Jeśli są wśród Państwa wielbiciele mangi, tytuł artykułu budzi natychmiastowe skojarzenia. Jeśli nie, zachęcam do obejrzenia filmu z 1995 r. pod tym właśnie tytułem. Akcja rozgrywa się w pierwszej połowie XXI w. i opowiada historię Motoko Kusanagi, dowódcy organizacji Sekcja 9, specjalizującej się w zwalczaniu przestępczości wykorzystującej nowoczesne technologie.
Kusanagi jest prawie w 100% cyborgiem. Ludzki mózg w sztucznym ciele, zdolnym do nadludzkich wyczynów. Film skupia się na rozważaniach skutków połączenia człowieka i maszyny, wszechobecności sieci komputerowych i rozwoju sztucznej inteligencji. Więcej fabuły zdradzać nie będę (z małym wyjątkiem w kolejnym zdaniu), by nie psuć potencjalnemu widzowi przyjemności oglądania.
Czy jest na sali informatyk?
Oczywiście do hakowania ludzkiego mózgu (jedna ze scen we wspomnianym filmie) jeszcze daleka droga, ale być może już niedługo, gdy zobaczymy kogoś, kto potrzebuje pomocy, będziemy pytać o informatyka, nie o lekarza. Służba zdrowia jest w ścisłej czołówce, jeśli chodzi o ryzyka cyber. W „GU” nr 44 (z 2 listopada 2020) opisywałem pierwszy przypadek śmierci na skutek ataku hakera. Przypomnijmy – w efekcie ataku na serwery Szpitala Uniwersyteckiego w Düsseldorfie personel zmuszony był odsyłać pacjentów wymagających pilnej pomocy medycznej do innych placówek. Niestety dla jednej z odesłanych osób pomoc przyszła za późno.
Jednak infrastruktura IT szpitala to nie tylko serwery i stacje robocze. Nowoczesne technologie stosuje się we wszelkiego rodzaju urządzeniach medycznych – wszczepialnych, nadających się do noszenia lub używanych w domu oraz wykorzystywanych w placówkach służby zdrowia. Poziom zaawansowania tych urządzeń rośnie z każdym rokiem. By mogły one prawidłowo wykonywać swoje zadania, niezbędne jest oprogramowanie, dostęp do internetu, wewnętrznej sieci szpitalnej, smartfonu lub innego urządzenia w celu udostępniania informacji.
Dzięki tym urządzeniom wzrasta komfort życia pacjenta (np.: monitorowanie pacjentów z wszczepionym rozrusznikiem serca zmniejsza liczbę wizyt w gabinecie lekarskim, a osoby z cukrzycą dostają nowe możliwości kontrolowania poziomu cukru we krwi, ponieważ glukometry i pompy insulinowe mogą się ze sobą komunikować), natomiast zdalne monitorowanie parametrów życiowych oraz szybka reakcja na sygnał alarmowy przesłany przez urządzenie mogą zapobiec najgorszemu.
Starość nie radość
Urządzenia medyczne, jak każde inne, mogą być podatne na zagrożenia cyber. Dotyczy to szczególnie urządzeń starszych, zaprojektowanych na długo przedtem, zanim producenci krytycznie zastanowili się nad ich stosownym zabezpieczeniem. Używanie takich urządzeń naraża placówki opieki zdrowotnej na ataki, a producentów na utratę reputacji oraz stabilności finansowej. Problem narasta, jeśli urządzenia korzystają z połączeń sieciowych lub komunikują się z innymi urządzeniami.
Według Davida Finna, wiceprezesa firmy konsultingowej CynergisTek, „sprzęt, który ma obecnie 10–15 lat, tak naprawdę nigdy nie został zaprojektowany do użytku w sieci”. Sprawę pogarsza dodatkowo fakt, że urządzenia te korzystają z systemów operacyjnych, których producenci nie wspierają od wielu lat.
Natomiast według raportu firmy Verizon z 2018 r. dotyczącego naruszenia ochrony danych o stanie zdrowia, ponad 55% wszystkich naruszeń miało swoje źródło wewnątrz struktur organizacyjnych, z incydentami związanymi z USB na szczycie listy (polecam także lekturę artykułu „Kochanie, może dzisiaj na pizzę” w „GU” nr 31 (z 2 sierpnia 2021). Mimo to, z punktu widzenia przydatności w diagnostyce i leczeniu sprzęt ten nadal spełnia swoje funkcje.
Powrót do przyszłości, czyli stary ransomware i może
May Wang, inżynier w firmie Palo Alto Networks, opisał w 2020 r. w dwutygodniku „Fortune” powrót szkodliwego oprogramowania o nazwie Conficker. Niewymieniony z nazwy szpital odnotował znaczne nasilenie połączeń sieciowych, przechodzących przez jeden z mammografów. W ciągu kilku dni zespół IT ustalił, że Conficker zainfekował także inne urządzenia w szpitalnej sieci (m.in. kolejny mammograf, aparat roentgena i urządzenie do rezonansu magnetycznego).
Conficker został po raz pierwszy wykryty w 2008 r. Wykorzystywał luki w systemie Windows XP i starszych systemach operacyjnych firmy Microsoft, infekując urządzenia i dodając je do botnetu, który szukał kolejnych urządzeń do zainfekowania. Do 2009 r. robak zainfekował ok. 15 mln komputerów, uderzając m.in. w szpitale. W 2015 r. szacowano, że robakiem Conficker zainfekowanych było 400 tys. urządzeń. Raport z 2020 r. wskazywał, że liczba ta wynosi prawdopodobnie 500 tys.
