Медицината става все по-дигитална. Много устройства днес се наблюдават и управляват цифрово. Това портал за хакерски атаки ли е? И колко опасно може да бъде това?
Фатална доза инсулин след хакерска атака
През 2012 г. мъж хакна дигиталното управление на инсулинова помпа, причинявайки прилагането на потенциално фатална доза инсулин. Никой не е пострадал: нападателят е Барнаби Джак от MacAfee, доставчик на антивирусен софтуер, а неговата „жертва“ е прозрачна кукла.
Още тогава успява да манипулира устройството от разстояние 90 метра – без да знае серийния номер на помпата. Това все още беше изискване при предишни фалшиви хакерски атаки срещу инсулинови помпи.
Хакерите също успешно са тествали подобни действия върху сърдечни пейсмейкъри (CIED) и имплантирани дефибрилатори. За потребителите на такива медицински изделия подобна атака е идея на ужас. Но дали това дори е реалистичен сценарий?
Нападението срещу индивиди е много малко вероятно
„Въпрос на мотивация е дали подобна атака си струва“, обяснява Леан Торгерсен от университета в Трир, попитан от NetDoktor. Тя се занимава интензивно с проблема като част от докторската си дисертация. Защото, от една страна, усилията са големи. От друга страна, увреждането на пациента има значителни правни последици. „Това представлява още едно препятствие“, казва Торгерсен.
„Нормален“ пациент с пейсмейкър или носещ инсулинова помпа обикновено е много малко вероятна цел за хакерска атака. „Въпреки това са възможни сценарии като изнудване или целенасочени атаки срещу влиятелни хора“, казва ученият.
Тогава щеше да има друга престъпна мотивация. Следователно много богат човек или високопоставени хора в политиката могат да станат привлекателни жертви. Досега обаче в света не е регистриран нито един подобен случай.
Комуникирайте дори малко вероятните рискове
Поради етични причини дори много малко вероятните рискове в медицината трябва да бъдат обяснени на пациентите, особено ако те могат да бъдат потенциално фатални. Важно е да се претегли рискът – който тук е почти пренебрежимо малък – спрямо очакваната много голяма полза за здравето.
Рискът е сравним с този при пътуване със самолет на почивка, казва Торгерсен. „Статистически погледнато, пътуването със самолет все още е един от най-безопасните видове транспорт, но всички имаме катастрофални образи на самолетни катастрофи в главите си. „Въпреки това повечето хора не позволяват това да съсипе ваканцията им“, казва Торгерсен.
Почти никаква информация за кибер рисковете
Такава информация за хакерски атаки обаче далеч не винаги се предоставя. „Няма стандартизирани насоки за изброяване на киберрискове във формуляри за съгласие“, каза ученият.
Специални психологически фактори също трябва да бъдат взети предвид при образователното интервю. Особено хората със сърдечни заболявания често страдат от тревожност – страхът от (следващия) инфаркт често оставя отпечатък върху душата.
Доходоносна търговия с данни в тъмната мрежа
Мащабните кибератаки срещу данни на пациенти са много по-реалистични от атаките срещу отделни медицински устройства. Агенцията на Европейския съюз за киберсигурност, ENISA, изготви „пейзаж на заплахите“ за 2023 г. за сектора на здравеопазването. Съответно болниците са основна цел за хакерите. „Търговията с данни на пациенти в тъмната мрежа е много доходоносна“, казва Торгерсен.
Изследователят продължи, че подобни атаки ще продължат да се увеличават в бъдеще. Има три основни причини за това: нарастващото свързване на технически устройства в мрежа, по-голямата наличност и разнообразие от хакерски инструменти и информация и нови рискове, причинени от изкуствения интелект.
„Никоя ИТ инфраструктура не е наистина имунизирана“
В ЕС производителите са законово задължени да гарантират безопасността на пациентите и ИТ сигурността на медицинските устройства съгласно Регламента за медицинските изделия (MDR).
„Ако например възникне киберинцидент в CIED, производителите (…) са длъжни незабавно да подадат доклад до властите, за да бъдат уведомени“, казва Торгерсен. Въпреки това, само едно нещо изглежда сигурно: „Никоя ИТ инфраструктура не е наистина имунизирана срещу хакерски атаки.“