אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
הקלות הבלתי נסבלת של הפריצה לציוד רפואי צילום: shutterstock

הקלות הבלתי נסבלת של הפריצה לציוד רפואי

בדיקה מקיפה של חוקרי אבטחת מידע מצאה כי ציוד רפואי מתוחכם אינו מאובטח דיו. הסיכונים כוללים פריצה למערכות מחשוב רפואי, לציוד חיוני ואפילו למיכשור שהושתל אצל חולים

27.04.2014, 15:32 | רפאל קאהאן

מחקר שבוצע על ידי צוות מומחים בהובלתו של סקוט ארוון, סמנכ"ל אבטחת מידע של חברת Essentia Health המתפעלת כמאה מרכזים רפואיים ברחבי ארה"ב, מצא כי מצב אבטחת המידע של מערכות רפואיות מדאיג ביותר.

קראו עוד בכלכליסט

המחקר שנמשך כשנתיים ושעיקריו פורסמו שלשום (ו') באתר Wired, העלה מספר מפחיד של פרצות וליקויים אשר מעמידים את חייהם של חולים ומטופלים בסכנה חמורה.

המחקר מצא למשל פרצות בציוד כדוגמת משאבות להזרקה אוטומטית של מורפין, של תרופות כימותרפיות ואנטיביוטיקה שמאפשרות להאקר לשנות את המינונים מרחוק. עוד דוגמאות חמורות שנמצאו כוללות: מכשירי דפריבילציה המשמשים לטיפול בחולי לב שמושתלים בגופם ואשר מכילים רכיב בלוטות' ניתנים לגישה מרחוק - מה שמאפשר להפעילם ללא ידיעת המושתל; מערכות בקרת טמפרטורה של מקררים וציוד אחסון של תרופות אשר ניתנים להשתלטות מרחוק; מחשבים המשמשים לגישה לתיקים רפואיים אליהם ניתן לגשת ללא שום בעיה או אפילו מערכות רנטגן שאינן מכילות רכיבי אבטחת מידע בסיסיים.

אפילו רובוטים כירורגיים נמצאים בסכנה, צילום: אם סי טי אפילו רובוטים כירורגיים נמצאים בסכנה | צילום: אם סי טי אפילו רובוטים כירורגיים נמצאים בסכנה, צילום: אם סי טי

צוות המומחים של ארוון מצא בנוסף כי במקרים מסויימים הם יכלו לגרום לאתחול של מכשור וציוד, מה שגרם לאיפוס ההגדרות שלהם. מצב מסוכן ביותר במקרה והם משמשים לטיפול בחולים על בסיס פרוטוקול רפואי ספציפי. כל שינוי בהגדרות יכול לגרום להחמרה במצב המטופל ואף למוות, כמו במקרה של חולי סרטן או לב.

הבעיה העיקרית לדברי ארוון נעוצה בחוסר המודעות של בתי החולים לפרצות האלה. "למרות שנערכו מחקרים מרובים בנושא, חברות וארגוני בריאות לא שמות לב לסכנה. הם אינם מבצעים את הבדיקות ההכרחיות או מעריכים נכונה את הסכנות", הסביר ארוון".

ארוון נזהר מלנקוב בשמות היצרנים מפני שהוא מעוניין שהבעיות שחשף יטופלו במהירות. אולם לדבריו רוב הפרצות שחשף משותפות ליצרנים רבים ולציוד ומכשור עם ייעודים שונים. בין הבעיות שמצא ניתן למנות: גישה ללא אימות זהות המשתמש, סיסמאות חלשות כגון "1,2,3,4" או שמות משתמש כגון "admin". או גרוע מכך: שרתים ומערכות ניהול אליהן ניתן לגשת ללא הגבלה מהרגע שהאקר מצליח לחדור לרשת הארגונית.

הבעיות העיקריות: הצפנה ואימות משתמשים

הרעיון למחקר הגיע לאחר שבדיקה של מומחים חיצוניים ברשת של Essentia גילתה מספר גדול של פרצות במכשור שהיה מחובר לרשת של החברה. המומחים שארוון גייס מצאו למשל בעיות במשאבות אינסולין, ציוד החייאה ובעיות בסיסמאות גישה במכשירים רפואיים. הבדיקה שכנעה אותו לערוך מחקר פנימי בקרב כל המערכות, הציוד והמכשור של החברה.

