Zdravotnická zařízení pod útoky hackerů

Nemocnice a jejich vybavení, včetně zdravotnických přístrojů jsou vystaveny kyberbezpečnostním hrozbám. Stále více věcí je totiž propojeno počítačovými a internetovými sítěmi. Foto: max Pixel

Od malých neškodných chyb až po velmi nebezpečné viry, tomu všemu jsou vystavena zdravotnická zařízení, která monitorují stav pacientů a pomáhají s jejich léčbou v nemocnicích, ale i mimo nich. S tím, jak roste internetová konektivita, zvyšuje se také riziko, že se hackeři „nabourají“ do systémů nejrůznějších přístrojů a mohou tak vážně ohrozit zdraví. O úniku dat ze zdravotní dokumentace ani nemluvě.

 

Podle expertů je to bohužel daň za to, že připojení zařízení k internetu značně usnadňuje a zefektivňuje léčbu. „Zařízení, napojená na internet, mají mnoho benefitů,“ řekl listu Financial Times Christian Renaud, analytik společnosti 451 Group, která se zabývá výzkumem informačních technologií. „Za největší lze považovat prakticky permanentní dohled nad zdravotním stavem, telemedicínu a analýzu získaných dat, která může odhalit i závažné nemoci,“ dodal. Renaud ale uznává, že riziko zneužití existuje a může mít navíc daleko větší důsledky, než když vám někdo „hackne“ chladničku nebo televizor.

Kardio do servisu

Například letos v září americký kyberbezpečnostní tým spadající pod ministerstvo vnitřní bezpečnosti upozornil na problémy, které se týkají pump pro infuzní dávkování léků. Šlo o výrobky společnosti Smiths Medical. „Úspěšné proniknutí do systému přístroje může znamenat, že útočník je pak schopen na dálku dávkovat množství podávaného léku nebo dokonce pumpu zastavit a bezprostředně ohrozit zdraví pacienta,“ řekl listu Financial Times jeden z členů bezpečnostního týmu.

Zástupci společnosti Smiths Medical reagovali s tím, že pravděpodobnost takové události je velmi malá. Přesto ale přislíbili, že software u dávkovacích pump aktualizují a zabezpečí nejpozději do ledna příštího roku.

Smiths Medical ale není zdaleka jediným výrobcem zdravotnického zařízení, jehož produkty mohou mít hackeři v hledáčku. Například St Jude Medical se v těchto dnech soudí o to, kdo ponese náklady na úpravu softwaru u téměř půl milionu kardiostimulátorů, které už mají američtí pacienti ve svých tělech. St Jude Mdecial je začal svolávat do nemocnic a klinik, kde budou přístroje aktualizovány. Naštěstí není zapotřebí, aby jejich uživatelé podstupovali chirurgický zákrok.

Sdílená odpovědnost

Odpovědnost za tento problém prý neleží pouze na bedrech výrobce. „Nemocnice a kliniky také musí přehodnotit, jak budou podobné přístroje zabezpečovat,“ myslí si May Wangová, spoluzakladatelka a ředitelka odpovědná za technologický vývoj společnosti Zingbox, která se zabývá kyberbezpečností.

Americké nemocnice mají v průměru 10 až 15 zařízení připojených k internetu, připadajících na jedno lůžko. A to je podle Wangové přesně ten důvod, proč se léčebny nemohou ze zajištění kybernetické bezpečnosti vyvinit. „Musí pro to dělat daleko víc než dosud,“ tvrdí.

Wangová prý často hovoří se zdravotníky, kteří si stěžují, že přístroje fungují bez záplat (automatické odstraňování chyb nebo dvířek, kudy může hacker proniknout – pozn. red.) a data jsou odesílána bez zašifrování. Kromě toho téměř nespolupracují týmy informatiků, kteří jsou zodpovědní za informační systémy, a těch, kteří zdravotnické přístroje přímo obsluhují.

„Když se ptáme, kolik přístrojů je připojených k nemocniční počítačové síti, dávají nám tyto týmy různé odpovědi. A ani jeden z nich si zpravidla není jistý. To znamená, že vlastně nevědí,“ říká Wangová s tím, že je jasné, že bez většího dohledu se to zkrátka neobejde.

Sto tisíc nezabezpečených

Jak se ale zdá, problém nedostatečného zabezpečení (technického i personálního) je daleko širší. Bezpečnostní společnost Trend Micro totiž nedávno provedla studii, při které využila Shodan – software, který dokáže identifikovat a třídit zařízení, připojená k internetu. Zjistila, že více než sto tisíc zdravotnických zařízení a nemocničních počítačů na celém světě jsou zcela volně přístupné k potenciálním útokům zvenčí.

Že vina za případné napadení nějakého zařízení není jen na výrobcích, potvrzuje také kyberbezpečnostní analytička britské pobočky poradenské společnosti KPMG Caroline Rivettová. „Výrobci mají podle mého názoru jasný úkol v tom, aby dodali přístroje, které lze zabezpečit a také toto zabezpečení pravidelně aktualizovat. Ale odpovědnost je duální, protože pak jsou zde nemocnice, které zařízení musí používat bezpečnou formou,“ říká.

To se podle Rivettové musí změnit. Přínosy a rizika z internetu věcí, respektive z používání medicínského vybavení připojeného k internetu a jiným počítačovým sítím, musí být vyvážená. Máme do té doby na využívání těchto přístrojů rezignovat? Podle May Wangové nikoli. „Hackeři jsou vždy o krok za námi, protože jsou to oni, kdo se snaží prolomit bezpečnostní systémy, které se neustále vylepšují,“ míní. Přesto ale máme být při hospitalizaci obezřetní a nebát se si o informace o zabezpečení proti kyberútokům říkat.

Petr Musil