Je monitoring srdečního tepu bezpečný?

Zásadní nárůst počtu zranitelností u nejčastěji používaného protokolu pro přenos dat z nositelných zařízení sloužících pro vzdálené monitorování pacientů odhalili v loňském roce experti společnosti Kaspersky. Celkem jich objevili 33, z toho 18 patřilo mezi kritické zranitelnosti. Meziročně oproti roku 2020 jejich počet vzrostl o 10 a mnohé z nich zůstávají nadále neopravené. Některé zranitelnosti umožňují útočníkům zachytit data odesílaná z nositelného zařízení.

Trvající pandemie vedla k urychlení digitalizace zdravotnictví. Vzhledem k zahlcení nemocnic a zdravotnického personálu a „uvěznění“ mnoha lidí v domácí karanténě byly organizace nuceny přehodnotit způsoby péče o pacienty. Nedávný průzkum společnosti Kaspersky zjistil, že 91 % poskytovatelů zdravotní péče po celém světě zavedlo možnost telemedicíny. Tato rychlá digitalizace však vytvořila nová bezpečnostní rizika, zejména pokud jde o data pacientů.

Vzdálený monitoring může být problematický

Součástí telemedicíny je vzdálené monitorování pacientů, které se provádí pomocí tzv. nositelných zařízení a monitorů. Patří mezi ně pomůcky, které umí nepřetržitě nebo v určitých intervalech sledovat zdravotní údaje pacienta, například srdeční činnost.

Nejběžnějším protokolem přenosu dat z nositelných zařízení a snímačů je MQTT, protože se dá snadno a pohodlně používat. Proto ho lze nalézt nejen v nositelných zařízeních, ale také v téměř jakýchkoli chytrých doplňcích. Při použití protokolu MQTT je však autentizace zcela volitelná a málokdy zahrnuje šifrování. Kvůli tomu je protokol MQTT velmi náchylný k útokům typu „man in the middle“ (kdy útočníci můžou proniknout do komunikace mezi dvěma stranami), což znamená, že veškerá data přenášená přes internet lze potenciálně odcizit. V případě nositelných zařízení můžou tyto informace zahrnovat velmi citlivé lékařské údaje, osobní informace, a dokonce i pohyb osob.

Od roku 2014 bylo v protokolu MQTT objeveno 90 zranitelností, včetně kritických, z nichž mnohé nebyly dodnes opraveny. V roce 2021 se nově objevilo 33 zranitelností, včetně 18 kritických, tedy o 10 víc než v roce 2020. Všechny tyto zranitelnosti vystavují pacienty riziku odcizení jejich údajů.

Analytici společnosti Kaspersky našli zranitelnosti nejen v protokolu MQTT, ale také v jedné z nejoblíbenějších platforem pro nositelná zařízení – Qualcomm Snapdragon Wearable. Od uvedení této platformy na trh se objevilo víc než 400 zranitelností, ne všechny však byly opraveny, včetně některých z roku 2020.

Nositelná zařízení sledují i polohu uživatele

Je třeba upozornit, že většina nositelných zařízení sleduje jak zdravotní údaje, tak polohu a pohyb osob. To otevírá možnost nejen krádeže údajů, ale také potenciálního stalkingu.

„Pandemie vedla k prudkému růstu v oblasti telemedicíny, což není pouhá videokomunikace s lékařem. Mluvíme o celé řadě komplexních, rychle se vyvíjejících technologií a produktů, včetně specializovaných aplikací, nositelných zařízení, implantovatelných senzorů a cloudových databází. Mnoho nemocnic však stále používá k ukládání dat pacientů neprověřené služby třetích stran a zranitelná místa v nositelných zdravotnických zařízeních a senzorech zůstávají nechráněná. Před nasazením takových zařízení se snažte zjistit co možná nejvíc o úrovni jejich zabezpečení, aby byla data vaší organizace a pacientů v bezpečí,“ nabádá Maria Namestnikova, vedoucí ruského globálního výzkumného a analytického týmu (GReAT) společnosti Kaspersky.

Přečtěte si celou zprávu o zabezpečení v telemedicíně na webu Securelist.com.

Chcete-li získat další informace o celosvětovém zavádění telemedicínských služeb, podívejte se na globální průzkum společnosti Kaspersky.

Kvůli lepšímu zabezpečení dat pacientů doporučují bezpečnostní experti společnosti Kaspersky zvážení následujících kroků.

• Kontrolujte zabezpečení aplikací a zařízení, která chtějí nemocnice nebo zdravotnické organizace používat.

• Pokud je to možné, minimalizujte množství dat přenášených telemedicínskými aplikacemi (např. nenechejte zařízení odesílat údaje o poloze, pokud nejsou zapotřebí).

• Změňte výchozí hesla, a pokud to zařízení nabízí, používejte šifrování.