Az internet segítségével összekapcsolt orvosi eszközök az adatokat távolról juttatják el az orvoshoz, így a betegek állapota folyamatosan monitorozható, és akár beavatkozásra is mód van. Azonban ezen eszközök biztonsága is kívánnivalót hagy maga után.

Tavaly nyáron lehettünk tanúi az első hasonló esetnek, mikor egy biztonsági szakember az amerikai St. Jude Medical egyik termékében biztonsági hibára bukkant. A cég a szívritmus-szabályozók, belső defibrillátorok és egyéb orvosi eszközök vezető gyártója. A kérdéses eszköz egy internetre csatlakoztatható transzmitter, mely távolról figyeli a páciens szívét, miközben a szívritmus-szabályzónak a státuszát is követi. Az eszköz segítségével a szívritmus-szabályzót is állítani lehet – igaz, ennek feltétele, hogy a páciens a transzmitter közelében legyen.

A kutatók szerint egy engedély nélküli külső személy hozzáférhet a transzmitter bizonyos adataihoz, vagyis a beültetett eszköz adataihoz. A sérülékenységet kihasználva az eszközt át lehet állítani, hogy az nem megfelelően működjön. Például a defibrillátor a szükségesnél gyakrabban sokkolja a szívet, esetleg komoly, visszafordíthatatlan kárt okozva benne. Arról nem is beszélve, hogy az eszköz hamarabb lemerül, és nem áll rendelkezésre, mikor szükség lenne rá.

Sajnos ez nem az első eset. Két évvel ezelőtt, 2015-ben egy német kutatónak sikerült távolról, hálózati kapcsolaton keresztül sikerült kikapcsolnia egy altatógép lélegeztető funkcióját. A szakértő az 1990-es években használt biztonsági szabványokat találta meg egyes orvosi eszközökön. Hibás inzulin adagolókat is találtak: a sérülékenység kihasználásával halálos dózisú inzulint lehetett volna a betegbe juttatni. Ez több, a kórházakban általánosan használt orvosság-adagolóra igaz.

Orvosi eszközök IT biztonságára is figyelni kell

A G Data szakértői szerint a hiba általános, a legtöbb piacra dobott internetre köthető orvosi eszköz elavult biztonsági beállításokkal kerülhet a piacra. Az eszközök egészségügyi engedélyezési folyamata nagyon hosszú, ez idő alatt pedig sérülékenységek tucatjai válnak ismertté. Ha a gyártó változtat valamit az eszközökön – például frissíti szoftverét –, akkor esetenként az újra kell engedélyeztetni.

A G Data szakértői nem tartanak valószínűtlennek egy olyan forgatókönyvet, ahol a jövő hekkertámadásában már nem adataink törlésével fenyegetőznek majd a zsarolók, hanem az életben tartó orvosi eszközök lekapcsolásával.

Szerencsére, egyetlen olyan ismert eset sincs, mikor a szóba forgó eszköz miatt valaki komoly veszélybe került volna. Az esetek azonban arra felhívják a figyelmet, hogy az IT biztonságra az egészségügyi, orvosi eszközök tervezésekor is kiemelten kell figyelni. Hiszen itt nem pénzbeli károkozásról van szó, hanem a szó szoros értelmében az emberi szívek szétszakadását próbáljuk megelőzni.