Foto: Getty
De laatste plaats moet je zorgen hoeft te maken over gehackt is vastgelegd in een ziekenhuis bed. Maar als draadloze apparaten blijven vullen patiënt kamers, die angsten kan het niet helpen maar groeien.
Vorige week, het Department of Homeland Security (DHS) heeft een adviserende waarschuwing over een kwetsbaarheid gevonden in een dergelijke draadloze apparaat. Security-onderzoeker Scott Gayou geïdentificeerd acht kwetsbaarheden in een spuit-infusiepomp—een machine die wordt gebruikt voor het beheren van patiënten precisie dosering van medicatie intraveneus.
Het apparaat waarin Gayou ontdekte het lek wordt genoemd de Medfusion 4000 infuus pomp en het is vervaardigd door Smiths Medical, een divisie van de Britse multinational Smiths Group. De pomp is geïndiceerd voor gebruik bij het toedienen van medicijnen, bloed en lipide producten, antibiotica en andere therapeutische vloeistoffen. In aanvulling op de intensive care patiënten, de pomp wordt gebruikt voor het beheren van de narcose, en kan worden gebruikt voor pediatrische en neonatale patiënten, d.w.z. pasgeboren baby ‘ s.
Homeland Security—of meer specifiek, de Industrial Control Systems Cyber Emergency Response Team (ICS-CERT)—waarschuwt in zijn advies: “Succesvolle exploitatie van deze kwetsbaarheden” geïdentificeerd door Gayou in de Medfusion 4000 “kan een aanvaller op afstand de mogelijkheid om onbevoegd toegang en de impact van de beoogde werking van de pomp.” Het agentschap voegt toe: “Ondanks de gesegmenteerde ontwerp, is het mogelijk voor een aanvaller om compromissen te sluiten de communicatie module en de therapeutische module van de pomp.”
Het gebruik van machines voor het meten en toedienen van intraveneuze drugs is niets nieuws en dergelijke apparaten op grote schaal worden gecrediteerd met het verminderen van de grote dosering fouten. Pediatrische dosering vereist, bijvoorbeeld, vereist zeer nauwkeurige metingen naar het voorkomen van bijwerkingen en dosering fouten in het geval van een neonatale patiënt kan vooral fataal. Een infusiepomp, zoals de Medfusion 4000, kan het vervangen van handmatige berekeningen meestal gedaan door de apotheek technici, waarvan de wiskunde kunnen worden gecontroleerd door een bekwame apotheker, maar vaak zonder toezicht wordt achtergelaten, terwijl in feite het opstellen van spuiten en IV zakken voordat ze aankomen bij het bed van een patiënt.
Op donderdag, Smiths Medical gegeven van zijn klanten in een brief erkent de fout, maar het gebagatelliseerd de risico ‘ s voor patiënten, die beweert: “De mogelijkheid van dit misbruik plaatsvindt in een klinische setting is zeer onwaarschijnlijk, want het vereist een complex en een onwaarschijnlijke reeks van voorwaarden.”
Smiths Medical schreef ook dat het van plan is om de juiste kwetsbaarheden in een software-update worden vrijgegeven vijf maanden vanaf nu. In de tussentijd echter, het bedrijf heeft een gedetailleerde lijst van protocollen, het zegt moet voorkomen dat eventuele potentiële aanvallen. De lijst omvat verdere segregatie van de apparaten uit andere delen van de ziekenhuizen’ netwerken, het toewijzen van de apparaten statische IP-adressen, en—geen grapje—het gebruik van wachtwoorden met hoofdletters, kleine letters, speciale tekens en met een minimale teken lengte van acht.”
Aanvallers exploitatie van kwetsbaarheden in de medische technologie kan de spullen van slecht geschreven Hollywood de moord op de percelen, maar dat maakt het niet minder eng voor de mensen die afhankelijk zijn van dergelijke apparaten te leven. Afgelopen maand bijvoorbeeld, bijna een half miljoen patiënten met pacemakers werden geïnstrueerd te melden aan hun arts voor een firmware-update, nadat het de fabrikant verstrekt een levensbedreigende fout dat zou een kwaadaardige hacker “toegang en commando’ s aan het geïmplanteerde medische apparaat.”
Het aansluiten van een infuus pompen draadloos naar een ziekenhuis netwerk, zelfs naar een lokale server die niet is aangesloten op het internet, stelt bepaalde inherente risico ‘ s. Terwijl het voordeel voor patiënten is veel groter dan die risico ‘ s, is er geen technologie—behalve misschien dat die wordt gebruikt voor militaire toepassingen—dat vraagt meer controle en waakzaamheid op het deel van security professionals.