1. února 2022 – Zásadní nárůst počtu zranitelností u nejčastěji používaného protokolu pro přenos dat z nositelných zařízení sloužících pro vzdálené monitorování pacientů odhalili v loňském roce experti společnosti Kaspersky. Celkem jich objevili 33, z toho 18 patřilo mezi kritické zranitelnosti. Meziročně oproti roku 2020 jejich počet vzrostl o 10 a mnohé z nich zůstávají nadále neopravené. Některé zranitelnosti umožňují útočníkům zachytit data odesílaná z nositelného zařízení.
Trvající pandemie vedla k urychlení digitalizace zdravotnictví. Vzhledem k zahlcení nemocnic a zdravotnického personálu a „uvěznění“ mnoha lidí v domácí karanténě byly organizace nuceny přehodnotit způsoby péče o pacienty. Nedávný průzkum společnosti Kaspersky zjistil, že 91 % poskytovatelů zdravotní péče po celém světě zavedlo možnost telemedicíny. Tato rychlá digitalizace však vytvořila nová bezpečnostní rizika, zejména pokud jde o data pacientů.
Vzdálený monitoring může být problematický
Součástí telemedicíny je vzdálené monitorování pacientů, které se provádí pomocí tzv. nositelných zařízení a monitorů. Patří mezi ně pomůcky, které umí nepřetržitě nebo v určitých intervalech sledovat zdravotní údaje pacienta, například srdeční činnost.
Nejběžnějším protokolem přenosu dat z nositelných zařízení a snímačů je MQTT, protože se dá snadno a pohodlně používat. Proto ho lze nalézt nejen v nositelných zařízeních, ale také v téměř jakýchkoli chytrých doplňcích. Při použití protokolu MQTT je však autentizace zcela volitelná a málokdy zahrnuje šifrování. Kvůli tomu je protokol MQTT velmi náchylný k útokům typu „man in the middle“ (kdy útočníci můžou proniknout do komunikace mezi dvěma stranami), což znamená, že veškerá data přenášená přes internet lze potenciálně odcizit. V případě nositelných zařízení můžou tyto informace zahrnovat velmi citlivé lékařské údaje, osobní informace, a dokonce i pohyb osob.
Od roku 2014 bylo v protokolu MQTT objeveno 90 zranitelností, včetně kritických, z nichž mnohé nebyly dodnes opraveny. V roce 2021 se nově objevilo 33 zranitelností, včetně 18 kritických, tedy o 10 víc než v roce 2020. Všechny tyto zranitelnosti vystavují pacienty riziku odcizení jejich údajů.
Počet zranitelností nalezených v protokolu MQTT v letech 2014 až 2021
Analytici společnosti Kaspersky našli zranitelnosti nejen v protokolu MQTT, ale také v jedné z nejoblíbenějších platforem pro nositelná zařízení – Qualcomm Snapdragon Wearable. Od uvedení této platformy na trh se objevilo víc než 400 zranitelností, ne všechny však byly opraveny, včetně některých z roku 2020.
Nositelná zařízení sledují i polohu uživatele
Je třeba upozornit, že většina nositelných zařízení sleduje jak zdravotní údaje, tak polohu a pohyb osob. To otevírá možnost nejen krádeže údajů, ale také potenciálního stalkingu.
„Pandemie vedla k prudkému růstu v oblasti telemedicíny, což není pouhá videokomunikace s lékařem. Mluvíme o celé řadě komplexních, rychle se vyvíjejících technologií a produktů, včetně specializovaných aplikací, nositelných zařízení, implantovatelných senzorů a cloudových databází. Mnoho nemocnic však stále používá k ukládání dat pacientů neprověřené služby třetích stran a zranitelná místa v nositelných zdravotnických zařízeních a senzorech zůstávají nechráněná. Před nasazením takových zařízení se snažte zjistit co možná nejvíc o úrovni jejich zabezpečení, aby byla data vaší organizace a pacientů v bezpečí,“ nabádá Maria Namestnikova, vedoucí ruského globálního výzkumného a analytického týmu (GReAT) společnosti Kaspersky.
Přečtěte si celou zprávu o zabezpečení v telemedicíně na webu Securelist.com.
Chcete-li získat další informace o celosvětovém zavádění telemedicínských služeb, podívejte se na globální průzkum společnosti Kaspersky.
Kvůli lepšímu zabezpečení dat pacientů doporučují bezpečnostní experti společnosti Kaspersky zvážení následujících kroků.
- Kontrolujte zabezpečení aplikací a zařízení, která chtějí nemocnice nebo zdravotnické organizace používat.
- Pokud je to možné, minimalizujte množství dat přenášených telemedicínskými aplikacemi (např. nenechejte zařízení odesílat údaje o poloze, pokud nejsou zapotřebí).
- Změňte výchozí hesla, a pokud to zařízení nabízí, používejte šifrování.
O společnosti Kaspersky
Kaspersky je globální společnost zaměřená na kybernetickou bezpečnost, která vznikla v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují do inovativních bezpečnostních řešení a služeb na ochranu firem, kritické infrastruktury, vlád a dalších uživatelů po celém světě. Komplexní portfolio zabezpečení, jejž tato společnost nabízí, zahrnuje špičkovou ochranu koncových bodů a řadu specializovaných bezpečnostních řešení a služeb, jež pomáhají čelit sofistikovaným digitálním hrozbám, jakkoli se neustále proměňují. Technologie společnosti Kaspersky chrání víc než 400 milionů uživatelů a 240 000 firemním klientům přináší ochranu všeho, co je pro ně v digitální oblasti nejcennější. Další informace jsou k dispozici na www.kaspersky.com.