvarulager av intrångsskydd skulle gjort systemen komplexare. Det skulle statistiskt gett några av dem en extra bugg, med potentiellt allvarliga konsekvenser. Buggar i medicinsk elektronik har faktiskt dödat människor. Det har aldrig cyberattacker gjort, såvitt känt. Eller i ett annat scenario: doktorn behöver akut få ut en journal, men den ligger krypterad och nyckeln är borta. Det går förstås att resonera mer kring beredskap, terrorism, integritet och störningar i verksamheten. Men generellt gäller helt enkelt att om någon vill döda dig på sjukhuset, så finns betydligt enklare metoder. Möjligen bör nyckelpersoner vidta åtgärder – USA:s ex-vicepresident Dick Cheney har stängt av Bluetooth på sin inopererade defibrillator. Till sjukhusen blir mitt råd att se till att hålla antivirusprogrammen uppdaterade. Visst, täpp till läckorna från datajournalerna, av integritetsskäl. Men inte på ett sådant sätt att det äventyrar den legitima åtkomsten eller ens gör den krångligare. I övrigt: ta det lugnt med åtgärder tills någon presenterar ett realistiskt hot. Använd istället pengarna till åtgärder som vi vet räddar liv. |
– Många sjukhus är helt omedvetna om de höga risker som dessa apparater bär med sig. Forskning visar vilka risker som finns, men hälsoföretagen har inte reagerat. De gör inte de nödvändiga testerna. De borde fokusera mer på att riskbedömning.
Autentisering saknades ofta, och där den fanns användes ofta dåliga eller till och med fabriksinställda lösenord.
Många system var ofta lättanvända över nätet, med enkla webbgränssnitt med möjlighet att ändra bland annat medicin- och strålningsdoser.
Det fanns gott om nätuppkopplade pc på sjukhuset och via dessa kunde en angripare bryta sig med standardmetoder och därifrån vidare in i de interna nätverken. Eller så kunde en angripare på plats i sjukhuset helt enkelt plugga in bärbara dator i närmaste Ethernetuttag.
Vad gäller dokument fanns en attackväg via säkerhetskopiorna. Åtkomsten till röntgenbilder var skyddad av lösenord och användningen loggades. Men backupperna var helt oskyddade.
Det gick att komma åt kirurgrobotar över nätet.
– Vi har ännu inte tagit reda på vilka möjligheter som öppnades den vägen, kommenterar Scott Erven.
De säkra system var de som saknade nätverksuppkoppling, som narkosutrustning och andningsluftdosering.
Myndigheterna har inte reagerat på bristerna av de enkla skälet att de inte ställer krav på cybersäkerhet. Vad gäller funktionalitet finns stränga säkerhetsregler för medicinsk utrustning. Men motsvarande krav saknas helt vad gäller cybersäkerhet.
Det är till och med så att funktionalitetskraven kan stå i vägen för cybersäkerheten. Om du ändrar de fabriksinställda lösenordet, ska apparaten skickas tillbaka till tillverkaren för ny omständlig säkerhetsgranskning. Så har i alla fall tillverkare tolkat reglerna, även om det ifrågasätts av Scott Erven.