Biohacking angeschlossenen Geräte: Was IT-Führungskräfte wissen müssen über das „Internet der Menschen“

Digitale transformation gediehen in der healthcare-Industrie, technologische Fortschritte, die es Anbietern ermöglichen, um besser auf Patienten jeden Tag. Jedoch, wie die angeschlossenen medizinischen Geräten weiter an Bedeutung gewinnen, so die cybersecurity-Risiken, die Sie umgibt.

In der Tat, gerade im letzten Monat, Verkäufer GE ergab, dass Mängel in der Sicherheit in seiner Klinik Anästhesie und respiratorische Maschinen könnte dazu führen, Patienten zu Schaden.

„Im Allgemeinen, biohacking, wurde zu einem stetig wachsenden Problem in der security-Branche,“ sagte Jonathan Tanner, senior security researcher bei Barracuda Networks, ein cybersecurity-Technologien und Dienstleistungen fest.

“Die Forscher zum ersten mal entdeckte Sicherheitslücken in den Medtronic Maximo vor über einem Jahrzehnt, im Jahr 2008. Jahre später, im Jahr 2012, die Showtime-TV-Serie Homeland dargestellt Terroristen aus der Ferne manipulieren, einen Herzschrittmacher, was ein Zeichen Niedergang.“

Ein durchaus plausibles Angriff

Während die Besonderheiten dieser Hollywood-Beispiel wurden etwas weit hergeholt, das Konzept und Schwachstellen in solchen Geräten war nicht, und ein paar Artikel geschrieben wurden, die Feststellung, dass während der Spezifika können haben gewesen ein bisschen übertrieben, die Anfälligkeit solcher Geräte war durchaus plausibel, angesichts der Verschiebung von erfordert den direkten Kontakt zu Programmieren und Geräten zu einer vollständigen integration der drahtlosen Kalibrierung für die Bequemlichkeit.

„Dank der Zunahme und Verbreitung von drahtlos kalibrierten Geräte, dem“ Internet der Menschen „wird schnell zu einer Realität, wie Hersteller von medizinischen Geräten Aussehen zu verbessern den Komfort und die Leichtigkeit, mit der Ihre Geräte verwendet werden, und konfiguriert ist, wird“ Tanner erklärt. „Dies ist nur eine kleine Gruppe von medizinischen Geräten, die erforscht war.“

„Dank der Zunahme und Verbreitung von drahtlos kalibrierten Geräte, dem“ Internet der Menschen “ wird schnell zu einer Realität, wie Hersteller von medizinischen Geräten Aussehen zu verbessern den Komfort und die Leichtigkeit, mit der Ihre Geräte verwendet werden, und konfiguriert ist.“

Jonathan Tanner, Barracuda Networks

Jedoch, da mehr potenziell gefährdeten Geräte werden entwickelt, zusammen mit einer wachsenden Sorge um die Sicherheit der healthcare-Industrie im Allgemeinen, der Forschung werden nur dann weiter steigern in diesem Bereich.

„Zum Beispiel, der DefCon security conference ist Gastgeber der Biohacking Dorf für das vierte Jahr in Folge zu erforschen und zu diskutieren, unter anderem diese Geräte und Fragen,“ Tanner bemerkte.

„Mit diesem weiteren Funken Forschung wie das Bewusstsein wächst innerhalb der security-Branche“, sagte er. „Während es noch nicht Angriffe gegen diese Geräte in der wildnis, Verbrecher müssen einfach Wege finden, Geld verdienen, solche Angriffe mit einer gleichen oder höheren Gewinn als die aktuellen Cyberangriffe für diese zur Realität werden.“

Was können CIOs und CISOs tun?

Also, was kann die Gesundheitsversorgung provider organization CIOs und CISOs tun, um zu schützen Ihr Unternehmen vor dieser Bedrohung?

„Es gibt zwei wichtigsten Dinge,“ Tanner riet. “Der erste Schritt ist, um sicherzustellen, dass es ist eine richtige Erforschung und Untersuchung der Sicherheit und Auswirkungen von medizinischen Geräten, die betrachtet wird, ist für den Einsatz bei deren Organisationen. Dies kann erfordern umfangreiche Forschung gegeben, wie die neuen, die Branche und eine mögliche mangelnde Sicherheit Informationen über die genaue Geräte evaluiert. Allerdings brechen Kandidat Geräte in Ihren verschiedenen Funktionen und möglichen Sicherheitsbedenken auszahlen kann.“

Zum Beispiel, festzustellen, welche Art von wireless-Zugriff und-Authentifizierung-Mechanismen existieren in einem Gerät, erklärte er. Diese können dann korreliert werden mit der derzeitigen Forschung, die möglicherweise nicht für das gleiche Gerät, aber zur Implementierung der Muster, sagte er. Wenn ein Gerät verwendet Bluetooth für die Konfiguration, bisherige Forschungs-und Heldentaten, über Bluetooth kann auf das Gerät anwendbar, fügte er hinzu.

