Foto: Getty
Det siste stedet du skulle behøve å bekymre deg for å bli hacket er lagt ut i en sykehusseng. Men som trådløse enheter fortsetter å fylle pasientens rom, frykten kan ikke hjelpe, men å vokse.
I forrige uke, Department of Homeland Security (DHS) utstedt en rådgivende advarsel om et sikkerhetsproblem avdekket i en slik trådløse enheten. Sikkerhet forsker Scott Gayou identifisert åtte sårbarheter i en sprøyte infusjon pumpe—en maskin som brukes til å administrere for pasienter presisjon doser av medisiner intravenøst.
Enheten som Gayou oppdaget sikkerhetsfeil kalles Medfusion 4000 infusjon pumpe, og det er produsert av Smiths Medical, en divisjon av den Britiske multinasjonale Smiths Group. Pumpen er indisert for bruk i administrasjon av legemidler, blod og lipid produkter, antibiotika og andre terapeutiske væsker. I tillegg til intensivavdeling pasienter, pumpen brukes til å administrere anestesi, og kan brukes på barn og neonatale pasienter, dvs., nyfødte babyer.
Homeland Security—eller mer spesifikt, sin Industrielle kontrollsystemer Cyber Emergency Response Team (ICS-CERT)—advarer i sin rådgivende: “Vellykket utnyttelse av disse sikkerhetsproblemene” identifisert av Gayou i Medfusion 4000 “kan føre til at en ekstern angriper å få uautorisert tilgang, og virkningen den hadde til hensikt å drift av pumpen.” Direktoratet legger til: “til Tross for segmentert design, kan det være mulig for en angriper å invadere kommunikasjon modul og den terapeutiske modul av pumpen.”
Bruk av maskiner for måling og administrasjon av intravenøs medisin er ikke noe nytt, og slike enheter er mye er kreditert med å redusere store dosering feil. Pediatrisk dosering krever, for eksempel, krever svært nøyaktige målinger for å hindre uønskede reaksjoner, og dosering feil i tilfelle av neonatal pasienten kan være spesielt kritisk. En infusjon pumpen, slik som Medfusion 4000, kan erstatte manuelle beregninger vanligvis gjort av apotek teknikere, som matematikk kan være verifisert av en dyktig farmasøyt, men er ofte igjen uten tilsyn mens faktisk tegne opp sprøyter og IV poser før de kommer på pasientens seng.
På torsdag, Smiths Medical varslet sine kunder på en bokstav for å erkjenne feil, selv om det bagatellisert risikoen for pasientene, å hevde: “muligheten for At denne utnyttelsen finner sted i en klinisk setting er svært lite sannsynlig, da det krever en kompleks og en usannsynlig rekke forhold.”
Smiths Medical skrev også at det planer for å korrigere svakheter i en programvareoppdatering for å bli utgitt fem måneder fra nå. I mellomtiden, men selskapet har tilbudt en detaljert liste av protokoller det sier bør unngå alle mulige angrep. Listen inneholder mer segregerende enheter fra andre deler av sykehus’ – nettverk, er å tilordne enheter statiske IP-adresser, og jeg tuller ikke—bruke passord med store bokstaver, små bokstaver, spesialtegn, og et minimum tegn på åtte.”
Angripere å utnytte sårbarheter i medisinsk teknologi kan være ting av dårlig skrevet Hollywood drapet tomter, men det gjør det ikke noe mindre skremmende for folk som er avhengige av slike enheter til å leve. Siste måned, for eksempel, nesten en halv million pasienter med pacemakere ble bedt om å rapportere til sine leger for en firmware oppdatering etter produsenten avslørt en livstruende feil som ville tillate en ondsinnet angriper å “få tilgang og problemer kommandoer til den implanterte medisinske utstyret.”
Koble infusjon pumper trådløst til et sykehus nettverk, selv til en lokal server som ikke er koblet til internett, utgjør visse iboende risiko. Mens fordel for pasientene kan i stor grad oppveier risikoen, det er ingen teknologi—kanskje med unntak av det som er brukt til militære programmer—noe som krever større innsyn og årvåkenhet på den delen av sikkerhet fagfolk.