Luki w sprzęcie do telemedycyny. Ktoś mógł odczytać twój puls

Luki w sprzęcie do telemedycyny. Ktoś mógł odczytać twój puls02.02.2022 09:57
Pulsosksymetr
Pulsosksymetr
Źródło zdjęć: © Adobe Stock

Urządzenia do monitorowania pacjentów wykorzystywane w telemedycynie bywają wadliwe, szczególnie od strony oprogramowania. Jak wynika z analizy ekspertów, tylko w 2021 roku wykryto aż 33 luki w zabezpieczeniach protokołu MQTT - najczęściej wykorzystywanego w takiej komunikacji.

O szczegółach informuje Kaspersky zwracając uwagę, że część luk w komunikacji wykorzystującej MQTT pozostaje niezałatanych do dziś. Z analizy wynika, że luki można stosunkowo łatwo wykorzystać, stosując metodę man-in-the-middle, by przechwycić komunikację między urządzeniami zdalnego badania pacjentów, a placówką, do której są przesyłane. W ten sposób można odczytać wrażliwe dane o pacjencie.

Kaspersky podaje wprost, że w ten sposób można odczytać cudzy puls, a nawet dane o przemieszczaniu się pacjenta. Z pełnego raportu dotyczącego globalnej sytuacji telemedycyny wynika, że w 32 proc. badanych placówek potwierdzono incydenty związane z cyberbezpieczeństwem w związku z wykorzystaniem technologii firm trzecich. W ramach tej grupy podział między wycieki danych, ataki DDoS i dla okupu z oprogramowaniem ransomware jest równy i wynosi po ok. 33 proc.

Badacze pojadą, że problem jest ogólnoświatowy, a raport oparty na 389 wywiadach przeprowadzonych w placówkach w 34 krajach - także w Europie. Ze statystyk wynika, że w 41 proc. z nich stosowany jest sprzęt do zdalnej kontroli pacjentów w formie noszonych urządzeń, które następnie przesyłają dane lekarzom i to na tej drodze można się spotkać z przejmowaniem danych przez atakujących.

W wyniku pandemii rynek telemedycyny odnotował gwałtowny wzrost. Pojęcie telemedycyny obejmuje nie tylko kontakt z lekarzem za pośrednictwem oprogramowania audio-wideo, ale cały wachlarz złożonych, szybko ewoluujących technologii i produktów, łącznie ze specjalistycznymi aplikacjami, urządzeniami, wszczepialnymi sensorami oraz bazami danych opartymi na chmurze. Niestety, wiele szpitali nadal korzysta z niesprawdzonych usług osób trzecich w celu przechowywania danych pacjentów, a luki w zabezpieczeniach urządzeń oraz sensorów pozostają niezałatane. Aby zapewnić bezpieczeństwo danych swojej firmy oraz pacjentów, należy przed wdrożeniem takich urządzeń zorientować się w ich poziomie bezpieczeństwa.

Maria Namiestnikowa

Globalny Zespół ds. Badań i Analiz (GReAT) firmy Kaspersky

Aby zapewnić bezpieczeństwo, Kaspersky apeluje do pacjentów, by pamiętali o zmianie haseł z domyślnych, a samym aplikacjom do kontroli nie nadawali machinalnie wszelkich możliwych uprawnień, na przykład do odczytywania lokalizacji. Ta niekoniecznie musi być potrzebna do śledzenia stanu zdrowia.

Programy

Aktualizacje
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (168)