Egy nyaralásom alkalmával egy kis szállodában laktam, melynek tulajdonosa régi technológiai eszközöket gyűjtött, és büszkén meg is mutatta az egyetlen és még mindig működő zenegépét. A gép az 1960-as években készült, és meglepetésemre ez az egyike azon korai eszközöknek, amelyek az adatokat mikrochipre rögzítette, például, hogy hányszor játszották le az adott dalt. A rádióállomások tulajdonosai – természetesen nem online – gyűjtötték ezeket az adatokat, és a lejátszási listájukat a zenegépekből kiolvasott adatok szerint állították össze.

Ez egy régi példa arra, hogyan alakított az adat és a technológia egész iparágakat. Akkoriban még csak néhányan tudták, hogy hogyan olvassák ki a mikrochip adatait, és az eszközt fizikailag kellett elérni, hiszen az internet még évtizedeket váratott magára.

Napjainkban, 2019-ben, amikor mindannyiunk kezében van egy miniatűr számítógép, egy úgynevezett okostelefon, már nem lepődünk meg, hogy a technológia lehetővé teszi számunkra, hogy intelligens ajtócsengőink legyenek, pacemakereket ültessenek be a testünkbe, vagy okostelefonok, fitnesz trackerek gyűjtsék az adatokat rólunk nap mint nap. A régi szokások – amelyek akkoriban alakultak ki, amikor a készülékek, mint például a zenegépek, még nem tudtak csatlakozni az internethez – ragaszkodnak hozzánk: az olcsóbb IoT eszközöket úgy tervezték, hogy figyelmen kívül hagyják az alapvető informatikai biztonsági gyakorlatokat. Majdnem azt írtam, hogy informatikai biztonsági szabványokat, de sajnos, amikor az IoT- ről beszélünk, általános érvényű szabványok nem léteznek. Az informatikai biztonság hiánya azt jelenti, hogy ezek az olcsó eszközök érzékenyek a támadásokra, előfordulhat adatszivárgás, tehát jelentős biztonsági kockázatot jelentenek.

Folytatva a nem túl jó híreket, a leggyakrabban használt egészségügyi informatikai eszközök alapkoncepcióját úgy tervezték meg, hogy az internet és az informatikai biztonság még nem volt fontos téma, vagyis a biztonság nem volt szempont a készülék tervezése során. Ez lehetővé tette a fitnesz trackerek számára, hogy lássák a felhasználók tartózkodási helyét, vagy egy kis kutakodás után például katonai bázisok helyszíneit és a katonák titkos útvonalait is fel lehetett fedni.

Közel 500 000 pacemakert kellett visszahívni szoftverfrissítésre, mert az eszközök sebezhetők voltak, de szerencsére a hibákat nem volt könnyű kihasználni. Ebben az esetben a sérülékenység lehetővé tette a támadók számára, hogy hozzáférjenek a pacemaker parancsaihoz, hogy megváltoztassák a beállításokat, vagy más módon zavarják a szívritmus-szabályozó tervezett funkcióit. A lehetséges súlyos következmények ellenére a támadásokat nem lehetett könnyen véghezvinni, mivel nem volt nyilvánosan használható kód a támadások fejlesztésére, és az adatszerzés magas szintű ismereteket igényelt, amelynek nagyon kevés programozó van birtokában, emellett pedig a támadóknak elég közel kellett lenniük (néhány centiméterre) az adott pacemakertől, hogy lehetővé tegyék az RF kommunikációt.

Mint azt tudjuk, az egészségügyi intézmények, a kórházak érzékenyebbek a külső zsarolóvírus támadásokra (amikor a támadók orvosi adatokat titkosítanak, és csak akkor oldják fel ezt, ha váltságdíjat fizetnek nekik). A valószínűség kockázatát növeli az informatikai infrastruktúra viszonylag öreg kora, az érzékeny adatokhoz való időérzékeny hozzáférés, a csatlakoztatott eszközök száma, és az orvosi személyzet informatikai biztonsággal kapcsolatos szakértelmének relatív hiánya.

A fent említett biztonsági kockázatok ellenére továbbra is támogatjuk az egészségügyi informatikai technológiák használatát. A biztonság minden eszközön elengedhetetlen, és sok eszköz tervezője a biztonságot első számú prioritásnak tekinti. Ha az eszközgyártók, az egészségügyben dolgozó szoftverfejlesztők követik az alapvető informatikai biztonsági gyakorlatokat – amint azt az Egyesült Királyság kormánya a tavalyi évben felsorolta – a megjelenő termékek és szolgáltatások valóban az emberek szükségleteit fogják szolgálni, minőségi életet biztosítva a krónikus betegségekben élő betegeknek. Az egészségügyi szakemberek adat alapú döntése azt jelenti, hogy jobb diagnózis jön létre és megalapozottabb döntések születnek. Tehát kérjük, hogy használjon biztonságos, tesztelt, minőségi eszközöket és megoldásokat az egészsége megőrzésére és javítására!

U.i.: Ha túl elfoglalt, hogy megkeresse az interneten az IoT eszközök javasolt biztonsági protokollját, a lista itt van:

Gyakorlati kódex (fontossági sorrendben):

1. Nincs alapértelmezett jelszó

2. Biztosítson egy sebezhetőségi közzétételi politikát

3. Folyamatosan adjon ki frissítéseket a szoftverhez

4. Biztonságosan tárolja a hitelesítő adatokat és a biztonsági szempontból érzékeny adatokat

5. Biztonságosan kommunikáljon

6. Minimalizálja a támadási felületeket

7. Biztosítsa a szoftver integritását

8. Biztosítsa a személyes adatok védelmét

9. Legyen ellenálló a leállásokkal szemben

10. Figyelje a rendszer telemetrikus adatait

11. A fogyasztók számára egyszerűvé teszi a személyes adatok törlését

12. Könnyűvé kell tenni az eszközök telepítését és karbantartását

13. Ellenőrizze és érvényesítse a betáplált adatokat

Szerző: Máthé Zoltán