הקלות הבלתי נסבלת של הפריצה לציוד רפואי
בדיקה מקיפה של חוקרי אבטחת מידע מצאה כי ציוד רפואי מתוחכם אינו מאובטח דיו. הסיכונים כוללים פריצה למערכות מחשוב רפואי, לציוד חיוני ואפילו למיכשור שהושתל אצל חולים
מחקר שבוצע על ידי צוות מומחים בהובלתו של סקוט ארוון, סמנכ"ל אבטחת מידע של חברת Essentia Health המתפעלת כמאה מרכזים רפואיים ברחבי ארה"ב, מצא כי מצב אבטחת המידע של מערכות רפואיות מדאיג ביותר.
- שלמי לי, או שאחשוף את הניתוח הפלסטי שעשית
- סטארט-אפיסט, שלם או שנחריב לך את האתר
- מיקרוסופט: "מחשבי בתי החולים הם המטרה הבאה של ההאקרים"
המחקר שנמשך כשנתיים ושעיקריו פורסמו שלשום (ו') באתר Wired, העלה מספר מפחיד של פרצות וליקויים אשר מעמידים את חייהם של חולים ומטופלים בסכנה חמורה.
המחקר מצא למשל פרצות בציוד כדוגמת משאבות להזרקה אוטומטית של מורפין, של תרופות כימותרפיות ואנטיביוטיקה שמאפשרות להאקר לשנות את המינונים מרחוק. עוד דוגמאות חמורות שנמצאו כוללות: מכשירי דפריבילציה המשמשים לטיפול בחולי לב שמושתלים בגופם ואשר מכילים רכיב בלוטות' ניתנים לגישה מרחוק - מה שמאפשר להפעילם ללא ידיעת המושתל; מערכות בקרת טמפרטורה של מקררים וציוד אחסון של תרופות אשר ניתנים להשתלטות מרחוק; מחשבים המשמשים לגישה לתיקים רפואיים אליהם ניתן לגשת ללא שום בעיה או אפילו מערכות רנטגן שאינן מכילות רכיבי אבטחת מידע בסיסיים.
צוות המומחים של ארוון מצא בנוסף כי במקרים מסויימים הם יכלו לגרום לאתחול של מכשור וציוד, מה שגרם לאיפוס ההגדרות שלהם. מצב מסוכן ביותר במקרה והם משמשים לטיפול בחולים על בסיס פרוטוקול רפואי ספציפי. כל שינוי בהגדרות יכול לגרום להחמרה במצב המטופל ואף למוות, כמו במקרה של חולי סרטן או לב.
הבעיה העיקרית לדברי ארוון נעוצה בחוסר המודעות של בתי החולים לפרצות האלה. "למרות שנערכו מחקרים מרובים בנושא, חברות וארגוני בריאות לא שמות לב לסכנה. הם אינם מבצעים את הבדיקות ההכרחיות או מעריכים נכונה את הסכנות", הסביר ארוון".
ארוון נזהר מלנקוב בשמות היצרנים מפני שהוא מעוניין שהבעיות שחשף יטופלו במהירות. אולם לדבריו רוב הפרצות שחשף משותפות ליצרנים רבים ולציוד ומכשור עם ייעודים שונים. בין הבעיות שמצא ניתן למנות: גישה ללא אימות זהות המשתמש, סיסמאות חלשות כגון "1,2,3,4" או שמות משתמש כגון "admin". או גרוע מכך: שרתים ומערכות ניהול אליהן ניתן לגשת ללא הגבלה מהרגע שהאקר מצליח לחדור לרשת הארגונית.
הבעיות העיקריות: הצפנה ואימות משתמשים
הרעיון למחקר הגיע לאחר שבדיקה של מומחים חיצוניים ברשת של Essentia גילתה מספר גדול של פרצות במכשור שהיה מחובר לרשת של החברה. המומחים שארוון גייס מצאו למשל בעיות במשאבות אינסולין, ציוד החייאה ובעיות בסיסמאות גישה במכשירים רפואיים. הבדיקה שכנעה אותו לערוך מחקר פנימי בקרב כל המערכות, הציוד והמכשור של החברה.
"ההנהלה גיבתה אותנו לחלוטין", הסביר ארוון, "בדקנו כל פיסת ציוד שברשותנו, החל ממערכות MRI ורנטגן וכלה במערכות לטיפול בחולי סרטן, לב, במערכות חדר לידה, רובוטים בחדרי ניתוח, ציוד הרדמה ואפילו מערכות איוורור וניטור". אחת הבעיות העיקריות שנמצאו הייתה במערכות מרושתות שמזרימות מידע ומאפשרות לציוד ל"דבר" עם ציוד אחר ולעדכן את התיקים הרפואיים של המטופלים.
"רוב המערכות אינן מוצפנות או מאובטחות, כך שאין בעיה להאקר למשוך את המידע שמועבר דרכן", מסר ארוון. "לא הייתה לנו בעיה לשנות את המידע באופן יזום, כך שמה שנרשם בסופו של דבר בתיק הרפואי היה לא נכון. הבעיה היא שהרופאים רגילים להסתמך על המידע הזה על מנת לקבוע את אופן הטיפול", הסביר.
חולי לב בסכנה כפולה
את המצב המדאיג ביותר מצא ארוון במערכות כגון מכשירי דפריבילציה לחולי לב אשר מושתלים בגופם ושמשמשים להחייאתם במקרה של דום לב או משאבות המשמשות להזרקה של תרופות באופן מבוקר. ארוון מצא שמספר מערכות כאלה מתבססות על מערכת ניהול מבוססת רשת, שמשתמשים בה ביומיום בעיקר אנשי צוות כגון אחיות.
ניתן על ידי המערכות האלה לשלוט מרחוק על פעולתם של המכשירים, כולל על מינוני תרופות ואפילו להפעיל מכת חשמל, שאמורה לגרום ללב לחזור לפעולה במקרה של דום-לב או אירוע לבבי. החלק המעודד הוא שהאקר שירצה לשלוט בהן יצטרך להיות בעל ידע רפואי מקצועי, מה שמקטין את הסיכון, אולם פורץ זדוני יכול פשוט לשנות את ההגדרות באופן גורף, מה שעלול לגרום למצבים מסכני חיים.
ארוון טוען שמערכת הבריאות החלה רק עכשיו להבין את הסכנות הטמונות באבטחת המידע של ציוד רפואי. "ליצרנים רבים לא היה עד כה שום מודעות לאבטחת מידע", אמר ארוון, "גם הרגולטורים לא דרשו מהם, אין שום בדיקה בתחום לפני שהמוצרים משווקים". רק לאחרונה החלה ה-FDA, רשות התרופות והמזון האמריקנית לבדוק את היישום של ההמלצות שלה בתחום. ארוון ציין כי כיום ישנה אפילו אפשרות ליצרן לעדכן את הציוד מבלי שיהיה מחוייב לבצע בדיקת רישוי מחודשת, מה שבדרך כלל לוקח זמן רב. בסופו של דבר מסכם ארוון, זה הכל בידיים של היצרנים.