Czy haker może przejąć kontrolę nad urządzeniem medycznym – czyli rzecz o cyberbezpieczeństwie

Czy haker może przejąć kontrolę nad urządzeniem medycznym – czyli rzecz o cyberbezpieczeństwie

Autor: dr n. med. Artur Oręziak
Klinika Zaburzeń Rytmu Serca, Instytut Kardiologii, Warszawa

Niemal każde obecnie sprzedawane urządzenie medyczne, takie jak glukometr, pompa insulinowa, monitor ciśnienia krwi i czynności serca, stymulator serca, wszczepialny kardiowerter-defibrylator (ICD), zawiera wbudowany system komputerowy, który ma możliwość bezprzewodowego przesyłania danych, bądź też w ostateczności może te dane przekazywać do serwerów sieci szpitalnej po bezpośrednim przewodowym podłączeniu do sieci informatycznej.

Niezaprzeczalną korzyścią ze stosowania takich rozwiązań jest szybkość uzyskiwanych informacji, brak obawy o utracenie (zagubienie) wyników badań, dostępność dla osób uprawnionych i łatwość w odnajdywaniu ich w konkretnym miejscu, a więc w dokumentacji przypisanej do konkretnego pacjenta, oraz przekazywanie informacji klinicznych od pacjentów do klinicystów i zarządzanie terapią w czasie rzeczywistym, co z pewnością poprawia opiekę nad pacjentem.

Zastosowanie digitalizacji danych medycznych, zwiększonej łączności sieciowej, a także wykorzystywanie urządzeń i aplikacji mobilnych spowodowało pojawienie się możliwości infekcji urządzeń złośliwym oprogramowaniem oraz narażenie na nieautoryzowany dostęp czy ryzyko włamania do systemu sterującego. Szybka, ewoluująca natura zagrożeń cyberbezpieczeństwa oznacza, że zakres i charakter potencjal-nych problemów związanych z bezpieczeństwem urządzeń medycznych jest do pewnego stopnia nieznany. Odpowiednie zarządzanie i identyfikacja ryzyka są niezbędne, aby sprostać wyzwaniom związanym z coraz bardziej złożonym systemem bezpieczeństwa nowoczesnych technologii w celu zapewnienia bezpiecznej opieki nad pacjentem.

W Stanach Zjednoczonych Ameryki Północnej Agencja ds. Żywności i Leków (FDA – Food and Drug Agency) jest organem odpowiedzialnym za to, że zarówno pacjenci, jak i świadczeniodawcy opieki zdrowotnej mają dostęp do bezpiecznych i skutecznych wyrobów medycznych, a więc także i implantowanych urządzeń do elektroterapii serca (ang. CIED – cardiac implantable electronic devices).

FDA zaniepokojona pojawieniem się możliwości naruszenia bezpieczeństwa urządzeń szpitalnych wydała komunikaty i zalecenia dla producentów i użytkowników, w których zaleca się producentom urządzeń medycznych i placówkom opieki zdrowotnej wprowadzenie odpowiednich zabezpieczeń w celu zmniejszenia ryzyka awarii urządzenia w wyniku cyberataku. Producenci urządzeń medycznych już na wczesnych etapach cyklu projektowania i tworzenia oprogramowania powinni brać pod uwagę to, że ktoś (np. hakerzy, przestępczość zorganizowana, terroryści) celowo mógłby wykorzystać urządzenia medyczne w celu sprowokowania niebez-pieczeństwa i wyrządzenia szkody pacjentowi lub wydobycia chronionych informacji zdrowotnych pacjentów. Producenci powinni również rozważyć współpracę z inżynierami klinicznymi i lekarzami w celu opracowania katalogu przypadków użycia, na podstawie których można zidentyfikować luki w zabezpieczeniach specyficzne dla danego wyrobu medycznego.

