Czy pacjenci mogą czuć się bezpiecznie? Systemy IT w służbie zdrowia celem ataków cyber-przestępców.

30.04.2016

Służba zdrowia musi niezwłocznie wdrożyć profesjonalne rozwiązania zapewnienia bezpieczeństwa IT.

Zgodnie z obecnie obowiązującym stanem prawnym od dnia 1 sierpnia 2017 (czyli za niewiele więcej niż rok) dokumentacja medyczna będzie musiała być prowadzona wyłącznie w firmie elektronicznej.

Choć termin wejścia w życie zapisów dotyczących elektronicznych danych medycznych „Ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia” był już nieraz przesuwany, i tak może być i tym razem, musimy jednak liczyć się z tym, że ten moment nieuchronnie się zbliża i w końcu nastąpi.

Niewątpliwie wprowadzenie w życie postanowień Ustawy i rozporządzeń kolejnych Ministrów  Zdrowia dotyczących elektronicznej dokumentacji medycznej narzuca na cały system opieki zdrowotnej gigantyczne i bardzo odpowiedzialne zadanie wdrożeniowe. Bardzo liczę na to, że całe przedsięwzięcie zakończy się sukcesem. Konsekwencją uruchomienia systemów elektronicznej informacji medycznej będą zwiększone wymagania w zakresie bezpieczeństwa systemów informatycznych w szpitalach, przychodniach i innych placówkach związanych ochroną zdrowia.

Można wymienić kilka istotnych miejsc w medycznych systemach informatycznych, które mogą być podatne i wrażliwe na cyber-zagrożenia:

  • Bazy danych osobowych,
  • Bazy danych dotyczące stanu zdrowia pacjentów,
  • Systemy podtrzymywania życia i monitorowania stanu pacjentów,
  • Systemy HIS (Health Information Systems) w części medycznej i administracyjnej,
  • Urządzenia medyczne,
  • Pozostałe systemy, które mogą mieć wpływ na realizację kluczowych procesów.

Ottawa-Hospital

W styczniu 2016 rzecznik prasowy Szpitala w Ottawie poinformował, że 4 spośród prawie 10 tysięcy komputerów w szpitalu zostało zaatakowanych z użyciem oprogramowania ransomware. Ten typ złośliwego oprogramowania po kliknięciu na załącznik w przesyłce email, w łącze w emailu lub na stronie internetowej blokuje pliki na infekowanym komputerze. Po zapłaceniu okupu ofiara ataku otrzymuje klucz, który umożliwia ponowne otwarcie zaszyfrowanych plików. W przypadku tego ataku szpital nie zapłacił okupu, a służby informatyczne wyczyściły zawartość dysków i odtworzyły dane z użyciem kopii zapasowych. Szpital poinformował, że dane pacjentów nie były zagrożone.

Nie zawsze jednak możliwe jest zastosowanie takiej procedury.

5 lutego 2016 zaatakowano niektóre systemy w Hollywood Presbyterian Medical Center w Los Angeles. Allen Stefanek, dyrektor szpitala poinformował o zapłaceniu cyber-przestępcom 17 tysięcy dolarów okupu (telewizja NBC 4 podała informację o okupie w wysokości 3,7 miliona dolarów), ponieważ była to „najszybsza i najbardziej efektywna droga” do odzyskania dostępu do danych.  Efektem ataku był brak dostępu do szpitalnych baz danych i całkowity paraliż komunikacji elektronicznej między lekarzami i personelem medycznym, co wymusiło stosowanie w procesie obsługi pacjentów tradycyjnych metod takich dokumenty odręczne i telefony. Lekarze liczącego 434 łóżka oddziału neonatologii przesyłali dane obrazowe i karty pacjentów za pośrednictwem faksów. Sparaliżowana została izba przyjęć a 911 pacjentów musiało zostać obsłużonych w innych szpitalach.

Prowadzące dochodzenie policja oraz FBI oświadczyły, że sprawcy ataku są intensywnie poszukiwani, oraz że nie ma dowodów na wyciek danych medycznych.

Podobne problemy, również w lutym 2016, miała jedna z najlepszych klinik w Niemczech Lukas Hospital w Neuss (Nadrenia Północna-Westfalia). Atak spowodował konieczność przesunięcia terminów 20% zaplanowanych operacji i wykonywanie zabiegów ratujących życie w innych szpitalach.

Jak podaje portal wired.com wiele urządzeń medycznych jest podatnych na ataki hackerskie. Wśród nich również takie, których nieprawidłowe działanie może doprowadzić do śmierci pacjenta. Na liście znajdują się stymulatory serca, pompy insulinowe, dozowniki leków, aparaty rentgenowskie, tomografy, chłodziarki do krwi i wiele innych. Poniżej przedstawiam kilka przykładów.

hospira-lifecarepca-plum-a1

Dozownik leków Hospira LifeCare Drug Infusion Pump umożliwia nieautoryzowany dostęp a przez to zmiany dawek podawanych leków, a nawet podanie śmiertelnej dawki leku. Na świecie funkcjonuje 400 000 urządzeń tego producenta.

