Pacemakere, defibrillatorer: Er medicinsk IoT enheder troværdig?
Ved du hvad der er i din pacemaker kildekode? Din hjertestarter? Din insulin-pumpe? Ingen gør, — bortset fra det er kaffefaciliteter. Og det er bekymrende.
Den AMERIKANSKE regering har sat en alarm over for en kritisk fejl, der påvirker scores af Medtronic hjertet defibrillatorer, der giver en nærliggende hacker mulighed for at ændre indstillinger for en patients hjerte-enhed ved at manipulere med radio kommunikation mellem det og kontrol enheder.
Det største problem ligger i, at Medtronic ‘ s proprietære Conexus radio-frekvens trådløs telemetri-protokol, der bruges som en del af sin fjernbetjening patient-management-system til kommunikation mellem defibrillatorer, overvågning af hjemmet enheder, og behandleren programmering enheder.
Forskere har opdaget, at Conexus protokol, der mangler enhver form for godkendelse, hvilket betyder, at en angriber inden for radio udvalg – omkring 20 meter fra patientens hjerte-enhed, kan injicere, afspille, ændre og aflytte telemetri data.
Og da Conexus-protokollen giver mulighed for kontrol enheder til at fjernstyre læse og skrive hukommelse til hjertet implantater, en nærliggende angriber med en software-defineret radio kunne også udnytte protokollen ‘ s manglende godkendelse til at omprogrammere hjertets enhed.
Den fejl, CVE-2019-6538, er blevet tildelt en CVSS sikkerhedsklassifikation of 9.3 ud af 10, ifølge Department of Homeland Security (DHS) rådgivende.
Den AMERIKANSKE Food and Drug Administration siger, at det har “bekræftet, at disse sårbarheder, hvis de udnyttes, kunne give en uautoriseret person (for eksempel en anden end patientens læge) til at få adgang til og potentielt manipulere implantabelt udstyr, hjem skærmen, eller klinik programmør.”
En anden, lavere sværhedsgrad fejl, der påvirker Conexus-protokollen udgør en potentielt alvorlige beskyttelse af personlige oplysninger trussel til patienter, da data, der sendes mellem hjerte-og kontrol-enheder, der er gjort i det klare. Igen, en nærliggende angriber med radio udstyr kan opsnappe kommunikation for at lære om den persons særlige betingelse.
Medtronic fremhæver i sin rådgivende at Conexus telemetri er ikke brugt i sin pacemaker.
Mens DHS ‘ s rådgivende siger den fejl kræver et “lavt niveau” for at udnytte, at der er nogle formildende faktorer, der bør oprette et snævert vindue for en hacker at udnytte de fejl.
SE: Cybersikkerhed i en tingenes internet og mobil verden (ZDNet særlige rapport) | Download rapporten som PDF (TechRepublic)
For det første, hjerte-enheden skal have radio kommunikation er aktiveret. Dette sker på klinikken før indgrebet og under follow-up besøg. Uden for klinikken, at Medtronic siger radio aktivering gange er “begrænset, varierer fra patient, og det er vanskeligt at forudsige”.
FDA finder disse “sikkerhedsforanstaltninger”, men noterer sig, at Medtronic arbejder på en patch, som FDA bliver nødt til at godkende at løse godkendelse og kryptering svagheder.
På trods af sværhedsgraden af godkendelsesfejl og risikoen for livstruende skader, Medtronic og FDA anbefaler patienter at fortsætte med at bruge de enheder, som foreskrevet.
“Fordelene af fjernovervågning opvejer den praktiske risiko for, at disse sårbarheder kan udnyttes. Disse fordele omfatter en tidligere påvisning af arytmier, færre hospitalsbesøg og forbedret overlevelse,” Medtronic siger.
Mere om medicinsk sikkerhed
Kan man stole på de personlige Internet af Ting?Hvor farligt er det pacemaker hack?Tingenes internet security advarsel: Cyber-angreb på medicinsk udstyr, der kan bringe patienter i risiko for Dårlig brugeren praksis som følge 41% af medicinsk IoT sikkerhedsspørgsmål i 2017 TechRepublicSikkerhed forskere finde fejl i chips, der anvendes i hospitaler, fabrikker og butikker CNET
Relaterede Emner:
Regeringen – OS
Sikkerhed-TV
Data Management
CXO
Datacentre