Do chwili obecnej FDA wydała kilka komunikatów dotyczących bezpieczeń-stwa związanych z zagrożeniami w urządzeniach medycznych. Każdy komunikat dotyczący bezpieczeństwa został wydany w odpowiedzi na raporty niezależnych badaczy dotyczących zidentyfikowanych podatności na zagrożenia cybernetyczne.

Szczególną grupę urządzeń medycznych stanowią CIED, które obecnie mają możliwość zdalnego przesyłania informacji, zarówno technicznych dotyczących parametrów urządzenia, jak i diagnostycznych – pomiarów wykonywanych i zarejestrowanych przez implant. Zdalne monitorowanie ma niezaprzeczalne atuty w postaci bardzo szybkiego dostarczenia informacji o niekorzystnym zdarzeniu arytmicznym czy pojawiającej się usterce, co umożliwia niemal natychmiast podjęcie interwencji przez ośrodek sprawujący zdalną kontrolę, ale też daje szansę na przechwycenie transmitowanych danych i hipotetycznie umożliwia nieautoryzowany dostęp do oprogramowania CIED dzięki istniejącym w nim lukom. Przykładem takim może być potencjalna możliwość uzyskania zdalnego dostępu do CIED firmy Abbott (St. Jude Medical) za pomocą luki w zabezpieczeniach transmiterów Merlin, co mogłoby umożliwić wysłanie poleceń programowania do implantu, które mogłyby wpłynąć na częstotliwość stymulacji, wyzwolenie wyładowań wysokoenergetycznych lub spowodować szybkie wyczerpanie się baterii zasilającej. Na szczęście luka w oprogramowaniu została naprawiona przed jakimkolwiek znanym rzeczywistym cyberatakiem, który mógłby spowodować katastrofalne skutki dla pacjenta.

W sierpniu 2018 r. opublikowano informację dotyczącą rodziny pomp insu-linowych firmy Medtronic zdolnych do dostarczania zdalnie kontrolowanej insulinoterapii. Wykazano, że istnieje możliwość zdalnego podania bolusa z insuliny bez wiedzy pacjenta, powodując u niego hipoglikemię. Medtronic wydał zalecenia wyłączenia opcji zdalnego bolusa w pompach insulinowych w modelu, u którego zidentyfikowano ten problem.

W październiku 2018 r. FDA wydała komunikat bezpieczeństwa dotyczący potencjalnych podatności na uszkodzenia w transmiterach Medtronic CareLink 2090, używanych do zdalnej kontroli CIED. Aktualizacje oprogramowania dla programatora można było uzyskać bezpośrednio (przez port USB) lub automatycznie pobrać z sieci internet z serwerów producenta. Okazało się, że podczas zdalnego pobierania aktualizacji oprogramowania transmitera nieautoryzowany użytkownik może zmienić jego program tak, by w przyszłości móc wpływać na sparowany z transmiterem CIED. Ta luka oprogramowania, mimo że nie ingeruje bezpośrednio w ustawienia CIED, może pozwolić na przejęcie kontroli nad implantem, potencjalnie powodując niekorzystne skutki u pacjenta. W odpowiedzi na te doniesienia Medtronic wyłączył możliwość zdalnej aktualizacji oprogramowania tego modelu transmitera CareLink.

W każdym opisanym powyżej przypadku nieprawidłowości i luki oprogramowania były wykryte w warunkach laboratoryjnych i nie spowodowały uszczerbku na zdrowiu pacjentów. Szczególne obawy budzą elektroniczne urządzenia medycz-ne, które są wszczepiane w ciało pacjenta (stymulatory serca, ICD, neurostymulatory i systemy dostarczania leków). Nierzadko bowiem od nich zależy bezpośrednio życie pacjentów i w przypadku stwierdzenia naruszeń bezpieczeństwa decydujących o wy-mianie tych implantów, w przeciwieństwie do urządzeń zewnętrznych, chorzy muszą przejść kolejną procedurę inwazyjną w celu eksplantacji dotychczasowego i implantacji nowego, wolnego od wad urządzenia.

