Eksperci z firmy Kaspersky odkryli, że najpopularniejszy protokół przesyłania danych z urządzeń noszonych na sobie, wykorzystywany do zdalnego monitorowania pacjentów, zawierał, w samym tylko 2021 r., 33 luki w zabezpieczeniach, w tym 18 krytycznych. To o 10 krytycznych luk więcej niż w 2020 r. Wiele z nich nadal jest niezałatanych. Niektóre z tych luk pozwalają atakującym przechwytywać dane przesyłane z urządzenia online.
Obecna pandemia przyczyniła się do szybkiej cyfryzacji sektora ochrony zdrowia. Wobec przeciążenia personelu medycznego oraz dużej liczby osób przebywających na domowej kwarantannie konieczne było szukanie nowych sposobów świadczenia opieki zdrowotnej pacjentom. Z badania przeprowadzonego niedawno przez firmę Kaspersky wynika, że 91% podmiotów świadczących opiekę zdrowotną na całym świecie wdrożyło telemedycynę. Jednak ta błyskawiczna przemiana przyniosła nowe zagrożenia dla bezpieczeństwa, zwłaszcza w odniesieniu do danych pacjentów.
Telemedycyna obejmuje zdalne monitorowanie pacjenta, do czego wykorzystywane są urządzenia noszone na sobie. W kategorii tej mieszczą się gadżety, które w sposób ciągły lub w określonych odstępach czasu śledzą wskaźniki zdrowia pacjenta, takie jak aktywność serca.
Najpowszechniejszym protokołem przesyłania danych z sensorów oraz urządzeń noszonych na sobie jest MQTT. Ponieważ jest łatwy i wygodny, znajdziemy go nie tylko w urządzeniach noszonych na sobie, ale również w niemal każdym inteligentnym gadżecie. Niestety, podczas korzystania z protokołu MQTT uwierzytelnianie jest całkowicie opcjonalne i rzadko obejmuje szyfrowanie. Z tego powodu MQTT jest niezwykle podatny na ataki typu „man in the middle”, w których atakujący jest w stanie umiejscowić się pomiędzy dwoma stronami komunikacji, co oznacza, że wszelkie dane przesyłane przez internet mogą zostać potencjalnie skradzione. W przypadku urządzeń noszonych na sobie mogą to być wysoce wrażliwe dane medyczne, informacje osobowe, a nawet dotyczące przemieszczania się danej osoby.
Od 2014 roku w zabezpieczeniach protokołu MQTT wykryto 90 luk, łącznie z krytycznymi, z których wiele do dziś pozostaje niezałatanych. W 2021 roku wykryto 33 nowe luki w zabezpieczeniach, w tym 18 krytycznych – o 10 więcej niż w 2020 roku. Wszystkie te luki stanowią zagrożenie dla danych pacjentów.
Badacze z firmy Kaspersky wykryli luki nie tylko w protokole MQTT, ale również w jednej z najpopularniejszych platform dla urządzeń noszonych na sobie: Qualcomm Snapdragon Wearable. Od momentu uruchomienia tej platformy znaleziono w niej ponad 400 luk w zabezpieczeniach. Nie wszystkie z nich zostały załatane.
Warto zauważyć, że większość urządzeń noszonych na sobie śledzi zarówno dane dotyczące zdrowia, jak i lokalizację i przemieszczanie się użytkownika. To otwiera możliwość nie tylko kradzieży danych, ale również stalkingu.
W wyniku pandemii rynek telemedycyny odnotował gwałtowny wzrost. Pojęcie telemedycyny obejmuje nie tylko kontakt z lekarzem za pośrednictwem oprogramowania audio-wideo, ale cały wachlarz złożonych, szybko ewoluujących technologii i produktów, łącznie ze specjalistycznymi aplikacjami, urządzeniami, wszczepialnymi sensorami oraz bazami danych opartymi na chmurze. Niestety, wiele szpitali nadal korzysta z niesprawdzonych usług osób trzecich w celu przechowywania danych pacjentów, a luki w zabezpieczeniach urządzeń oraz sensorów pozostają niezałatane. Aby zapewnić bezpieczeństwo danych swojej firmy oraz pacjentów, należy przed wdrożeniem takich urządzeń zorientować się w ich poziomie bezpieczeństwa – powiedziała Maria Namiestnikowa z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky.
Pełny raport poświęcony lukom w zabezpieczeniach urządzeń telemedycyny jest dostępny na stronie https://r.kaspersky.pl/L8qmm.
Porady bezpieczeństwa
Firma Kaspersky zaleca podmiotom świadczącym opiekę zdrowotną następujące działania w celu zapewnienia bezpieczeństwa danych pacjentów:
- Sprawdź bezpieczeństwo aplikacji lub urządzenia sugerowanego przez szpital lub placówkę medyczną.
- W miarę możliwości zminimalizuj ilość danych przesyłanych za pośrednictwem aplikacji telemedycyny (np. nie zezwalaj urządzeniu na wysyłanie danych lokalizacyjnych, jeśli nie ma takiej potrzeby).
- Zmień hasła z domyślnych i stosuj szyfrowanie, jeśli urządzenie oferuje taką możliwość.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.