„In-Tiefe Forschung wie diese könnten helfen, verringern die Abhängigkeit von Geräte-spezifischen Forschung durch ausfüllen von potenziellen Risiken, basierend auf bereits vorhandenen Informationen“, sagte er. „Darüber hinaus, wenn es das budget erlaubt, sollten Unternehmen prüfen, Einstellung eines security professional adept bei der Erforschung solcher Geräte.“

Unabhängig davon, ist die Forschung kann helfen, den Fokus auf Anliegen und setzen den Angriff Oberflächen des Gerätes. Wenn das Gerät verwendet nur die WLAN-Kommunikation über einen speziellen port, wireless-Angriffe sind nicht von Belang und Forschung anderweitig eingesetzt werden kann. Es kann sich als schwierig erweisen, aber die Nutzung der Geräte-Hersteller für Informationen, die helfen, auflisten von potenziellen Schwachstellen ist nützlich.

Diese Informationen werden wahrscheinlich nicht kommen, aus einem Vertreter, also die Förderung der Beziehungen mit Kontakten, die ein handle auf technische Kenntnisse der Geräte ist der Schlüssel.

Halten Unternehmen verantwortlich

„Die zweite und vielleicht wichtigste, was Führungskräfte tun können, ist zu halten die Unternehmen die Verantwortung für Sicherheitslücken,“ Tanner hat erklärt. „Diese können sich während der ersten recherche eines Gerätes, wenn unabhängige Forschung veröffentlicht wird, oder in einem worst-case-Szenario, wenn ein Gerät ausgenutzt wird.“

Unabhängig davon, Wann diese Fehler aufgedeckt werden, Druck auf die Hersteller zu beheben aktuellen Fehler sowie wie stellen Sie sich die Geräte in Zukunft frei, sagte der Fehler ist von entscheidender Bedeutung, fügte er hinzu.

„Sicherheit ist ein hit, dass die Hersteller unterst Linien; es schafft eine situation, wo die Hersteller verstehen, dass ein Mangel an Investitionen in die richtige Sicherheit ist nicht akzeptabel ist entscheidend“, sagte er. “Leider ist dies viel leichter gesagt als getan, denn es erfordert Bewusstsein und Sorgfalt aus dem gesamten healthcare-Industrie, um wirklich effektiv zu sein. Jedoch hat eine vorzeitige Annahme von solchen Praktiken ist nicht ohne seine Vorteile, vor allem, wenn ein Vorfall Auftritt, an anderen stellen, dass Ihre Organisation bereits entschärft.“

Ein Aktuelles Beispiel, wird der healthcare-Organisation unberührt von der neuesten ransomware Angriff, weil die Organisation der Daten war ordnungsgemäß gesichert und die notwendige Verteidigung ist viel besser als landen in den Schlagzeilen, Opfer eines solchen Angriffs.

„Möglicherweise, PR-Abteilungen für diejenigen, die Abschwächung der Angriffe könnten sogar nutzen solche Schlagzeilen zu verbreiten das Wort, was wurde richtig gemacht in der Organisation, sowohl erhebend sein Bild, und informiert den rest der Branche auf die besten Praktiken, um Angriffe zu verhindern,“ Tanner vorgeschlagen.

Probleme sind losgelöst von CIOs und CISOs

Im Allgemeinen von Sicherheitslücken und-Vorfällen auftreten von Betriebsstörungen weit unten in der Kette von healthcare executives, und im Falle der medizinischen Geräte, auch die Organisation, sagte er. Aus Programmierern und Designern, die sich nicht kümmern oder die richtige Ausbildung erhalten, wie man richtig implementieren von Sicherheit in Geräte hergestellt werden, die Unternehmen, die entweder blind erlauben, dass diese Implementierungen oder zu fördern, die Kosten zu senken, die wahre Ursache sind Probleme, die-losgelöst von healthcare-Anbieter, CIOs und CISOs, sagte er.

„Jedoch, Druck auf die Hersteller und die Suche nach diejenigen, die sichere Geräte, auch wenn Sie mehr Kosten, sind wichtig, um die Behebung dieser Probleme und der Verhinderung künftiger Angriffe, die möglicherweise mehr fatale Folgen für die Patienten als die Sicherheit Ihrer medizinischen Daten“, sagte er.