Jednym z głównych wyzwań związanych z analizowaniem cyberbezpieczeństwa CIED jest to, że ryzyko ingerencji należy scharakteryzować inaczej w porównaniu z konwencjonalnym ryzykiem związanym z urządzeniem (np. uszkodzenie elektrody itp.). Ocena ryzyka cyberataku związana jest z oceną podatności urządzenia/syste-mu na ingerencję oraz ocenę możliwych do osiągnięcia skutków takiego postępo-wania. Choć dotychczas scenariusz cyberataku wydawał się mało prawdopodobny, to FDA rekomenduje regularne wdrażanie rutynowych aktualizacji oprogramowania. Aktualizacja oprogramowania pozwala na likwidację dotychczas zidentyfikowanych jego niedoskonałości i musi stać się normalną, niemal codzienną praktyką, co spowoduje, że zdalny, nieautoryzowany dostęp do CIED będzie trudniejszy, a zarazem mniej kuszący.

Dlatego też wraz z rosnącą liczbą urządzeń medycznych z możliwościami łączności bezprzewodowej działających w różnych miejscach systemu opieki zdrowotnej będzie zmieniał się zakres i charakter wymaganego bezpieczeństwa dotyczącego przesyłania i przechowywania danych medycznych. Placówki służby zdrowia będą musiały dostosowywać swoje syste-my informatyczne wraz z pracującym tam personelem do wciąż zmieniających się możliwości technologicznych. Osoby odpowiedzialne za technologię informacyjną, integralność systemu w placówkach opieki zdrowotnej będą musiały nie tylko odnosić się do teraźniejszości, ale i przewidywać przyszłe zagrożenia związane z bezpieczeństwem urządzeń medycznych w celu zapewnienia bezpieczeństwa pacjentom i ich informacjom zdrowotnym.

Należy podkreślić, że mimo tysięcy CIED dotychczas nie odnotowano donie-sień o uszczerbku na zdrowiu pacjentów, który mógłby powstać w efekcie naruszenia cyberbezpieczeństwa. Z uwagi na ciągły rozwój technologiczny prawdopodobne wydaje się wykrycie podatności na nieautoryzowane ingerencje w wielu urządzeniach medycznych. Ważna jest świadomość ryzyka w dziedzinie bezpieczeństwa urządzeń wszczepialnych, a także znajomość moż-liwości zapobiegania tym niekorzystnym zjawiskom.

Bezpieczeństwo cybernetyczne jest obowiązkiem wszystkich zainteresowanych stron i wymaga ścisłej współpracy, komunikacji oraz edukacji całej społeczności – zarówno producentów, personelu medyczne-go, jak i pacjentów.

Potencjalne ryzyko związane z urządzeniami medycznymi wykorzystującymi połączenia sieciowe

  • Zakłócenia elektromagnetyczne
  • Wadliwe lub nietestowane oprogramowanie
  • Luki w zabezpieczeniach i prywatności umożliwiające nieautoryzowany dostęp
  • Błędnie skonfigurowane sieci lub niezachowane standardy bezpieczeństwa
  • Brak instalacji na czas aktualizacji oprogramowania zabezpieczającego producenta i poprawek na urządzeniach medycznych
  • Niewłaściwe usuwanie danych lub informacji pacjenta, w tym wyników badań lub dokumentacji medycznej Niekontrolowana dystrybucja haseł dostępu, pozostawianie haseł dostępu bez nadzoru
    Brak okresowej zmiany haseł dostępu
    Transfer sieciowy (np. przez e-mail lub kanał zdalnego dostępu)
  • Oprogramowanie szpiegujące, wykradające hasła, infekowanie złośliwego oprogramowania Nieautoryzowane zmiany ustawień urządzenia, przeprogramowanie
  • Wykorzystywanie technologii bezprzewodowej w celu uzyskania dostępu do danych pacjenta, systemów monitorowania i wszczepionych urządzeń medycznych
  • Celowane cyberataki na urządzenia wszczepialne, np. odmowa działania, przyspieszone zużycie baterii, szkodliwe i niebezpieczne działanie