Os marcapassos (e outros dispositivos médicos) podem ser realmente invadidos?
De marcapassos a smartwatches, estamos cada vez mais nos tornando uma espécie cibernética. É por isso que as manchetes recentes sobre vulnerabilidades em dispositivos médicos implantados podem desencadear um alarme. O pacemaker do seu avô pode realmente ser cortado e, em caso afirmativo, qual é o risco do mundo real?
É uma questão oportuna. Sim, há mudanças significativas na tecnologia médica em andamento - dispositivos implantáveis agora podem se comunicar sem fio, e a Internet das Coisas (IoT) médica vem trazendo vários dispositivos vestíveis para manter os profissionais de saúde e os pacientes mais conectados. Mas um importante fabricante de dispositivos médicos fez manchetes com não uma, mas duas vulnerabilidades de segurança críticas.
Vulnerabilidades destacam os riscos de hacking
Embora improvável , o risco é real. A Medtronic projetou o protocolo de comunicação do dispositivo para que ele não exija autenticação, nem os dados são criptografados. Assim, qualquer pessoa suficientemente motivada poderia alterar os dados no implante, potencialmente modificando seu comportamento de uma maneira perigosa ou até fatal.
Como os marcapassos, as bombas de insulina recuperadas são conectadas sem fio a equipamentos relacionados, como um dispositivo de medição, que determina a quantidade de insulina bombeada. Essa família de bombas de insulina também não possui segurança embutida, então a empresa está substituindo-as por um modelo mais cibernético.
A indústria está em processo de recuperação
À primeira vista, pode parecer que a Medtronic é a criança-propaganda da segurança sem noção e perigosa (a empresa não respondeu ao nosso pedido de comentários sobre esta história), mas está longe de ser a única. "O estado da segurança cibernética em dispositivos médicos é fraco, em geral", disse Ted Shorter, diretor de tecnologia da empresa de segurança da IoT, Keyfactor. Alaap Shah, um advogado especializado em privacidade, segurança cibernética e regulamentação em cuidados de saúde em Epstein Becker Green, explica: “Os fabricantes não têm historicamente desenvolvido produtos com segurança em mente.”
Afinal, no passado, para adulterar um marcapasso, você tinha que executar cirurgia. Toda a indústria está tentando alcançar a tecnologia e entender as implicações de segurança. Um ecossistema em rápida evolução - como a IoT médica mencionada anteriormente - está colocando novos estresses de segurança em uma indústria que nunca precisou pensar sobre isso antes.
“Estamos atingindo um ponto de inflexão no crescimento da conectividade e preocupações de segurança ”, disse o pesquisador de ameaças da McAfee, Steve Povolny. Embora a indústria médica tenha vulnerabilidades, nunca houve um dispositivo médico hackeado na natureza. Não conheço nenhuma vulnerabilidade explorada ”, disse Shorter.
Por que não?
“ Os criminosos simplesmente não têm a motivação para hackear um marca-passo ”, explicou Povolny. "Há um ROI maior indo atrás de servidores médicos, onde eles podem manter os registros de pacientes como reféns com ransomware. É por isso que eles buscam esse espaço - baixa complexidade, alta taxa de retorno. ”
Na verdade, por que investir em adulteração complexa e altamente técnica de dispositivos médicos, quando os departamentos de TI do hospital têm sido tradicionalmente tão mal protegidos e pagam? tão bem? Só em 2017, 16 hospitais foram afetados por ataques de ransomware. E a desativação de um servidor não carrega uma acusação de homicídio se você for flagrado. Hackear um dispositivo médico implantado em funcionamento, no entanto, é um assunto muito diferente.