Während IT-Führungskräfte haben Dinge, die Sie tun können, zu mildern biohacking Risiko, können die Hersteller mehr tun, als Sie traditionell.

„Hersteller medizinischer Geräte müssen versöhnen ein schneller go-to-market-Strategie mit Sicherheit“, sagte Tanner. „Leider, trotz der zunehmenden Diskussion von medizinischen Gerät Schwachstellen, Bewusstsein scheint auf Taube Ohren, da die Hersteller versuchen, um Produkte auf den Markt bringen, so schnell und kostengünstig wie möglich auf Kosten der Sicherheit.“

Für Hersteller, die Sicherheit sollte eine Grundvoraussetzung

Investitionen in die Sicherheit ist von entscheidender Bedeutung und sollten gesehen werden, nicht als zusätzliches feature, sondern eine Voraussetzung der Entwicklung solcher Geräte, Tanner erklärte.

„Reagieren und arbeiten mit unabhängigen Forscher, wenn Sie berichten Sicherheitslücken ist ein weiterer wichtiger Schritt für die Hersteller“, fügt er hinzu. “Es ist wichtig zu erkennen, dass die Forscher nicht angreifen, Ihr Unternehmen, aber Sie bieten freie Arbeit zu ermöglichen, bessere Produkt-design und Herstellung. Bug-bounties, wo Geld angeboten wird, für das finden und aufdecken von Sicherheitslücken direkt auf ein Unternehmen, so dass Sie behoben werden, bevor die Angreifer lernen und zu verwerten, kann auch angeboten werden, um Anreize unabhängige Forschung.“

Auch ohne solche Programme, gerade bekannt für eine gute Organisation zu arbeiten mit unabhängigen Forscher durchaus hilfreich sein kann, als auch, Tanner bemerkte. Viele Forscher sind hauptsächlich auf der Suche nach Anerkennung für Ihre Arbeit, so anstatt zu versuchen zu vertuschen, Ihre Erkenntnisse, die Arbeit schnell zu adressieren und zu beheben der Sicherheitsanfälligkeiten, riet er.

„Dadurch wird nicht nur die Sicherheit wollen die Forscher tun mehr Forschung über die Produkte eines Unternehmens, aber es wird auch viel mehr interessante Erzählung, wenn Sie Vorträge über Ihre Erkenntnisse bei der Vielzahl von security-Konferenzen verfügbar heute“, sagte er.

“Es ist sehr wahrscheinlich, dass unabhängig von einem Hersteller-Interaktionen mit einem Forscher, einen Vortrag über die Schwachstellen gegeben werden; wird der Hersteller das war ein Vergnügen, mit zu arbeiten und hat bereits begonnen, die Festsetzung dieser Schwachstellen ist viel besser, als der, der nicht erreichbar war, oder feindselig, deren Geräte sind immer noch anfällig“, fügte er hinzu.

Lernen von anderen Branchen

Wenn es um den Schutz von medizinischen Geräten von biohackers, die Medizinprodukte-Industrie lernen können von den IoT-und router-Industrie.

„Derzeit, in der zweiten, wäre es undenkbar, dass die Unternehmen bei der Umsetzung von nicht authentifizierten, unverschlüsselte Kommunikation Geräte, wie Medtronic haben mit Ihrer Defibrillatoren,“ Tanner hat erklärt. „Vorfälle wie dieser sollten Ansporn mehr Rechenschaftspflicht auf allen drei Märkten, aber nur, wenn die Leute wählen Sie zu Beginn der Einnahme solche Sicherheitslücken mehr ernst und halten sich die Hersteller verantwortlich, sowie zahlen keine Preiserhöhungen im Zusammenhang mit dem Kauf einer sichereren Produkt.“

IoT und Medizinprodukte in allem sind beide etwas Nischenmärkte wie Sie spezialisieren sich auf die Herstellung von Produkten, die entweder noch nicht vor oder sind nur eingeschränkt Hersteller. Dies behindert die Standardisierung, da jedes Gerät ist so einzigartig, noch ist die Sicherheit weitgehend über Allgemeine Paradigmen, die könnte leicht angewendet werden, um mehrere nicht zusammenhängende Produkte.

„Vermeidung von wireless-Angriffen oder intrusion ist ein ziemlich universelles Konzept, ob Sie einen defibrillator oder ein thermostat, so dass sichere Geräte sollte nicht schwierig sein, mit der richtigen Investition von Zeit und Ressourcen zu lernen, die verschiedenen Risikofaktoren, die potenziell Auswirkungen auf ein neues Gerät“, sagte Tanner.

