Wie anfällig sind persönliche medizinische Geräte für Hacker?

Ein Hersteller medizinischer Geräte hat kürzlich seine Schrittmacher und Defibrillatoren aktualisiert.

Es sollte kein Fehler behoben oder einige Funktionen der Geräte aktualisiert werden.

AdvertisementAdvertisement

Es sollte sie schützen, nachdem die Food and Drug Administration (FDA) eine Warnung ausgegeben hat, dass die Geräte für Hacker anfällig sein könnten.

Nach Angaben der FDA könnten die Geräte Stöße oder falsche Signale aussenden, wenn ein Hacker die Batterie leerte. Das könnte für die Person tödlich sein, die eines der implantierten Geräte hat.

Die Nachricht kommt, da viele Amerikaner ihre Besorgnis darüber äußern, dass russische Hacker möglicherweise an den Präsidentschaftswahlen 2016 beteiligt sind.

Werbung

Aber Schwachstellen bei Medizinprodukten sind nichts Neues.

Im vergangenen Herbst haben die Mitarbeiter von Johnson & Johnson den Patienten gesagt, dass ihre Insulinpumpen gehackt werden könnten.

AdvertisementAdvertisement

Im Jahr 2015 hat die FDA Warnungen für Krankenhäuser über Hospira / Pfizer Arzneimittelpumpen herausgegeben.

Lesen Sie mehr: Hacker zielen auf medizinische Informationen »

'Potentielle Bedrohung ist real'

Welche anderen Geräte sind anfällig für Hacker und was können wir dagegen tun?

"Medizinprodukte und Verbraucher-Wearables werden derzeit nicht mit Blick auf die Sicherheit entwickelt", sagte Stu Bradley, Vice President für Cybersecurity bei der Analysefirma SAS, gegenüber Healthline.

Laut Bradley nutzen Hersteller oft billige Plattformen, um die Kosten niedrig zu halten und Produkte schneller auf den Markt zu bringen. Sie sind oft mit Standardbenutzernamen und Passwörtern versehen, die sie anfällig für Manipulationen machen.

advertisementAdvertisement

"Die potenzielle Bedrohung ist real", sagte Bradley. "Das heißt, ich glaube nicht, dass die meisten Hacker einen Angriff zum Zweck des Schadens starten würden ... Hacker sind in erster Linie durch finanziellen Gewinn motiviert. Das macht sie viel eher dazu geeignet, die Sicherheitslücken eines Geräts auszunutzen, um Zugang zu einem Netzwerk zu erhalten, mit dem das Gerät verbunden ist, sei es in einem Krankenhaus oder zu Hause oder am Arbeitsplatz. "

Trotzdem muss die Branche ihre Sicherheitsstandards noch erhöhen, sagte Bradley.

Wenn sich die Hersteller nicht freiwillig dem Anlass zuwenden, werden wir möglicherweise sehen, dass die Anleitung durch die tatsächliche Regulierung ersetzt wird. Stu Bradley, SAS Cybersecurity

Er sagte, die FDA habe einige Richtlinien zum Internet der Dinge (IoT) herausgegeben, die Medizinprodukte gegen Sicherheitsbedrohungen stärken.

Werbung

"Wenn sich die Hersteller nicht freiwillig dem Anlass stellen, werden wir vielleicht die Beratung durch die tatsächliche Regulierung ersetzt sehen", sagte Bradley.

Er fügte hinzu, dass die Hersteller die Sicherheit nicht priorisieren würden, ohne von den Verbrauchern gedrängt zu werden.

AdvertisementAdvertisement

Im vergangenen Juli veröffentlichte die FDA Richtlinien, die besagen, dass Wellnessgeräte wie Fitbits nicht reguliert würden.

John Nye, Senior Penetration Tester bei CynergisTek, sagte gegenüber Healthline, die FDA habe diese Entscheidung aufgrund des geringen Risikos für die Patientensicherheit getroffen. Seine Beratungsfirma ist auf Gesundheitspflege spezialisiert.

Kevin Fu, Ph. D., der das Archimedes Research Center für medizinische Gerätesicherheit und die Security and Privacy Research (SPQR) -Gruppe leitet, sagte, das Interesse an medizinischer Cybersicherheit sei in letzter Zeit gestiegen.

Anzeige

Fu, ein außerordentlicher Professor an der Universität von Michigan, hat vor der FDA über Gesundheit Gerätesicherheit ausgesagt.

Obwohl er seit seiner Studienzeit Details zu Sicherheitslücken veröffentlicht hat, sagte Fu, dass er immer noch ein verschriebenes Medizinprodukt akzeptieren würde, da der klinische Nutzen die Risiken überwiegt.

AdvertisementAdvertisement

"Die Sicherheit von Medizinprodukten ist eine Lösung, kein Problem. Cybersecurity wird den Patienten das Vertrauen geben, auf ihre lebensrettende Diagnostik und Therapie zu vertrauen ", sagte Fu Healthline.

Lesen Sie mehr: Baby-Monitore können gehackt werden »

IoT-Sicherheit fehlerhaft

Fu hat auch über IoT-Geräte gesprochen, die tragbare Gesundheit Tracker und andere Geräte einschließen können.

Anfang letzten Jahres wurde ein Fitbit-Angriff entdeckt. Der Cyberassault beinhaltete die Kompromittierung von Accounts, indem er Benutzernamen und Passwörter änderte.

Wenn Betrüger Zugriff auf diese Daten haben, können sie manchmal Computer mit Malware infizieren. In diesem Fall kompromittierten Hacker die Konten, um falsche Gewährleistungsansprüche geltend zu machen, und erhielten Ersatz.

Sicherheit muss in diese Geräte eingebaut werden - nicht nur im Falle eines Bruchs hinzugefügt, sagte Fu.

Er wies darauf hin, dass die Mayo Clinic laut Berichten 300.000 Dollar für die Sicherheit jedes einzelnen Geräts ausgeben wird.

Obwohl es nicht möglich ist, einzelne Krankenhaus-Testgeräte zu verwenden, könnte eine Art Test-Hub erstellt werden. Partnerschaften zwischen Industrie, Regierung und Wissenschaft könnten Kosten verursachen, sagte er.

Lesen Sie mehr: Hacker stehlen Daten von Anthem-Kunden »

Käufer achten

Fu hat zur Kenntnis genommen, dass die National Vulnerability Database verwendet wird, um Details über frühere und mögliche zukünftige Sicherheitsverletzungen zu sammeln.

Das Nationale Institut für Standards und Technologie und die National Science Foundation haben einige Initiativen zur Verbesserung der IoT-Sicherheit.

Um sich selbst zu schützen, stellen Sie sicher, dass jedes Gerät ein sicheres Passwort hat. Halten Sie auch angeschlossene Systeme wie Computer mit Virenschutz und Hersteller-Updates auf dem Laufenden.

"Es ist auch eine gute Idee, das Produkt beim Hersteller zu registrieren, um über Änderungen, Neuigkeiten oder Warnungen informiert zu bleiben", sagte Nye.

Wenn ein Gerät drahtlos Signale senden und empfangen kann, hat es ein deutlich höheres Risiko, anfällig für Angriffe zu sein.

"Letztendlich läuft es auf einen Konflikt hinaus, der Informationssicherheitsexperten so lange beschäftigt hat, wie Informationssicherheit ein Anliegen war - Komfort versus Sicherheit", fügte Nye hinzu.