Mnogi su bili iznenađeni kada su pročitali da su najsofisticiraniji i najskuplji medicinski uređaji, kao što su rentgen mašine ili analizatori gasova u krvi, upotrebljeni kao uporišna tačka u široj akciji upada u IT sisteme u tri bolnice. Iako je bila opšte poznata činjenica o ranjivosti umreženih medicinskih uređaja, to su bili prvi zabeleženi slučajevi u kojima su takvi uređaji upotrebljeni kao uporišna tačka za šire bočne napade u ostale bolnice.
Sada kada je takav propust prijavljen, stručnjak u kompaniji Simantek (Symantec) Brajan Viten (Brian Witten) u svom blog postu detaljno analizira zašto takve očigledne probleme nije bilo moguće ranije popraviti. Iznenađujuće odgovor nema nikakve veze sa tehnologijom. Verovali ili ne, mnogi od ovih sistema „ispod haube“ imaju poznate softvere, kao što su različite verzije operativnih sistema Windows ili Linux. Nažalost ove veoma važne mašine skoro nikada nisu bile ažurirane sa poslednjim bezbednosnim zakrpama. Takvi rizici nisu tajna u bolnicama. Zdravstvo je dugo vremena imalo uvid u te rizike jer su ranije ti uređaji bili zaraženi zlonamernim softverom kao što su Zeus, Citadel, Conficker i drugi. U stvari neke infekcije računarskim virusima zatvarale su cela bolnička odeljenja, zahtevale su preusmeravanje hitnih pacijenata ili su imale slične posledice na pružanje nege.
Naravno svaki računar u bolnici, baš kao i svaki laptop, ima zaštitu protiv takvih neželjenih programa. Redovno ažurirane mašine rade efikasno, redovno ažurirani anti-virusni programi dobro su zaštićeni od takvih softvera i napada hakera. Nažalost, zbog regulatornih razloga i internih pravila, bolnicama nije dozvoljeno da ažuriraju medicinske uređaje, čak i uređaje koje pokreće Windows ili neki drugi komercijalni softver. Isto tako bolnicama nije dozvoljeno da instaliraju bilo kakav dodatni softver na te medicinske uređaje, čak ni softver za bezbednost koji je bitan za zaštitu. Originalna logika proizilazi iz dobrog razloga. Medicinska oprema, uključujući i softver na njoj, mora da prođe formalno testiranje i da bude označena kao bezbedna za pacijente. Menjanje softvera na bilo koji način uključujući zakrpe ili dodavanje softvera bez izričite saglasnosti proizvođača može da promeni ponašanje uređaja na način na koji bi mogao da ugrozi pacijente. Zbog toga, regulatorna ograničenja zabranjuju neovlašćene promene na medicinskoj opremi, iako te promene imaju za cilj zaštitu opreme i na kraju zaštitu pacijenata.
Koliko su veliki rizici? Očigledno ne postoji rizik da „bankarske informacije“ budu ukradene iz magnetne rezonance. Međutim, neke od mašina su tako ranjive da mogu da otkažu kada dožive neočekivano ponašanje. Potpredsednik za istraživanje u kompaniji Veracode Kris Eng, nedavno je na svom Tviter profilu napisao da je sistem na magnetnoj rezonanci pao kada je skenirana na ranjivosti, ili su drugi istraživači prijavili da je običan SNMP upit mogao da „obori“ sistem na medicinskoj opremi. Naravno, nisu svi medicinski uređaji tako osetljivi, ali nijedan od ovih uređaja ne bi trebalo da bude tako ranjiv. Kada se uređaj inficira, bilo putem ulazne, uporišne tačke, ili kao deo šire infekcije, treba da se zabrinemo zbog mogućih posledica. Ključne kontrole sistema mogu da budu izmenjene što na primer može da dovede do preterane doze zračenja kod CT skenera. Ranjivosti pronađene kod insulinskih pumpi su se pokazale potpuno smrtonosnim.
Još jedna opažena pojava bi mogla da zabrine, a to je da kod ciljanog napada na medicinski uređaj, može da se naudi određenom pacijentu ili ugledu bolnice. Iako takvi slučajevi nisu do sada zabeleženi ili prijavljeni, istraživači koji se bave pitanjima bezbednosti su dokazali rizike za pejsmejkere (Kevin Fu), insulinske pumpe (Džerom Radklif) i infuzione pumpe (Bili Rios), što je dovelo do poslednje preporuke američkog tela za kontrolu industrijskih sistema i timova za krizne sajber situacije u američkom ministarstvu za državnu bezbednost (ICS – CERT) i saopštenja o bezbednosti pacijenata iz FDA (Američka Agencija za hranu i lekove).
Na kraju svog posta Viten se pita šta je učinjeno. Tokom 2014. FDA je izdala preporuku proizvođačima medicinske opreme. On je uveren da će u narednim godinama biti izdato još preporuka i da će doći do potencijalnog prinudnog sprovođenja odluka. Proizvođačima je neophodno da poboljšaju pitanje sajber bezbednosti, kao i da dobiju mogućnost ažuriranja uređaja „na terenu“, kao i da sarađuju sa regulatornim telima na procesu pomoću kojeg bi bilo lakše obezbediti ažuriranja korisnicima. U isto vreme bolnice rade na svojim procesima izgradnje bezbednije infrastrukture medicinskih uređaja.