Assassinatos e invasões de dispositivos médicos
Mesmo assim, o ex-vice-presidente Dick Cheney não se arriscou 2012. Quando os médicos substituíram seu marcapasso antigo por um novo modelo sem fio, eles desativaram os recursos sem fio para evitar qualquer invasão. Inspirado em parte por um enredo do programa de TV, "Homeland", o médico de Cheney disse: "Pareceu-me ser uma má idéia para o vice-presidente dos Estados Unidos ter um dispositivo que talvez alguém possa ser capaz de ... hackear em. ”
A saga de Cheney sugere um futuro assustador em que os indivíduos são direcionados remotamente por meio de dispositivos médicos que regulam sua saúde. Mas Povolny não acha que estamos prestes a viver em um mundo de ficção científica em que os terroristas atacam as pessoas remotamente ao adulterar implantes. "Raramente vemos interesse em atacar indivíduos", disse Povolny. citando a complexidade assustadora do hack.
Mas isso não significa que não possa acontecer. É provavelmente apenas uma questão de tempo até que alguém se torne vítima de uma invasão no estilo do mundo real, do tipo Missão Impossível. A Alpine Security desenvolveu uma lista de cinco classes de dispositivos mais vulneráveis. No topo da lista está o venerável marcapasso, que fez o corte sem o recente recall da Medtronic, citando, em vez disso, o recall de 465 mil marcapassos implantados em 2017 pelo fabricante Abbott. A empresa precisou atualizar o firmware desses dispositivos para corrigir falhas de segurança que poderiam facilmente resultar na morte do paciente.
Outros dispositivos que a Alpine está preocupada incluem os desfibriladores cardioversores implantáveis (que são semelhantes aos marcapassos), bombas de infusão de drogas, e até mesmo sistemas de ressonância magnética, que não são nem de ponta nem implantáveis. A mensagem aqui é que a indústria de TI médica tem muito trabalho para proteger todos os tipos de dispositivos, incluindo grandes hardwares legados que estão expostos em hospitais.
Qual é a segurança?
Felizmente, analistas e especialistas parecem concordar que a postura de segurança cibernética da comunidade de fabricantes de dispositivos médicos vem melhorando constantemente nos últimos anos. Isto é, em parte, devido às diretrizes que a FDA publicou em 2014, juntamente com forças-tarefa interagências que abrangem vários setores do governo federal.
Povolny, por exemplo, é encorajado que a FDA está trabalhando com fabricantes para simplificar cronogramas de testes para atualizações de dispositivos. “Há uma necessidade de equilibrar os dispositivos de teste o suficiente para não machucar ninguém, mas não demoramos tanto para dar aos invasores pistas muito longas para pesquisar e implementar ataques contra vulnerabilidades conhecidas.”
Segundo Anura Fernando , Arquiteto Chefe de Inovação da Interoperabilidade de Sistemas Médicos da UL, & Segurança, melhorando a segurança dos dispositivos médicos é uma prioridade agora no governo. “O FDA está preparando orientações novas e aprimoradas. O Conselho de Coordenação do Setor de Saúde recentemente divulgou o Plano Conjunto de Segurança. Organizações de desenvolvimento de padrões estão evoluindo padrões e criando novos onde necessário. O DHS continua a expandir seus programas CERT e outros planos críticos de proteção de infraestrutura, e a comunidade de saúde está expandindo e se engajando com outras pessoas para melhorar continuamente a postura de segurança cibernética para acompanhar o cenário de ameaças em constante mudança. ” Talvez seja reconfortante que tantas siglas estejam envolvidas, mas ainda há um longo caminho a percorrer. “Embora alguns hospitais tenham uma postura de segurança cibernética muito madura, ainda há muitos que estão lutando para entender como lidar higiene básica de cibersegurança ”, lamentou Fernando.
Então, existe alguma coisa que você, seu avô ou qualquer paciente com um dispositivo médico usável ou implantável possa fazer? A resposta é um pouco desanimadora.
"Infelizmente, o ônus está nos fabricantes e na comunidade médica", disse Povolny. “Precisamos de dispositivos mais seguros e implementação adequada de protocolos de segurança.”
Há uma exceção, no entanto. Se você estiver usando um dispositivo de nível de consumidor, como um smartwatch, por exemplo, Povolny recomenda que você pratique uma boa higiene de segurança. "Altere a senha padrão, aplique atualizações de segurança e verifique se ela não está conectada à internet o tempo todo, se não precisar ser".
Via: How to Geek
Nenhum comentário