Over halvdelen af internetforbundne enheder, der bruges på hospitaler, har en sårbarhed, der kan bringe patientsikkerhed, fortrolige data eller en enheds anvendelighed i fare, ifølge en ny rapport fra sundhedscybersikkerhedsfirmaet Cynerio .
Rapporten analyserede data fra over 10 millioner enheder på over 300 hospitaler og sundhedsfaciliteter globalt, som virksomheden indsamlede via stik tilsluttet enhederne som en del af sin sikkerhedsplatform.
Den mest almindelige type internetforbundet enhed på hospitaler var en infusionspumpe. Disse enheder kan eksternt forbinde til elektroniske lægejournaler, trække den korrekte dosis af en medicin eller anden væske og dispensere den til patienten. Infusionspumper var også de enheder, der med størst sandsynlighed havde sårbarheder, der kunne udnyttes af hackere, fandt rapporten – 73 procent havde en sårbarhed. Eksperter bekymrer sig om, at hacks ind i enheder som disse, som er direkte forbundet med patienter, kan bruges til at såre eller true med at såre mennesker direkte. Nogen kunne teoretisk set få adgang til disse systemer og ændre doseringen af en medicin, for eksempel.
Andre almindelige internet-tilsluttede enheder er patientmonitorer, som kan spore ting som hjertefrekvens og vejrtrækningsfrekvens og ultralyd. Begge disse typer enheder var på top 10-listen med hensyn til antallet af sårbarheder.
Sundhedsorganisationer er nu et stort mål for hackere, og selvom et direkte angreb på internetforbundet medicinsk udstyr ikke ser ud til at være sket endnu, mener eksperter, at det er en mulighed. Den mere aktive trussel er fra grupper, der bryder ind i hospitalssystemer gennem en sårbar enhed og låser hospitalets digitale netværk – hvilket efterlader læger og sygeplejersker ude af stand til at få adgang til lægejournaler, enheder og andre digitale værktøjer – og kræver løsesum for at låse dem op. Disse angreb er eskaleret i løbet af de seneste år, og de bremser hospitalsfunktionerne i det omfang, det kan skade patienterne.
Cynerios rapport bemærker, at de fleste af sårbarhederne i medicinsk udstyr let kan rettes: De skyldes svage adgangskoder eller standardadgangskoder eller en tilbagekaldelsesmeddelelse, som organisationen ikke har handlet på. Mange sundhedsorganisationer har simpelthen ikke ressourcer eller personale til at holde systemerne opdaterede og ved måske ikke, om der er en opdatering eller advarsel vedrørende en af deres enheder.
Men rapporter som denne, kombineret med den voksende frekvens af ransomware-angreb, presser flere sundhedsorganisationer til at investere i cybersikkerhed, siger eksperter. “Jeg tror, at dette er ved at nå et niveau af kritik, som får opmærksomhed fra administrerende direktører og bestyrelseslokaler,” fortalte Ed Gaudet, CEO og grundlægger hos cybersikkerhedsvirksomheden Censinet, til The Verge i efteråret.