Luki w sprzęcie do telemedycyny. Ktoś mógł odczytać twój puls
Urządzenia do monitorowania pacjentów wykorzystywane w telemedycynie bywają wadliwe, szczególnie od strony oprogramowania. Jak wynika z analizy ekspertów, tylko w 2021 roku wykryto aż 33 luki w zabezpieczeniach protokołu MQTT - najczęściej wykorzystywanego w takiej komunikacji.
O szczegółach informuje Kaspersky zwracając uwagę, że część luk w komunikacji wykorzystującej MQTT pozostaje niezałatanych do dziś. Z analizy wynika, że luki można stosunkowo łatwo wykorzystać, stosując metodę man-in-the-middle, by przechwycić komunikację między urządzeniami zdalnego badania pacjentów, a placówką, do której są przesyłane. W ten sposób można odczytać wrażliwe dane o pacjencie.
Kaspersky podaje wprost, że w ten sposób można odczytać cudzy puls, a nawet dane o przemieszczaniu się pacjenta. Z pełnego raportu dotyczącego globalnej sytuacji telemedycyny wynika, że w 32 proc. badanych placówek potwierdzono incydenty związane z cyberbezpieczeństwem w związku z wykorzystaniem technologii firm trzecich. W ramach tej grupy podział między wycieki danych, ataki DDoS i dla okupu z oprogramowaniem ransomware jest równy i wynosi po ok. 33 proc.
Badacze pojadą, że problem jest ogólnoświatowy, a raport oparty na 389 wywiadach przeprowadzonych w placówkach w 34 krajach - także w Europie. Ze statystyk wynika, że w 41 proc. z nich stosowany jest sprzęt do zdalnej kontroli pacjentów w formie noszonych urządzeń, które następnie przesyłają dane lekarzom i to na tej drodze można się spotkać z przejmowaniem danych przez atakujących.
W wyniku pandemii rynek telemedycyny odnotował gwałtowny wzrost. Pojęcie telemedycyny obejmuje nie tylko kontakt z lekarzem za pośrednictwem oprogramowania audio-wideo, ale cały wachlarz złożonych, szybko ewoluujących technologii i produktów, łącznie ze specjalistycznymi aplikacjami, urządzeniami, wszczepialnymi sensorami oraz bazami danych opartymi na chmurze. Niestety, wiele szpitali nadal korzysta z niesprawdzonych usług osób trzecich w celu przechowywania danych pacjentów, a luki w zabezpieczeniach urządzeń oraz sensorów pozostają niezałatane. Aby zapewnić bezpieczeństwo danych swojej firmy oraz pacjentów, należy przed wdrożeniem takich urządzeń zorientować się w ich poziomie bezpieczeństwa.
Aby zapewnić bezpieczeństwo, Kaspersky apeluje do pacjentów, by pamiętali o zmianie haseł z domyślnych, a samym aplikacjom do kontroli nie nadawali machinalnie wszelkich możliwych uprawnień, na przykład do odczytywania lokalizacji. Ta niekoniecznie musi być potrzebna do śledzenia stanu zdrowia.