רוב התיקים הרפואיים נמצאים כיום על מחשבי הרופאים רוב התיקים הרפואיים נמצאים כיום על מחשבי הרופאים רוב התיקים הרפואיים נמצאים כיום על מחשבי הרופאים

"ההנהלה גיבתה אותנו לחלוטין", הסביר ארוון, "בדקנו כל פיסת ציוד שברשותנו, החל ממערכות MRI ורנטגן וכלה במערכות לטיפול בחולי סרטן, לב, במערכות חדר לידה, רובוטים בחדרי ניתוח, ציוד הרדמה ואפילו מערכות איוורור וניטור". אחת הבעיות העיקריות שנמצאו הייתה במערכות מרושתות שמזרימות מידע ומאפשרות לציוד ל"דבר" עם ציוד אחר ולעדכן את התיקים הרפואיים של המטופלים.

"רוב המערכות אינן מוצפנות או מאובטחות, כך שאין בעיה להאקר למשוך את המידע שמועבר דרכן", מסר ארוון. "לא הייתה לנו בעיה לשנות את המידע באופן יזום, כך שמה שנרשם בסופו של דבר בתיק הרפואי היה לא נכון. הבעיה היא שהרופאים רגילים להסתמך על המידע הזה על מנת לקבוע את אופן הטיפול", הסביר.

חולי לב בסכנה כפולה

את המצב המדאיג ביותר מצא ארוון במערכות כגון מכשירי דפריבילציה לחולי לב אשר מושתלים בגופם ושמשמשים להחייאתם במקרה של דום לב או משאבות המשמשות להזרקה של תרופות באופן מבוקר. ארוון מצא שמספר מערכות כאלה מתבססות על מערכת ניהול מבוססת רשת, שמשתמשים בה ביומיום בעיקר אנשי צוות כגון אחיות.

ניתן על ידי המערכות האלה לשלוט מרחוק על פעולתם של המכשירים, כולל על מינוני תרופות ואפילו להפעיל מכת חשמל, שאמורה לגרום ללב לחזור לפעולה במקרה של דום-לב או אירוע לבבי. החלק המעודד הוא שהאקר שירצה לשלוט בהן יצטרך להיות בעל ידע רפואי מקצועי, מה שמקטין את הסיכון, אולם פורץ זדוני יכול פשוט לשנות את ההגדרות באופן גורף, מה שעלול לגרום למצבים מסכני חיים.

 

ארוון טוען שמערכת הבריאות החלה רק עכשיו להבין את הסכנות הטמונות באבטחת המידע של ציוד רפואי. "ליצרנים רבים לא היה עד כה שום מודעות לאבטחת מידע", אמר ארוון, "גם הרגולטורים לא דרשו מהם, אין שום בדיקה בתחום לפני שהמוצרים משווקים". רק לאחרונה החלה ה-FDA, רשות התרופות והמזון האמריקנית לבדוק את היישום של ההמלצות שלה בתחום. ארוון ציין כי כיום ישנה אפילו אפשרות ליצרן לעדכן את הציוד מבלי שיהיה מחוייב לבצע בדיקת רישוי מחודשת, מה שבדרך כלל לוקח זמן רב. בסופו של דבר מסכם ארוון, זה הכל בידיים של היצרנים.

תגיות

6 תגובות לכתיבת תגובה לכתיבת תגובה

6.
יש להכביד את היד על מתן אישורים למוצרים משובצי תוכנה הניתנת לפריצה
הן החוקה האמריקנית והן החוקה האירופאית , שתיהן אינן דורשות מבדקי שמירת מערכת בפני חדירה לא מאושרת ולכן יש בראש וברישונה לחוקק חוקים הסוגרים פירצה זו כנגד בדיקות חסינות מערכת ע"י גורמים שמנהלות הבריאות הסמיכו לצורך מתן אישור לחסינות בפני חדירה של גורם לא מאושר
28.04.14
לכל התגובות