211service.com
Computerviren sind auf medizinischen Geräten in Krankenhäusern 'wutentbrannt'
Laut den Teilnehmern eines kürzlich durchgeführten Regierungsgremiums sind computergestützte Krankenhausausrüstungen zunehmend anfällig für Malware-Infektionen. Diese Infektionen können Geräte zur Patientenüberwachung und andere Softwaresysteme verstopfen und die Geräte manchmal vorübergehend funktionsunfähig machen.
Obwohl keine Verletzten gemeldet wurden, nimmt das Malware-Problem in Krankenhäusern landesweit deutlich zu, sagt Kevin Fu , ein führender Experte für Medizingerätesicherheit und Informatiker an der University of Michigan und der University of Massachusetts, Amherst, der an der Podiumsdiskussion teilnahm.
Softwaregesteuerte medizinische Geräte sind in den letzten Jahren zunehmend vernetzt worden, und viele Systeme laufen auf Windows-Varianten, ein häufiges Ziel von Hackern anderswo. Die Geräte sind normalerweise mit einem internen Netzwerk verbunden, das selbst mit dem Internet verbunden ist, und sie sind auch anfällig für Infektionen durch Laptops oder andere Geräte, die in Krankenhäuser gebracht werden. Das Problem wird dadurch verschärft, dass Hersteller oft nicht zulassen, dass ihre Geräte modifiziert werden, auch nicht um Sicherheitsmerkmale hinzuzufügen.
In einem typischen Beispiel laufen im Beth Israel Deaconess Medical Center in Boston 664 medizinische Geräte auf älteren Windows-Betriebssystemen, deren Hersteller keine Änderungen vornehmen oder dem Krankenhaus erlauben, Änderungen vorzunehmen – auch nicht, um Antivirensoftware hinzuzufügen – aufgrund von Meinungsverschiedenheiten darüber, ob Änderungen vorgenommen werden könnte mit den behördlichen Überprüfungen der US-amerikanischen Food and Drug Administration in Konflikt geraten, sagt Fu.
Infolgedessen werden diese Computer häufig mit Malware infiziert, und ein oder zwei müssen jede Woche zur Reinigung vom Netz genommen werden, sagt Mark Olson, Chief Information Security Officer bei Beth Israel.
Ich finde das irrsinnig, sagt Fu. Konventionelle Malware ist in Krankenhäusern weit verbreitet, da medizinische Geräte ungepatchte Betriebssysteme verwenden. Krankenhäuser haben wenig Möglichkeiten, wenn ein Hersteller Betriebssystem-Updates oder Sicherheitspatches ablehnt.
Die Besorgnis über mögliche Folgen für Patienten wurde am vergangenen Donnerstag bei einer Sitzung eines Gremiums für Medizinprodukte am National Institute of Standards and Technology beschrieben Beirat für Informationssicherheit und Datenschutz , dem Fu angehört, in Washington, D.C. Bei dem Treffen beschrieb Olson, wie Malware irgendwann die Fötalmonitore verlangsamte, die bei Frauen mit Risikoschwangerschaften auf Intensivstationen eingesetzt wurden.
Es ist nicht ungewöhnlich, dass diese Geräte aus Gründen, die wir nicht vollständig verstehen, bis zu dem Punkt kompromittiert werden, an dem sie die Daten nicht aufzeichnen und verfolgen können, sagte Olson während des Treffens und bezog sich auf Hochrisiko-Schwangerschaftsmonitore. Glücklicherweise haben wir ein Fallback-Modell, da es sich um Hochrisikopatienten handelt. Sie befinden sich in einer IC-Einheit – es gibt jemanden, der physisch da ist, um zuzusehen. Aber wenn sie zu einem anderen Patienten gehen, gibt es ein Zeitfenster, in dem die Dinge in die falsche Richtung gehen.
Die fehlerhaften Computersysteme der Monitore wurden vor einigen Monaten vom Hersteller Philips ausgetauscht; Die neuen Systeme, die auf Windows XP basieren, seien besser geschützt und das Problem sei gelöst, sagte Olson in einem nachfolgenden Interview.
Bei dem Treffen sagte Olson auch, dass ähnliche Probleme eine Vielzahl von Geräten bedrohen, von Compoundern, die intravenöse Medikamente und intravenöse Ernährung herstellen, bis hin zu Bildarchivsystemen, die mit Diagnosegeräten verbunden sind, darunter massive 500.000 US-Dollar Magnetresonanztomographiegeräte.
