Defender la ciberseguridad de los dispositivos médicos



Con un número cada vez mayor de dispositivos médicos conectados a Web que se utilizan para controlar la diabetic issues, la protección contra una variedad de ataques a redes inalámbricas podría ser una cuestión de vida o muerte para los pacientes.

A pesar del uso cada vez mayor de dispositivos médicos conectados a Online, los profesionales de ambos lados de la ecuación, la medicina y la tecnología, todavía están en el proceso de comprender completamente la fuerte superposición entre las dos industrias. Las opiniones actuales en ambos campos aún responsabilizan en gran medida a los fabricantes de dispositivos médicos de la programación segura, mientras que la responsabilidad de proteger la pink de la clínica o el medical center y proteger la información de salud en los sistemas pertenecen a la administración sanitaria.

En individual, el creciente número de dispositivos médicos endocrinos que ingresan al campo de World wide web de las cosas (IoT) controlados por teléfonos móviles significa que los fabricantes de productos, así como el individual y la administración de TI de la atención médica deberán colaborar mejor para proteger esta tecnología contra ataques de crimson. Específicamente, la naturaleza móvil de los dispositivos para el manejo de la diabetes tipo 1 los deja susceptible a diversas amenazas inalámbricas a través de Bluetooth y puerto serie.

Los dispositivos en riesgo de ataques a redes inalámbricas y móviles suelen ser víctimas de la detección. Es decir, un actor de amenazas obtiene acceso a la pink en la que opera el dispositivo de IoT y puede ver inmediatamente la información de activos críticos sobre el dispositivo.

Las implicaciones de privacidad son importantes para la información de salud del paciente almacenada en estos productos. Además, si un atacante obtiene el regulate suficiente para alterar realmente la cantidad de insulina que el dispositivo proporciona al paciente o la capacidad de una bomba de notificar a un paciente de hipoglucemia o hiperglucemia, las consecuencias podrían ser mortales.

Dado el aumento de los ataques cibernéticos dirigidos a la industria médica durante la pandemia, consulté con el endocrinólogo Dr. David Klonoff de la Universidad de California en San Francisco sobre los últimos avances en los riesgos de ciberseguridad relacionados con los dispositivos médicos endocrinos, así como el estado de la política que regula el uso de estos. tecnología. El Dr. Klonoff, profesor clínico de endocrinología y metabolismo en la Facultad de Medicina de la UCSF, también fundó la Sociedad de Tecnología de la Diabetes para typical formalmente el uso seguro de la tecnología médica endocrina a nivel federal.

Durante nuestra conversación, me dijo que considera que el acceso de los pacientes a estos dispositivos mientras mantiene la seguridad inalámbrica es un desafío crítico para los dispositivos de IoT utilizados para manejo de la diabetes.

Vulnerabilidades de dispositivos
Aunque no se han reportado hackeos de dispositivos para la diabetic issues, al Dr. Klonoff le preocupa la capacidad y el riesgo de que los atacantes descubran SSID e información de activos comparable sobre dichos dispositivos en foundation a los datos disponibles de versiones anteriores del producto. De acuerdo con las pruebas de vulnerabilidad ya realizadas por la Sociedad de Tecnología de la Diabetic issues para dispositivos médicos endocrinos, los posibles vectores de penetración primarios incluyen la detección e interceptación de RFID a través del rastreo del atacante.

Con respecto a la preocupación de los pacientes sobre la seguridad y el uso de los dispositivos para la diabetes, muchos usuarios han mostrado inquietud por el posible bloqueo de sus dispositivos cuando el dispositivo en sí o la pink de IoT en la que opera el dispositivo detecta una intrusión sospechada, dice el Dr. Klonoff. Para agilizar mejor los procedimientos relacionados con la gestión de la seguridad de los dispositivos endocrinos, el Dr. Klonoff ha colaborado con organizaciones como la Administración de Alimentos y Medicamentos de EE. UU., El IEEE y el Departamento de Seguridad Nacional de EE. UU. Para diseñar regulaciones que detallen los riesgos de ciberseguridad asociados con la tecnología médica relacionada con la diabetic issues. .

Pero aún así, muchos expertos tanto en el lado médico como en el tecnológico han dudado en reconocer la superposición entre estas industrias. En el sector sanitario, muchos profesionales todavía están aprendiendo a migrar sistemas de datos a la nube, dependiendo en gran medida del own de TI de la clínica o el medical center para gestionar todos los problemas relacionados con la tecnología.

Por otro lado, aunque la industria de la salud es el objetivo de la mayor cantidad de ciberataques, la ciberseguridad y otras organizaciones orientadas a la ingeniería, como el IEEE, han tardado en desarrollar políticas orientadas a la tecnología médica.

Ya sea para mitigar los riesgos para los dispositivos médicos dentro de la pink inalámbrica de un clinic o la purple doméstica de un paciente, es esencial ser transparente con respecto a las amenazas que representan para estos pacientes y los sistemas hospitalarios. Los pacientes tienen derecho a mantener la privacidad de su información médica y deben poder depender de la disponibilidad de su dispositivo médico. Los pacientes deben recibir una formación sólida sobre cómo utilizar sus dispositivos y debe haber un intercambio de información a gran escala (es decir, entre los pacientes y sus proveedores de atención médica) con respecto a las redes inalámbricas en las que funciona su dispositivo.

Un atacante que utilice una herramienta de acceso inalámbrico como Kismet para oler y poner en peligro una bomba de insulina o un keep track of cardíaco podría resultar mortal. Por lo tanto, los ingenieros y fabricantes deben colaborar para implementar estos dispositivos con sistemas de detección de intrusos individualizados.

En un nivel realista, para un dispositivo médico de tamaño modesto, como un keep an eye on continuo de glucosa para la diabetic issues, la prevención de intrusiones podría comenzar con un mecanismo de alerta very simple para notificar al paciente de cualquier señal externa que intente penetrar un bloqueador de RFID. Una vez informado, el paciente puede optar por ponerse en contacto con el equipo de seguridad del fabricante para obtener más recomendaciones.

Sarah Katz es analista sénior de seguridad cibernética en la NASA, autora de ficción y fundadora de Cysec Well being, una organización sin fines de lucro de ciberseguridad centrada en proteger los datos de salud de las mujeres. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary