Scott Erven, säkerhetschef på Essentia Health fick möjlighet att gå igenom säkerheten för all medicinsk utrustning som användes vid företagets cirka 100 sjukhus, kliniker och apotek i USA. Han misstänkte att det skulle finnas vissa säkerhetsproblem men han kunde inte i sin vildaste fantasi tro att säkerheten skulle vara så dålig, den var rent katastrofal.
Studien genomfördes under ett tidsspann på två år och nedan följer några av de allvarligaste säkerhetsbristerna:
- Infusionspumpar som används för att ge morfindropp, kemoterapi och antibiotika kunde ha manipulerats utifrån. En angripare skulle exempelvis kunna ändra dosen eller stoppa den medicinska doseringen.
- Defibrillatorer som opereras in på personer med hjärtproblem kunde styras via blåtandsfunktion. En angripare skulle kunna koppla upp sig och sätta igång elchocker på hjärtat eller stoppa nödvändiga elchocker från att startas.
- En angripare skulle kunna komma åt röntgensystemen och få tag vilka bilder de ville.
- Kylskåp som användes för att lagra blod och läkemedel kunde sättas ur spel vilket skulle kunna leda till att allt som förvaras där måste kasseras.
- Digitala journaler skulle kunna ändras av en angripare vilket skulle kunna leda till felaktiga diagnoser, felmedicinering och orsaka obefogad omsorgskostnader.
Erven och hans team hittade även andra mycket allvarliga sårbarheter i medicinska enheter. Det gick exempelvis att trigga blue-screens, omstartar och att rensa konfigurationsinställningar. Detta kunde ha inneburit att dessa enheter hade blivit helt oanvändbara och hade inneburit en samhällsfara.
Av säkerhetsskäl kan inte alla specifika säkerhetsbrister offentliggöras. Dock finns det många generella brister som gäller för många enheter däribland svaga lösenord, bristande autentiseringslösningar, och svag detektionsförmåga.
Trots att den digitala säkerheten är enormt viktig är många sjukhus ovetande om de enorma farorna. Istället för att fokusera på säkerhet, har vikten lagts på tillförlitlighet och effektivitet. Få medicinska utrustningar har genomgått någon som helst säkerhetsgranskning innan de släppts ut till markanden för försäljning. Hårda funktionalitetskrav finns exempelvis på medicinsk utrustning men motsvarande krav för cybersäkerhet saknas fullständigt.
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel