A última coisa que um paciente diabético quer ver é que, quando o medicamento é injetado no corpo, a bomba de insulina seja hackeada. Infelizmente, a segurança dos equipamentos médicos ainda é um grande problema.
No ano passado, a Agência de Segurança Cibernética e Segurança da Infraestrutura dos EUA (CISA) emitiu mais da metade dos avisos relacionados a bombas de medicamentos. Por exemplo, hackers podem usar vulnerabilidades encontradas em bombas produzidas pela Baxter International e pelo Sistema Alaris da Becton Dickinson para lançar ataques DDoS, alterar a configuração do sistema ou roubar dados de pacientes.
Julgamento da situação de segurança
A cibersegurança tornou-se uma tarefa importante da Administração Federal de Alimentos e Medicamentos. Em 2020, a FDA emitiu uma série de avisos, instando fabricantes de dispositivos médicos e hospitais a corrigirem uma série de hardware vulnerável, incluindo SweynTooth, URGENT/11, Ripple20 e SigRed.
Por exemplo, Ripple20 é um conjunto de bugs descobertos em junho de 2020, que afetaram 53.000 dispositivos médicos. Segundo pesquisa da Forescout, essas vulnerabilidades podem permitir que atacantes executem código remoto.
Segundo dados da Ordr, através de uma análise de um ano em 5 milhões de dispositivos médicos da Internet das Coisas (IoMT), foi constatado que 86% de software médico estava implantado nos dispositivos médicos recolhidos na intranet. Os dispositivos IoMT recolhidos podem ser considerados vulneráveis ou com riscos à segurança.
Riscos potenciais
Especialistas alertam que a segurança dos equipamentos médicos é uma questão de longo prazo e, agora, devido ao impacto da COVID, a situação se tornou ainda mais grave. Para poder salvar mais vidas, os hospitais devem priorizar o orçamento para equipamentos e a alocação de pessoal, o que significa que a segurança da rede frequentemente fica em segundo plano. Para piorar a situação, os hackers também estão cientes disso e agora estão usando as frágeis medidas de segurança cibernética das instituições médicas para realizar um grande número de ataques de ransomware e phishing.
A Universal Health Services é um dos vários hospitais que foram atacados por ransomware em 2020. Como essa instituição foi atacada por cibercriminosos, isso teve um impacto significativo em mais de 400 instalações nos Estados Unidos, Porto Rico e Reino Unido. Segundo o CISO Tom August, que trabalha há muito tempo no setor médico, esse problema de ataques a dispositivos médicos não pode ser ignorado.
August disse: "Se um desses dispositivos for atacado, o impacto potencial é realmente grande, mas a possibilidade de ser atacado é muito pequena. Talvez você tenha instalado ransomware no meu computador, o que é ruim para mim. Mas se você instalar software malicioso no equipamento médico conectado ao paciente, isso causará um grande dano à vida humana."
A história da segurança dos equipamentos médicos
Devemos perceber que garantir a segurança dos equipamentos médicos sempre foi um problema muito desafiador no campo da segurança. Durante muito tempo, a gestão da segurança dos equipamentos médicos tem sido muito difícil. Em outras palavras, os equipamentos médicos frequentemente apresentam muitos problemas, como mecanismos pouco claros para liberação e atualização de patches, configuração incorreta dos dispositivos (como esquecer de alterar a senha padrão).
Dispositivos médicos IoT foram recolhidos e operados na rede interna. Tim Erlin, vice-presidente de gestão de produtos e estratégia da Tripwire, disse: "O coronavírus não criou mais vulnerabilidades nos equipamentos médicos, mas expôs vulnerabilidades já existentes."
Esse campo também enfrenta alguns desafios únicos. Por exemplo, como a FDA tem requisitos rigorosos sobre a configuração dos equipamentos e a agência assinou um contrato com o fornecedor, as agências de enfermagem frequentemente têm que depender de fornecedores ineficientes para aplicação de patches, atualizações e substituições, o que é um processo muito lento.
August disse: "Os equipamentos médicos são um ponto cego nos hospitais. Em muitos casos, o hospital não consegue gerenciar os equipamentos. Esse trabalho deve ser feito pelo fornecedor. Não podemos aplicar patches porque o fornecedor não permite. Não podemos instalar software antimalware para proteção, porque o fornecedor diz que isso violaria o contrato de garantia."
Solução
Pode ser particularmente difícil reduzir os riscos cibernéticos dos equipamentos médicos, mas existem alguns bons casos práticos que podem nos ajudar.
O inventário dos equipamentos médicos é o primeiro passo para garantir a segurança da rede. Uma pesquisa da Ordr revelou que 51% das equipes de TI não sabem que tipo de equipamento está conectado à sua rede.
A Ordr também descobriu que aplicativos do Facebook e do YouTube podem ser executados em sistemas como ressonância magnética e Windows XP.
Segundo o relatório, "Usar equipamentos médicos para acessar a Internet pode expor organizações a riscos de segurança maiores e torná-las vulneráveis a ransomware e outros softwares maliciosos."
Ao mesmo tempo, são apresentadas as seguintes sugestões para avaliar dispositivos IoT: avaliar a exposição do dispositivo à Internet, desativar serviços desnecessários ou não utilizados no dispositivo e dividir a rede conforme as necessidades do dispositivo.
Surgaid Medical (Xiamen) Co., Ltd
Surgaid Medical (Xiamen) Co., Ltd está empenhada no desenvolvimento, produção e comercialização de produtos cirúrgicos há mais de 10 anos. Em particular, produtos cirúrgicos minimamente invasivos. A cirurgia minimamente invasiva é uma direção de desenvolvimento cirúrgico. Tais como o Trocar Laparoscópico Descartável, Grampeador de Corte Linear, Grampeador Circular, PPH, e assim por diante.
O fabrico dos nossos próprios produtos cirúrgicos permite-nos ter um controlo total sobre a conceção e a evolução dos nossos produtos. Somos capazes de nos adaptar rapidamente ao mercado de cuidados de saúde em constante evolução e oferecer soluções de alta qualidade, de utilização única e económicas que competem diretamente com os líderes de mercado globais.
Produtos Surgaid:
Para obter mais informações sobre o produto em https://www.surgaid-medical.com/