Nezabezpečené lékařské zařízení představuje online hrozbu pro miliony pacientů

Ve stínu výhod propojení lékařské techniky třeba v nemocnicích online přichází i hrozba. Americká FDA už vydala vážné varování, že se například infuzní pumpy mohou stát terčem hackerského útoku.

 

“Cokoliv je online, to se dá hacknout,” říká zlaté pravidlo internetové bezpečnosti. Ještě před pár lety platilo pro počítače, pak se jeho platnost rozšířila na přenosná zařízení jako jsou tablety a chytré telefony. Nyní se problémem stává snadná napadnutelnost toho, pro co se vžilo označení “internet věcí.” Online jsou nejen televize, ale v podstatě jakékoliv domácí spotřebiče, kterými proudí elektřina, hackeři umí ovládat automobily – a teď došla řada i na nemocniční vybavení.

Může za to seriál

Mohlo by vás zajímat

Na nebezpečí, které představuje propojení lékařských zařízení se sítí, amerického federálního regulátora FDA upozornil jedna epizoda televizního seriálu Homeland. Teroristé nebo jiní podobní obvyklí záporní hrdinové v ní prostřednictvím hacknutého kardiostimulátoru dokázali ochromit viceprezidenta Spojených států.

V praxi by útok tohoto typu byl méně dramatický, míní třeba Jamie Court z významné americké spotřebitelské organizace Consumer Watchdog. Court se domnívá, že neexistuje důvod, proč by hackeři měli útočit právě na zdravotnické vybavení. “Snad jen proto, že mohou,” dovozuje. Nicméně právě to může být docela dobře dostačujícím důvodem. Když je to možné, proč to nezkusit?

Pozornost FDA se zaměřila především na infuzní pumpu, kterou do amerických nemocnic dodává společnost Hospira. LifecarePCA, jak se přístroj jmenuje, se na trhu pohybuje ve zhruba deseti milionech exemplářích. To znamená, že by potenciální úrok mohl ohrozit stejný počet pacientů, kterým by online zařazená pumpa mohla bez problémů nadávkovat třeba smrtelnou dávku léků.

Potíž je, že LifecarePCA je považovaná za vysoce spolehlivé a důvěryhodné zařízení a proto u něj není vyžadovaná autentifikace údajů o požadované medikaci z centrálního registru, upozornil web PopScience. A co víc, výrobce vybavuje LifecarePCA firmwarem, ve kterém zejí bezpečnostní díry velikosti vrat od stodoly. Bezpečnostní experti poukazují na to, že taková míra podcenění rizika je alarmující. Výrobce a nemocnice odpovídají zhruba v tomto smyslu: Pokud by měl být firmware přístroje zabezpečen, vzrostla by jeho pořizovací i provozní cena a jeho používání by přestalo být ekonomicky efektivní. Následuje obvyklý mírně vyčítavý povzdech: A proč by to někdo měl vlastně dělat?

…a přece se hackuje

Odpověď by výrobce LifecarePCA i nemocnice mohly najít v dokumentaci clevelandského MetroHealth. V letech 2014 a 2015 byl v tamních online systémech detekován malware, který prostřednictvím zdravotnických zařízení zkopíroval a odeslal data téměř tisíce pacientů, konkrétně jich bylo 981.

Nemocnice přišla nejen o data jako jména a další osobní data pacientů. Jak se ukázalo, malware odesílal také údaje o medikaci, zdravotní stavu a jeho vývoji a to až po online odesílání záznamů z přístrojů sledujících třeba činnost srdce.

Podle vyjádření MetroHealth hackerům šlo o získání bankovních informací – místo nich se ale dostali přímo k údajům o lékařské péči. Stačilo, aby se hacker rozzlobený neúspěchem rozhodl trochu si pohrát se zdravotními údaji, mohlo dojít ke katastrofě.

Zdravotnická zařízení možnost, že by k takové katastrofě mohlo dojít, ignorují. Vede je k tomu prostý nedostatek fantazie. Jednoduše si neumí představit proč by to někdo dělal. V zájmu pacientů by bylo, aby se správě zabezpečení online provozů nemocnic začal věnovat někdo vybavený větší mírou představivosti.

Ondřej Fér, Ekonomický deník

Tomáš Cikrt