Robak nie wymagał od użytkowników podejmowania żadnych działań, aby umożliwić jego dalsze rozprzestrzenianie się – był całkowicie samowystarczalny. W przypadku szpitala ponowne uruchomienie urządzeń nie usunęło złośliwego oprogramowania, ponieważ restart nie łatał dziur, które umożliwiły infekcję. Zamiast tego szpital został zmuszony do wyłączenia urządzeń, zainstalowania poprawek bezpieczeństwa i żmudnego przywracania ich do trybu online pojedynczo. Trwało to tydzień.
Znany jest także przypadek, w którym po ataku ransomware pacjentom będącym w trakcie leczenia onkologicznego naświetleniami musiano zmienić terminy wizyt. Kto chociaż raz był na oddziale onkologii, wie, co to oznacza dla pacjenta.
Wszystko można zhakować
Jeśli urządzenia medyczne zostaną zainfekowane złośliwym oprogramowaniem, to o spełnianiu funkcji diagnostycznych można zapomnieć. Znane są przypadki, gdy zainfekowane urządzenie do rezonansu magnetycznego dawało fałszywie pozytywny obraz zmian rakowych w organizmie. Nie trzeba mieć dużej wyobraźni, by się domyślić, jakie szkody może wyrządzić zaordynowana w takim wypadku terapia. Ponadto, nieprawidłowe wykonywanie krytycznych funkcji klinicznych przez zainfekowane urządzenie może prowadzić do pogorszenia stanu zdrowia lub zgonu pacjenta.
Dziesięć lat temu Jay Radcliffe, specjalista ds. bezpieczeństwa, zademonstrował podczas konferencji, jak włamuje się do własnej pompy insulinowej. Gdyby chciał, mógłby jej użyć, by zaaplikować sobie (lub komuś innemu) śmiertelną dawkę leku. Prezentacja ta (i wiele jej podobnych) otworzyła producentom oczy na potencjalne niebezpieczeństwa związane z podłączaniem urządzeń medycznych do sieci. W ciągu dekady, która upłynęła od prezentacji Radcliffe’a, nastąpiła prawdziwa eksplozja liczby urządzeń tego typu – pompy infuzyjne, rozruszniki serca, urządzenia monitorujące, defibrylatory i wiele innych. Sprawiło to, że kwestia cyberbezpieczeństwa stała się jeszcze bardziej paląca.
Jednak nie tylko urządzenia medyczne, ale także np. systemy budynku szpitala podłączone do sieci, takie jak regularne i awaryjne zasilanie, COWiG (ciepłownictwo, ogrzewnictwo, wentylacja i gazownictwo), oświetlenie, wod.-kan., windy, komunikacja, kontrola dostępu, systemy bezpieczeństwa mogą być źródłem problemu. Hakerzy mogą wykorzystać te systemy, by włamać się do sieci i wykraść poufne informacje o pacjentach lub prowadzonych badaniach. W najgorszym wypadku może zostać zakłócone funkcjonowanie systemów o znaczeniu krytycznym lub systemów podtrzymywania życia.
Ataki ransomware na placówki służby zdrowia przybrały już postać epidemii (szacuje się, że pod koniec 2021 r. ich liczba wzrośnie czterokrotnie). Od 2018 r. grupa przestępców znana jako Ryuk zaatakowała co najmniej 235 amerykańskich szpitali, kradnąc ponad 100 mln dol. Niektóre grupy unikają atakowania placówek opieki zdrowotnej z obawy o bezpieczeństwo pacjentów, jednak Ryuk i im podobni nie mają z tym problemu.
Cyberpunk 2077
Zacząłem od mangi, a z uwagi na elementy wspólne (połączenie człowieka i maszyny) zakończę grą komputerową. Jednym z jej istotnych elementów jest modyfikacja ciała bohatera lub bohaterki poprzez instalowanie lub ulepszanie wszczepów podnoszących zdolności organizmu. Oczywiście można je zhakować.
Artystyczne wizje często ziszczają się w perspektywie lat. Wysoce prawdopodobne, że obecne urządzenia medyczne, zaszywane w naszych ciałach, okażą się protoplastami wynalazków, bez których przyszłe pokolenia nie będą sobie wyobrażały życia. Mam nadzieję, że mroczne wizje wspomnianego we wstępie hakowania mózgu nigdy się nie ziszczą.
Na razie odpowiedzialność za własne bezpieczeństwo spoczywa także na pacjentach. Co więc możemy zrobić?
- Dobre, unikalne hasło dostępu do urządzenia to podstawa. Nie udostępniajmy go innym.
- Zawsze trzymajmy urządzenie przy sobie.
- Aktualizujmy oprogramowanie urządzenia. Aktualizacje mogą zawierać łatki lub poprawki bezpieczeństwa.
- Skontaktujmy się z lekarzem lub z producentem, jeśli zauważymy niepokojące zachowanie urządzenia.
- Nie lekceważmy alertów generowanych przez urządzenia.
- Zarejestrujmy swoje urządzenie u producenta.
Życzę sobie i Państwu dużo zdrowia.
Łukasz Cichowski
starszy broker w MAI Insurance Brokers Poland
