JavaScript is currently disabled.Please enable it for a better experience of Jumi.
Guidelines for contributing Technical Papers: download PDF
Ändra morfindosen, chocka patienten med defibrillatorn, tjuvläs röntgenbilder, stäng av medicinkylskåpet och dess temperaturlarm, ändra i journaler, radera apparaters inställningar – det här är en bråkdel av de IT-attackmöjligheter som en säkerhetsexpert upptäckte under en tvåårig studie på ett sjukhus. Majoriteten av systemen var oskyddade och enkla att bryta sig in i.
ImageJAN TÅNGRING:

LUGN!


Om du befinner dig på ett sjukhus just nu – rusa i panik mot utgången!

Stopp! jag skojar bara! Allvarligt talat – hur ska man bedöma riskerna i detta avslöjande?

Jag sticker ut hakan – utan att skoja – och hävdar att systemen är säkrare genom att de saknar intrångsskydd.

Va?! Jo, så här tänker jag: ett extra programvarulager av intrångsskydd skulle gjort systemen komplexare. Det skulle statistiskt gett några av dem en extra bugg, med potentiellt allvarliga konsekvenser.

Buggar i medicinsk elektronik har faktiskt dödat människor. Det har aldrig cyberattacker gjort, såvitt känt.

Eller i ett annat scenario: doktorn behöver akut få ut en journal, men den ligger krypterad och nyckeln är borta.

Det går förstås att resonera mer kring beredskap, terrorism, integritet och störningar i verksamheten. Men generellt gäller helt enkelt att om någon vill döda dig på sjukhuset, så finns betydligt enklare metoder.

Möjligen bör nyckelpersoner vidta åtgärder – USA:s ex-vicepresident Dick Cheney har stängt av Bluetooth på sin inopererade defibrillator.
 
Till sjukhusen blir mitt råd att se till att hålla antivirusprogrammen uppdaterade.

Visst, täpp till läckorna från datajournalerna, av integritetsskäl. Men inte på ett sådant sätt att det äventyrar den legitima åtkomsten eller ens gör den krångligare.

I övrigt: ta det lugnt med åtgärder tills någon presenterar ett realistiskt hot. Använd istället pengarna till åtgärder som vi vet räddar liv.
Studien gjordes av Scott Erven, säkerhetschef på Essential Health som driver cirka 100 sjukhus, kliniker och apotek i USA. Han hävdar att sjukhus behöver göra mer för att cybersäkra sin medicinelektronik:

– Många sjukhus är helt omedvetna om de höga risker som dessa apparater bär med sig. Forskning visar vilka risker som finns, men hälsoföretagen har inte reagerat. De gör inte de nödvändiga testerna. De borde fokusera mer på att riskbedömning.

Autentisering saknades ofta, och där den fanns användes ofta dåliga eller till och med fabriksinställda lösenord.

Många system var ofta lättanvända över nätet, med enkla webbgränssnitt med möjlighet att ändra bland annat medicin- och strålningsdoser.

Det fanns gott om nätuppkopplade pc på sjukhuset och via dessa kunde en angripare bryta sig med standardmetoder och därifrån vidare in i de interna nätverken. Eller så kunde en angripare på plats i sjukhuset helt enkelt plugga in bärbara dator i närmaste Ethernetuttag.

Vad gäller dokument fanns en attackväg via säkerhetskopiorna. Åtkomsten till  röntgenbilder var skyddad av lösenord och användningen loggades. Men backupperna var helt oskyddade.

Det gick att komma åt kirurgrobotar över nätet.

– Vi har ännu inte tagit reda på vilka möjligheter som öppnades den vägen, kommenterar Scott Erven.

De säkra system var de som saknade nätverksuppkoppling, som narkosutrustning och andningsluftdosering.

Myndigheterna har inte reagerat på bristerna av de enkla skälet att de inte ställer krav på cybersäkerhet. Vad gäller funktionalitet finns stränga säkerhetsregler för medicinsk utrustning. Men motsvarande krav saknas helt vad gäller cybersäkerhet.

Det är till och med så att funktionalitetskraven kan stå i vägen för cybersäkerheten. Om du ändrar de fabriksinställda lösenordet, ska apparaten skickas tillbaka till tillverkaren för ny omständlig säkerhetsgranskning. Så har i alla fall tillverkare tolkat reglerna, även om det ifrågasätts av Scott Erven.
MER LÄSNING:
 
SENASTE KOMMENTARER
Kommentarer via Disqus