Ir até o hospital pode te deixar ainda mais doente. Os equipamentos médicos são vulneráveis a hackers

Equipamentos médicos hackeados podem custar muito aos pacientes - sua saúde ou mesmo suas vidas.

Quase todos os ataques cibernéticos têm o mesmo objetivo - roubar o dinheiro de alguém. No entanto, como uma grande variedade de equipamentos está sendo conectada, um dispositivo com erros pode levar a consequências mais sérias do que perda de dinheiro. E a saúde e a vida humana?

 

Pegue os carros conectados , um exemplo perfeito de como um dispositivo pode representar um grande risco à vida e à integridade física. Uma parte mal-intencionada assumindo o controle de um carro que dirige sozinho pode facilmente causar um acidente. Equipamentos médicos inteligentes também estão em risco. Dispositivos projetados para nos manter saudáveis ​​também podem ser usados ​​para fazer o oposto.

 

Até o momento, não sabemos de nenhum caso documentado de equipamento médico comprometido que prejudica diretamente a saúde humana. No entanto, os especialistas regularmente encontram novas vulnerabilidades em dispositivos médicos, incluindo bugs que podem ser usados ​​para causar sérios danos físicos.

 

 

[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada!]

 

Como roubar dinheiro e ferir pessoas fisicamente são ações díspares, pode-se esperar que os hackers se abstenham de tomar essas medidas por razões éticas. Mas é mais provável que os criminosos não tenham se voltado para o hack de dispositivos médicos simplesmente porque (ainda) não sabem como obter lucro fácil com esses ataques.

 

Na verdade, os cibercriminosos têm atacado repetidamente hospitais com cavalos de Tróia e outro malware generalizado. Por exemplo, no início deste ano, uma série de infecções por ransomware atingiu centros médicos nos Estados Unidos, incluindo o Hollywood Presbyterian Medical Center em Los Angeles.

 

O hospital de Los Angeles pagou US $ 17.000 para receber seus registros de volta. No entanto, quando o Kansas Heart Hospital tentou fazer o mesmo, os criminosos não devolveram os arquivos, exigindo mais dinheiro. Como você pode ver, não podemos confiar em imperativos éticos para deter os criminosos: alguns sempre ficarão felizes em atacar estabelecimentos médicos por dinheiro fácil.

 

O equipamento médico passa pela inspeção e certificação exigidas - mas apenas como equipamento médico, não como tecnologia de computador conectada. Obviamente, o cumprimento dos requisitos de segurança cibernética é recomendado, mas permanece uma questão de critério do fornecedor. Como resultado, muitos dispositivos hospitalares sofrem de falhas óbvias, há muito conhecidas por especialistas de TI competentes.

 

A Food and Drug Administration regula a venda de dispositivos médicos e sua certificação. Tentando se adaptar ao ambiente conectado em evolução, o FDA divulgou diretrizes para fabricantes e prestadores de cuidados de saúde para melhor proteger os dispositivos médicos. No início de 2016, foi publicado um rascunho de um documento irmão. Mas todas as medidas são apenas consultivas. Portanto, ainda não é obrigatório proteger os dispositivos médicos que são essenciais para salvar vidas humanas.

 

Negligência fatal

 

Os fabricantes de equipamentos podem pedir ajuda a especialistas em segurança cibernética, mas, na verdade, eles costumam fazer exatamente o contrário, recusando-se até mesmo a fornecer seus dispositivos para teste. Os especialistas precisam comprar equipamentos usados ​​por conta própria para verificar se estão bem protegidos. Por exemplo, Billy Rios, que conhece dispositivos conectados por dentro e por fora, ocasionalmente também examina dispositivos médicos.

 

Cerca de dois anos atrás, Rios testou Hospira bombas de infusão, que são fornecidas a dezenas de milhares de hospitais em todo o mundo. Os resultados foram alarmantes: as bombas de injeção de drogas permitiam que ele alterasse as configurações e aumentasse os limites de dose. Como resultado, os malfeitores podem fazer com que os pacientes recebam doses maiores ou menores do medicamento. Ironicamente, esses dispositivos foram anunciados como à prova de erros.

 

Outro dispositivo vulnerável que Rios encontrou foi o Pyxis SupplyStation, produzido pela CareFusion. Esses dispositivos dispensam suprimentos médicos e facilitam a manutenção de contas. Em 2014, a Rios encontrou um bug que deixava qualquer pessoa entrar no sistema.

 

Em 2016, Rios recorreu mais uma vez ao Pyxis SupplyStation, desta vez com o colega especialista em segurança Mike Ahmadi. A dupla descobriu mais de 1.400 vulnerabilidades, metade das quais são consideradas muito perigosas. Embora os desenvolvedores terceirizados sejam os culpados por um grande número de bugs e os especialistas analisem apenas um modelo mais antigo da Pyxis SupplyStation, essas vulnerabilidades ainda são muito preocupantes.

 

O fato é que essas soluções estavam no fim de sua vida útil e, apesar de seu amplo uso, os desenvolvedores não forneceram nenhum patch para elas. Em vez disso, a CareFusion recomendou aos clientes a atualização para novas versões do equipamento. As organizações que não queriam fazer o upgrade receberam uma lista de dicas sobre como minimizar o risco de comprometimento desses sistemas.

 

É difícil - e caro - atualizar equipamentos antigos. Mas, por exemplo, a Microsoft já havia abandonado os sistemas operacionais instalados nos dispositivos, deixando-os fundamentalmente vulneráveis. As versões mais recentes do Pyxis SupplyStation são executadas no Windows 7 ou posterior e não são vulneráveis ​​a esses bugs.

 

É claro que os casos mencionados acima foram realizados como experimentos - para mostrar como os criminosos poderiam facilmente repetir isso se quisessem - não para causar nenhum dano real!

 

Quem é o culpado e o que devemos fazer?

 

A vida útil dos dispositivos médicos é muito mais longa do que o ciclo de vida do seu smartphone. Dezenas de anos para um equipamento caro não demoram muito. Além disso, embora os dispositivos mais recentes sejam menos vulneráveis ​​do que os desatualizados, com o tempo e sem o suporte adequado, eles se tornarão tão problemáticos quanto os mais antigos.

 

Como Mike Ahmadi explica: “Acho que é razoável para um fabricante de dispositivo médico ter um fim de vida declarado para um dispositivo médico e ter um fim de vida declarado para segurança cibernética para os dispositivos”.

 

O hack do Pyxis SupplyStation também tem o lado bom. É verdade que os desenvolvedores ignoraram os primeiros bugs que Rios descobriu, mas depois, a gigante empresa Becton Dickinson comprou a empresa, e sua nova administração vê os especialistas cibernéticos de maneira bem diferente. Talvez no futuro, as empresas prestem mais atenção à proteção contra bugs do que agora. E talvez eles até façam testes de vulnerabilidade massivos para novos dispositivos antes de entrarem no mercado.

 

 

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.


Strong

5136 Blog Postagens

Comentários