Was ist bekannt?

Unternehmen müssen lernen, zu brechen, Ihre gesamten Geräte-Sicherheit in separate Bedenken über die Funktionen und die Bedienung eines bestimmten Geräts, fügte er hinzu. Sobald diese Bedenken sind bekannt, Sie können noch mehr geforscht werden einfach und Informationen aus anderen Bereichen integriert werden können, zur Verringerung von Doppelarbeit, sagte er.

„Im Allgemeinen, Schwachstellen fallen oft in eine bestimmte und kleine Gruppe von spezifischen Techniken,“ Tanner erklärt. „Zum Beispiel, die Allgemeine Wirkung und Umfang unterscheiden können auf einer Fall-zu-Fall-basis, aber ein buffer overflow ist im wesentlichen die gleiche Sache unabhängig von der Anfälligkeit und die Möglichkeiten, Sie zu beheben oder zu verhindern, dass ein buffer overflow sind relativ universell.“

Sicherstellen, dass die gängigen Schwachstellen nicht vorhanden sind, sind durch secure coding und Umsetzung Praktiken ist die Grundlage für die Erstellung von sicheren Geräten, sagte Tanner. Wenn es um Prävention, die sich auf die Ursache der Schwachstelle (z.B. einen Puffer-überlauf), sondern das Ergebnis – das kann irgendwo im Bereich von Abstürzen das Programm erlaubt die Ausführung von bösartigem code – ist ein wichtiger und effektiver Schritt zur Schaffung von mehr sicheren Geräten, sagte er.

„Industrial control systems sind eine gute parallele Industrie medizinische Geräte, gegeben, beide haben viel größere Folgen, wenn Zwischenfälle passieren als IoT-und-Router“ Tanner riet. „Beide Branchen sind am Rande der öffentlichen Aufmerksamkeit, beschäftigen sich weitgehend in nicht-standard-Elektronik-Geräte, und sind in der entsetzlichen Notwendigkeit von mehr Sicherheit Praktiken, so könnte Sie möglicherweise suchen, um einander zu helfen.“

Überlappende Sicherheits-Bedenken

Es ist auch wahrscheinlich, dass es überschneidungen zwischen Sicherheit betrifft, vor allem diejenigen in Bezug auf die Geräte selbst, sowie Gebäude-Kommunikations-Systeme mit den Geräten, die nicht völlig standard-oder gemeinsamen, fügte er hinzu. Beide haben auch einige Möglichkeiten, um hardware-fail-Safe, im Falle von software nicht wie erwartet auswirken, wenn durch einen Angreifer gefährdet wurde, sagte er.

„Auf einem anderen Ende des Spektrums, tech-Riesen und social-media-Websites sind auch große Orte, um Lektionen zu lernen, da viele dazu neigen, um einige der besseren Sicherheits-Praktiken verwendet wird, in diesen Tagen,“ sagte Tanner. „Während Sie verkaufen können, Ihre Daten auf eine beliebige Anzahl von Websites selbst, die Unternehmen wie Facebook und Google setzen viel manpower und Geld in die Herstellung sicher, dass die Angreifer nicht durchbrechen kann, Ihre Systeme zu erhalten solcher Daten.“

Das gleiche gilt für viele andere top-tech-Unternehmen, vielleicht seit der Vielzahl von Optionen gibt, macht eine Aufteilung in Sicherheit Kritischer auf Ihre Rentabilität, sagte er. Viele bieten bug-bounty-Programme, die Hilfe in der Entdeckung von Sicherheitsrisiken, die von denen, die versuchen zu helfen, zu mildern, anstatt Sie auszubeuten, fügte er hinzu.

„Letztlich lernen von anderen Branchen generell würde gehen einen langen Weg zur Erhöhung der Sicherheitslage in vielen Bereichen,“ schlug er vor. „Während die verschiedenen Branchen haben unterschiedliche Produkte und Verfahren, gehören zu der Kategorie „Technologie“ bedeutet, dass die möglichen Sicherheitsrisiken sind wahrscheinlich gemeinsam mit anderen Branchen, die scheinbar völlig unabhängig voneinander sind. Diese Erkenntnis und die lehren aus anderen Branchen kann es sogar verhindern, dass künftige Probleme, die haben keine Auswirkungen auf eine bestimmte Branche vor.“

Twitter: @SiwickiHealthIT
E-Mail der Autorin: [email protected]
Healthcare-IT-News ist die HIMSS Media-Publikation.