Los investigadores sienten ataques de piratería contra hospitales y tecnología médica y requieren más información. Pero la industria pesa y no quiere reconocer ningún peligro.
¿El objetivo de un ataque electrónico? X -Rings de un marcapasos en el cofre.
Inicialmente, inicialmente parecía el orden para la seguridad informática de Zurich. El cliente: un hospital suizo. La tarea: Veinte productos médicos deben probarse si los atacantes pueden penetrar y manipular digitalmente los dispositivos. El jefe de la compañía de la compañía, Marc Ruef, no tenía idea de que seguirían tres años de trabajo y mucho correo con abogados antes de que se cerrara una vulnerabilidad devastadora.
Dado que le preocupaba lo que su equipo descubrió en las pruebas: en los códigos de programación de las bombas por infusión que bombean los analgésicos en las venas de los pacientes, podría penetrar sin gran esfuerzo y regularlos a voluntad. «De esta manera, un agresor puede matar la cama en la cama en poco tiempo con una sobredosis de drogas. Al mismo tiempo, hemos podido cambiar los monitores de vigilancia para que indiquen datos indiscriminadamente vitales y, por lo tanto, hemos cubierto un asesinato de la gente», dice Ruef.
Cada hospital generalmente usa cientos de bombas para el monitoreo de infusión y monitoreo. Son dispositivos médicos ordinarios. SCIP informa al fabricante después de las pruebas para que pueda cerrar la vulnerabilidad peligrosa. Pero la compañía alemana pasa a la defensa. Los abogados amenazan el SCIP si la compañía suiza de seguridad cibernética sigue el asunto. RUEF está acostumbrado a esto: «Desafortunadamente, a menudo experimentamos que las empresas están eliminando y no ven qué arriesgan las reservas de las brechas de seguridad».
Sin actualizaciones de seguridad para dispositivos médicos
En el sector de la tecnología médica, en su experiencia, hay una falta de conciencia de la seguridad de TI. Ruef dice: «A menudo son ingenieros, que no desarrollan estos productos que no se enfrentan con ataques de piratería». Se agrega un obstáculo burocrático: después de la admisión, los productos médicos ya no deberían cambiarse. «Muy diferente de una computadora portátil o un teléfono inteligente que se adapta constantemente con actualizaciones». Cada actualización requeriría un nuevo registro.
El resultado: marcapasos, bombas de infusión, pero también portátiles son susceptibles de ataques cibernéticos, los jueces de Ruef. A diferencia de las caderas o las rodillas artificiales, estos dispositivos están en línea. Una vez cortados en el corazón, los marcapasos podrían guardar silencio e incluso matar. Transmitir datos del cuerpo a otros dispositivos. Y cada vez más plantas y prótesis se están volviendo inteligentes y destellos del cuerpo.
En el sector no te gusta escuchar estas advertencias. El productor Medtronic rechaza una entrevista, pero disminuye por escrito: Haga todo lo posible para excluir ataques externos perjudiciales para los dispositivos médicos y su software. «La seguridad cibernética es la seguridad del paciente, por lo que Medtronic construye todos los dispositivos y se establece de tal manera que sea resistente y los pacientes de todo el mundo protegen contra nuevas amenazas de seguridad de TI en cada etapa del ciclo de vida del producto». En la profesión médica y también en la empresa, es posible que no vea ningún peligro de ataques digitales.
Las atenciones pasan desapercibidas
El tenor es muy familiar. A menudo logra escuchar: «Nadie lo explota. ¿Quién debería estar interesado? «Él lo considera un error de juicio y no está solo. John Rundfeldt, experto digital y portavoz del criterio independiente del grupo de AG de expertos, que quieren mejorar la seguridad de las infraestructuras críticas en Alemania:» Puede concierne a los ataques individuales contra las personas: «ataques más altos, ataques generales, generales, ministros o personas similares».
Según él, tal intento de asesinato difícilmente podría ser notado. «Debes tener cuidado de no decir que no hubo un ataque de hackers contra la tecnología médica», dice Rundfeldt. «¿Cómo queríamos determinarlo cuando un paciente con marcapasos muere de paro cardíaco? La detección es extremadamente difícil. «
Otros, quizás razones más importantes, podrían ser la extorsión y el robo de datos. El sector de la salud es actualmente el objetivo más popular de los delincuentes de TI, como uno Investigación La autoridad europea cibernética ENISA 2023 mostró. Las empresas y los hospitales están constantemente expuestos a ataques de ransomware: todos los datos internos están encriptados por los atacantes y, por lo tanto, las víctimas están chantajeadas por altas sumas de dinero. Los datos cifrados se vuelven a publicar nuevamente cuando el pago.
La mayoría de las veces, las personas adjuntas están en silencio para evitar daños a la imagen, especialmente si apenas estaban preparados y después del ataque como Tu Berlín no puede trabajar durante meses. Nueve de cada diez números según las encuestas, poder volver a trabajar. Aún y aún son las interfaces entre los dispositivos utilizados, por ejemplo, cuando un marcapasos transfiere sus datos a una estación de monitoreo nacional a través de la cual los atacantes pueden colapsar.
