Riasztó beszámoló látott napvilágot az USA-ban arról, mennyire könnyen meghekkelhetők az életmentő orvosi berendezések. Az alábbiakban ennek főbb megállapításait ismertetjük, kiegészítve két magyar véleménnyel.

-
 

 

A modern thrillerek visszatérő motívuma, hogy a mindennapi életünket kiszolgáló rendszereket irányító informatikai rendszerek felett valaki átveszi a hatalmat, és elképzelhetetlen káoszt okoz (Lásd Die Hard 4!) Ennél talán csak egyetlen rémisztőbb dolog lehetséges: ha azon berendezések fölött veszi át valaki az uralmat, amelyektől szó szerint az életünk vagy halálunk függ.

Ez sem más

Szerintem az orvosi céleszközök informatikai szempontból nem különböznek más, konkrét célokra használt megoldásoktól. Valamilyen webes vagy más elterjedt interfészen keresztül csatlakozhatunk hozzájuk és ismert azonosítási, biztonsági megoldásokat használnak (például jelszavas védelmet).

Teljesen életszerűnek tartom, hogy az egészségügyben használt eszközök ugyanolyan módszerekkel törhetők fel, mint a szélesebb körben használt piaci termékek. A magyar egészségügyben gyakran pontosan ugyanazon gyártók eszközeit használják, mint bárhol máshol; ha Amerikában kockázatosan működnek, akkor itt is. Abban is biztos vagyok, hogy a szűkös szakmai erőforrások sok esetben meggátolják, hogy az intézmények jól állítsák be vagy egyáltalán használják a biztonsági paramétereket. A biztonságos használathoz alapvetően szükséges biztonságtudatos felhasználói és üzemeltető viselkedés pedig sajnos az egészségügyben sem jobb, mint máshol.

A gond valós, és szó szerint „húsba vágó”.

Keleti Arthur it-biztonsági stratéga, T-Systems Magyarország

 

Egy amerikai egészségügyi szolgáltató, az Essentia Health információbiztonsági főnöke, Scott Erven két éven át járta a gondjaira bízott intézményeket, hogy képet kapjon azok védelméről. Amit talált, még őt is meglepte – számolt be róla a Wired magazin.

Sikerült távolról manipulálni a gyógyszeradagoló pumpák működését. Átvették az irányítást Bluetooth-on kommunikáló pacemakerek felett. A kórházi hálózatban röntgenfelvételekbe pillantottak be; átállították a vért és egyéb készítményeket tároló hűtők termosztátját; belepiszkáltak digitális tárolt leletekbe, zárójelentésekbe. Működésképtelenné tettek vagy újraindításra késztettek különféle berendezéseket, amelyek így elvesztették a beállításaikat, vagy éppen gyári beállításra tettek vissza tesztberendezéseket.

Nem életszerű

A magyar egészségügyben is hálózatba kötött, számítógéppel vezérelt és felügyelt berendezések működnek; ennek ellenére nem látom ilyen sötéten a helyzetet.

Egyáltalán nem egyszerű hozzáférni a kórházi szerverekhez. Egymástól különböző jelszóval védett a hálózat belépési pontja, a szerverek operációs rendszere és a rajtuk futó alkalmazások is. Ahol van vezeték nélküli hálózat, ott szigorú azonosítással működik. Nem életszerű az a forgatókönyv, hogy valaki besétál az intézménybe, leül egy szabad számítógép elé, majd a hálózaton keresztül eljut egy képalkotó diagnosztikai berendezés vagy egy laborautomata vezérlő számítógépéhez. Az pedig végképp életszerűtlen, hogy az illetékesen kívül bárki is bejut egy ct- vagy röntgenberendezés vezérlőhelységébe, hogy az ott levő számítógépen módosítsa az adatokat.

Ami pedig a kívülről jövő támadásokat illeti: az egészségügyi intézményekben mind a befelé irányuló, mind pedig a kimenő forgalom is erősen szűrt, azaz ez az út sem tekinthető különösen reálisnak.

Révész Gábor tanácsadó, Getronics

 

Erven számára különösen bosszantó lehetett, hogy a biztonsági rések (szakadékok?) jó része kimondottan triviális volt. Nem kellet felhasználónév és jelszó a berendezés kezeléséhez; az 1234-hez hasonló gyenge jelszavak, vagy a beépített gyári jelszavak („admin”) használata; beágyazott webszolgáltatások, amelyek azonosítás és titkosítás nélkül kommunikálnak eszközök között. Az orvosi eszközök nagy többsége közvetlenül (még?) nincs az internetre kötve, de némi ügyeskedéssel (például adathalász-támadással) kívülről is be lehetett jutni a belső hálózatra. Ha pedig a hekker bent van, előbb-utóbb talál valahol egy gyenge pontot.

Cikk nyomtatása

Példamutató ökodizájn

2014. 12. 27.
A közelmúltban a spanyolországi Zamorában átadott, privát üzemeltetésű idősek otthonaként működő intézménynek – kiemelkedő építészeti értékének köszönhetően – hamar híre kelt. A mezőgazdasági övezetbe tökéletesen illeszkedő épület a fiatal, és máris szakmailag méltán elismert tehetségű madridi épít...

Szezám, tárulj!

2014. 12. 12.
Pár éve a kényelem csimborasszójának számított, ha az ember távirányítóval, egy pittyentéssel tudta nyitni a kerti és a garázskaput. A modern ember azonban már ezt is az okostelefonjáról intézi.

A mobilfizetés forradalma?

2014. 12. 05.
A nemrég debütált új iPhone készülékek legnagyobb vívmánya valójában nem a készülék, hanem az új szolgáltatás, az Apple Pay bevezetése. Nfc alapú fizetéssel már sokan próbálkoztak, a legtöbb okostelefonban van is ilyen chip, de a funkciót még csak kevés helyen lehet kihasználni.

Zökkenőmentes partnerváltás

2014. 12. 10.
Alapos előkészület után alig több mint három hónap alatt cserélte le korábbi informatikai üzemeltető partnerét Magyarország egyik legnagyobb energiaszolgáltatója.

Ultrahanggal működik az okos chip

2014. 12. 05.
Egy vezeték és elem nélküli készülék lehet az orvosi informatika következő nagy dobása. A prototípus már elkészült, működik is.