 

medtronic

Pompa insulinowa Medtronic Paradigm 512, 522, 712, 722 do sterowania używa nieszyfrowanych komend. Z tego powodu do urządzenia możliwe jest wysłanie nieautoryzowanych komend a przez to zmiany dawek podawanego hormonu, w tym także dawki śmiertelnej.

 

ICD

Implantable Carioverter Defibrilator (ICD) to implantowane do organizmu pacjenta urządzenie, które po wykryciu oznak zbliżającego się zatrzymania akcji serca generuje wyładowanie przywracające prawidłową jego pracę. Wiele z tych urządzeń posiada interfejs Bluetooth wykorzystywany do kalibracji i testowania bezpośrednio po wszczepieniu pacjentowi. Dostęp do ICD zabezpieczony jest prostym hasłem, które hacker może stosunkowo szybko odgadnąć. Po ustanowieniu dostępu do urządzenia istnieje możliwość generowania niechcianych wyładowań i zakłócania akcji serca.

 

Rentgen

Współczesne urządzenia rentgenowskie wyposażone są we własną przestrzeń dyskową przeznaczoną do przechowywania danych obrazowych. Dostęp do nich wymaga podania hasła, a dodatkowo rejestrowany jest każdorazowo rejestrowany – kto i kiedy przeglądał poszczególne zdjęcia. Testerzy wykryli jednak, że w wielu przypadkach w celu zabezpieczenia danych wykonywane są kopie zapasowe zdjęć. Dostęp do kopii zapasowych nie jest już autentykowany, a poszczególne dostępy nie są rejestrowane.

 

Blood-cooler

Chłodziarki do krwi to urządzenia przeznaczone do przechowywania krwi we właściwych warunkach. Z tego powodu wyposażone są w systemy monitorowania, które pozwalają na powiadamianie za pośrednictwem wiadomości email lub sms o odstępstwach od zaprogramowanej temperatury. Za pośrednictwem wbudowanego interfejsu Web możliwe jest odczytywanie rozmaitych parametrów urządzenia a także ich zmiana. Niestety niektóre z tych urządzeń posiadają na stałe wpisane domyślne hasła co umożliwia nieautoryzowany dostęp. Dzięki temu możliwa jest zmiana wartości zadanej temperatury oraz wyłączenie systemu powiadamiania o niewłaściwej temperaturze wewnątrz urządzenia.

 

CT

Niektóre urządzenia CT (computed tomography) wykazują podatność na ataki hackerskie polegające na modyfikacji ich plików konfiguracyjnych. Dzięki temu możliwa jest zmiana parametrów ekspozycji pacjenta podczas badania. Umożliwia to między innymi  zmianę mocy i czasu trwania naświetlań wiązką promieniowania rentgenowskiego. Ponieważ współczesne tomografy wykonują nawet do 2 000 000 projekcji może to mieć istotne znaczenie dla stanu zdrowia pacjenta.

Część podatności wynika z błędów oprogramowania urządzenia, inne prozaicznie z pozostawienia przez administratorów domyślnych, możliwych do uzyskania w Internecie haseł dostępowych. Warto dodać, że na skutek błędów w konfiguracji sieci LAN i styku z siecią Internet niektóre urządzenia medyczne są wręcz widoczne poza wewnętrzną siecią szpitala czyli dla każdego użytkownika Internetu na świecie.

Z uwagi na złożoność procesu leczenia oraz innych procesów realizowanych w służbie zdrowia z pewnością znaczenie rozwiązań informatycznych w medycynie będzie systematycznie wzrastać. Z tego powodu należy niezwłocznie wdrażać profesjonalne rozwiązania w zakresie bezpieczeństwa informacji.

Wśród elementów systemów IT, na które należy zwrócić szczególną uwagę wymieniłbym:

  • Centra przetwarzania danych (data center),
  • Sieci komputerowe oraz styk z siecią Internet,
  • Systemy HIS,
  • Poczta elektroniczna i dostęp do zasobów sieci Internet,
  • Komputery użytkowników oraz urządzenia mobilne (tablety, smatfrony),
  • Urządzenia medyczne,
  • Systemy monitoringu i kontroli dostępu.

Konkretne działania, które należy podjąć to:

  • Analiza BIA (Business Impact Analisys) czyli badanie wpływu różnego typu zakłóceń na kluczowe procesy,
  • Cykliczne audyty bezpieczeństwa i testy penetracyjne,
  • Wdrożenia zaleceń poaudytowych,
  • Wdrożenie i nadzór nad wykonywaniem polityki bezpieczeństwa,
  • Realizacja i nadzór nad wykonywaniem rutynowych działań związanych z bezpieczeństwem.

Wszystkie powyżej wymienione czynności może wykonywać szpitalny personel IT, wyspecjalizowane komórki organizacyjne lub zewnętrzne firmy w ramach umów outsourcingowych. W obecnych realiach służby zdrowia, biorąc pod uwagę skuteczność działania oraz bieżące koszty operacyjne, rozsądną i dającą szybki efekt opcją jest wykorzystanie usług specjalistycznych firm zewnętrznych.

Więcej informacji na temat zagadnień związanych z bezpieczeństwem IT można znaleźć na naszej stronie internetowej. Zapraszamy też do zapoznania się z informacjami dotyczącymi oferowanej przez nas usługi Security Operations Center.