Chantaje con protocolos de psicoterapia
Fue solo en octubre de 2024 que las clínicas del evangélico Giovanni di Giovanni en Berlín fueron atacadas de esta manera y todavía están luchando con las consecuencias. El personal describe un viaje a través del tiempo en los años 80. Mucho se documenta nuevamente en papel. A veces, las tarjetas de salud electrónicas de los pacientes ni siquiera podían leerse.
«Hasta hace unos años, era un tabú moral para los delincuentes de la computadora que atacaban el sistema de salud. Esto ha cambiado», lamenta Rundfeldt. En Finlandia, los atacantes penetraron la red de datos de un software de sesiones de psicoterapia y robaron los protocolos de discusión del paciente. Entonces los enfermos fueron insertados con detalles privados.
Las plantas como las bombas de insulina, los marcapasos o los desfibriladores contra el paro cardíaco están en riesgo porque los delincuentes pueden ver un modelo de negocio en el interior. Los dispositivos se producen en serio; Si están fuera de servicio, esto no solo pone en peligro la vida humana, sino que también presiona a los productores: el intento de extorsionar es obvio, cree en Ruef.
En los Estados Unidos, la sensibilidad al riesgo es mayor. Esto puede deberse al hecho de que los especialistas en TI mostraron en 2017 que pudieron ingresar a un marcapasos del productor Abbott Laboratories, que originalmente produjo St. Jude Medical Company. A través del teléfono inteligente. Los marcadores interesados podrían ser configurados por médicos a través de la señal de radio. Sin embargo, los piratas informáticos también pudieron usar este acceso inalámbrico y, por ejemplo, poner la batería al vacío o cambiar la frecuencia del reloj del marcapasos.
Con insulina es fácil de matar
Aunque no sucedió nada más, la Autoridad de Grabación de la FDA reaccionó rápidamente: cientos de miles de pacientes en los Estados Unidos y 13,000 personas en Alemania recibieron una oferta para una actualización de seguridad que se instalaría en una clínica.
Y este no fue un caso aislado. En un proyecto de investigación que estaba en marcha hasta 2020, la Oficina de Seguridad Federal Alemana en Tecnología de la Información identificó los puntos débiles en diferentes dispositivos. Descubrió que el código de acceso de una bomba de insulina podría romperse fácilmente y estaba preestablecido en la fábrica de fábrica. «Un atacante podría obtener el control del dispositivo y dar una patada de insulina». La insulina hormonal reduce el nivel de azúcar en la sangre. Si se libera demasiada insulina, cada persona, sana o enferma, puede morir por hipoglucemia.
La conciencia de los riesgos aún es baja. El experto digital Johannes Rundfeldt cuenta su visita al hospital, en el que recibió opiáceos después de una operación a través de una bomba de alivio del dolor. La bomba se ha solucionado con un código para que los usuarios que dependan del medicamento no puedan interceptar el medicamento solo con dosis más altas. Pero Rundfeldt estudió el código en el manual del dispositivo desde la curiosidad y el aburrimiento durante la hospitalización del hospital durante la hospitalización del hospital, y aquí: pudo ajustar la bomba de analgésica de forma independiente. El médico reaccionó para asombro.
Mejor escapar que recitar
«Aunque el problema de la vulnerabilidad digital de los dispositivos médicos ha sido conocido durante diez años, no ha sucedido lo suficiente», dice Stefan Schulz, de la Universidad de Trier. En una publicación especializada, requiere con urgencia más atención y dirigido a las aclaraciones del paciente en 2024. Ellos también deben saber que la vida y la vida a través de las plantas son vulnerables, incluso si la probabilidad de un ataque contra los individuos es muy baja.
A Schulz le gustaría lanzar una comisión que proporcione recomendaciones concretas para la seguridad informática de la tecnología médica. La profesión médica reacciona muy claramente al tema, informa. Pero al final, la timidez es fantástica para hacer más por esto, por ejemplo en la investigación. Los recursos son escasos y la tentación es excepcional no atraer la atención a los riesgos cibernéticos, con la esperanza de que nada suceda y tampoco para discernir a los pacientes. «Esta es una mezcla peligrosa», dice Schulz.
Schulz cree que incluso la creciente conexión de la tecnología médica con el teléfono inteligente a través de la aplicación y a través de Bluetooth es problemática. Aún y aún, la gente muestra que se puede penetrar particularmente fácilmente a través de interfaces tan abiertas.
Mejor un dispositivo sin tecnología de radio
Ruef va aún más lejos: «Si necesitara un marcapasos, no lo encontraría tan grande cuando rompiera los datos de mi corazón a través de Bluetooth o Wi-Fi». Si tuviera la opción entre función y seguridad, habría elegido Security, un dispositivo sin tecnología de radio.
El caso del fabricante de bombas de infusión rebeldes, que la compañía SCIP quería advertir, recientemente tomó un curioso punto de inflexión. Después de tres años, la FDA de la Autoridad de Admisión Americana fue entregada al viento por la brecha de seguridad continua. El jefe de la compañía de la compañía, Marc Ruef, dice: «Rápidamente amenazaron con extinguir la aprobación del producto si no se mejoró. El fabricante nos pidió ayuda. Ayudamos a cerrar la vulnerabilidad. «
Solo la FDA tiene en cuenta el problema de los ataques de TI contra la tecnología médica y el poder de trasladar a los fabricantes a mejoras. «Siempre pasamos por la autoridad estadounidense».
Un artículo de «»