Foto: Getty
Det sidste sted, du bør bekymre sig om at blive hacket er lagt ud i en hospitalsseng. Men som trådløse enheder fortsætter med at fylde patienten værelser, denne frygt kan ikke hjælpe, men vokse.
I sidste uge, Department of Homeland Security (DHS), der er udstedt en rådgivende advarsel om en sårbarhed, udgravet i en sådan trådløse enhed. Sikkerhed forsker Scott Gayou identificeret otte sårbarheder i en sprøjte infusion af pumpen—en maskine, som anvendes til at administrere til patienter præcision doser af medicin intravenøst.
Den enhed, hvor Gayou opdaget sikkerhedshul kaldes Medfusion 4000 infusion pumpe, og det er fremstillet af Smiths Medical, en afdeling af den Britiske multinationale Smiths Group. Pumpen er indiceret til brug i administration af lægemidler, blod og lipid produkter, antibiotika og andre terapeutiske væsker. I tillæg til kritisk pleje patienter, pumpen bruges til at administrere anæstesi, og kan anvendes på pædiatriske og neonatale patienter, dvs, nyfødte babyer.
“Homeland Security” —eller mere specifikt sin Industrielle kontrolsystemer Cyber Emergency Response Team (ICS-CERT)—advarer i sin rådgivende: “en Vellykket udnyttelse af disse sårbarheder konstateret ved Gayou i Medfusion 4000 “kan tillade en hacker at skaffe sig uautoriseret adgang til og virkning af den påtænkte drift af pumpen.” Agenturet tilføjer: “på Trods af den segmenterede design, kan det være muligt for en hacker at kompromittere kommunikation modul og den terapeutiske modul af pumpen.”
Anvendelsen af maskiner til måling og administration af intravenøs medicin er ikke noget nyt, og disse enheder er meget krediteret med at reducere de store dosering fejl. Pædiatrisk dosering kræver det, for eksempel, kræver meget præcise målinger for at forebygge bivirkninger og dosering fejl i tilfælde af neonatal patient, der især kan være fatal. En infusion pumpe, som Medfusion 4000, der kan erstatte manuelle beregninger, der typisk udføres af apotek teknikere, hvis matematik kan kontrolleres af en autoriseret farmaceut, men er ofte alene, mens den faktisk udarbejdelse af sprøjter og IV poser, før de ankommer ved patientens seng.
På torsdag, Smiths Medical meddelt sine kunder i et brev at anerkende fejlen, selvom det nedtonet risikoen for, at patienter, som påstår: “muligheden for denne udnyttelse, der finder sted i et klinisk miljø er meget usandsynligt, da det kræver en complex og en usandsynlig række betingelser.”
Smiths Medical skrev også, at det har planer om at rette sårbarheder i software update til at blive udgivet fem måneder fra nu. I mellemtiden, men virksomheden har tilbudt en detaljeret liste over protokoller det siger skal forhindre, at de potentielle angreb. Listen omfatter yderligere udskille enheder fra andre dele af hospitaler’ netværk, tildele enheder statiske IP-adresser, og—ingen spøg—at bruge adgangskoder, der indeholder “store bogstaver, små bogstaver, specialtegn, og en minimal karakter længde på otte.”
Hackere udnytte sårbarheder i medicinsk teknologi kan være ting af dårligt skrevet Hollywood mordet plots, men det gør det ikke mindre skræmmende for de mennesker, der er afhængige af sådanne enheder til at leve. Sidste måned, for eksempel, næsten en halv million patienter med pacemakere, blev bedt om at aflægge rapport til deres læger for en firmware opdatering, når fabrikanten, afgivet en livstruende fejl, der ville give en ondsindet hacker at “få adgang, og udsteder kommandoerne til den implanterede medicinske enhed.”
Tilslutning af infusionspumper trådløst til et hospital netværk, endda til en lokal server, der ikke er forbundet til internettet, indebærer visse iboende risici. Mens den fordel, at patienter kan i høj grad opvejer de risici, der er ingen teknologi—gem måske, at der er brugt til militære formål—som kræver større kontrol og overvågning på den del af sikkerhedsfolk.