Olson sagte dem Gremium, dass Infektionen viele Arten von Geräten befallen haben, was Befürchtungen aufkommen lässt, dass eines Tages ein Patient verletzt werden könnte. Wir machen uns auch Sorgen über Situationen, in denen Blutgasanalysatoren, Compounder, Radiologiegeräte, nuklearmedizinische Verabreichungssysteme so weit beeinträchtigt werden könnten, dass sie nicht verwendet werden können, oder sie werden so weit beeinträchtigt, dass ihre Werte ohne Wissen der Software angepasst werden. er sagte. Er erklärte, dass, wenn eine Maschine mit Malware verstopft ist, sie theoretisch einige Messwerte eines Sensors verpassen [und] fälschlicherweise einen Wert melden könnte, was jetzt Schaden anrichten kann.
Die Malware wird oft mit Botnets in Verbindung gebracht, sagte Olson, und sobald sie sich in einem Computer festsetzt, versucht sie, Befehls- und Kontrollserver zu kontaktieren, um Anweisungen zu erhalten. Botnets oder Sammlungen kompromittierter Computer senden häufig Spam, können aber auch Angriffe auf andere Computersysteme durchführen oder andere Aufgaben ausführen, die von den Organisationen zugewiesen werden, die sie kontrollieren (siehe Moore’s Outlaws ).
Im September veröffentlichte das Government Accountability Office eine Prüfbericht warnte, dass computergestützte medizinische Geräte anfällig für Hackerangriffe sein könnten, die eine Sicherheitsbedrohung darstellen könnten, und bat die FDA, das Problem anzugehen. Der GAO-Bericht konzentrierte sich hauptsächlich auf die Bedrohung für zwei Arten von drahtlosen implantierten Geräten: implantierte Defibrillatoren und Insulinpumpen. Die Anfälligkeit dieser Geräte hat in der Presse breite Aufmerksamkeit erregt (siehe Persönliche Sicherheit und Schutz von Pacemakers vor Hackern ), aber es wurden keine tatsächlichen Angriffe auf sie gemeldet.
Fu, der führend bei der Erforschung der im GAO-Bericht beschriebenen Risiken ist, sagte, diese beiden Geräteklassen seien ein Tropfen auf den heißen Stein: Tausende andere netzwerkgebundene Geräte, die für die Patientenversorgung verwendet werden, seien ebenfalls anfällig für Infektionen. Das sind lebensrettende Geräte. Patienten sind mit ihnen überwiegend sicherer als ohne. Aber es zeigen sich Risse, sagte er. (Fu war Technologiebewertungen Innovator des Jahres 2009.)
Malware-Probleme auf Krankenhausgeräten werden den staatlichen oder bundesstaatlichen Aufsichtsbehörden selten gemeldet, sagten Olson und Fu. Dies liegt zum Teil daran, dass Krankenhäuser der Meinung sind, dass sie nur wenige Rückgriffsmöglichkeiten haben. Trotz FDA 2009 herausgegebene Leitlinien für Krankenhäuser und Hersteller – Ermutigung zur Zusammenarbeit und Betonung, dass die Beseitigung von Sicherheitsrisiken nicht immer eine behördliche Überprüfung erfordert – viele Hersteller interpretieren das Kleingedruckte auf andere Weise und bieten keine Updates an, sagt Fu. Und eine solche Meldung ist nicht erforderlich, es sei denn, ein Patient wird geschädigt. Vielleicht ist das ein Fehler unsererseits, dass wir nicht versuchen, die Sichtbarkeit der Bedrohung zu erhöhen, sagte Olson. Aber ich denke, wir alle haben das Gefühl, dass die Bedrohung immer größer wird.
Bei dem Treffen sagte Brian Fitzgerald, ein stellvertretender Direktor der FDA, dass er bei Besuchen von Krankenhäusern im ganzen Land festgestellt habe, dass die Probleme von Beth Israel weit verbreitet seien. Dies sei ein sehr verbreitetes Profil, sagte er. Die FDA überprüft jetzt ihre regulatorische Haltung zu Software, sagte Fitzgerald dem Gremium. Dies werde ein schrittweiser Prozess sein müssen, da es darum geht, die Kultur zu ändern, die Technologie zu ändern, neue Mitarbeiter einzustellen und dies systematisch anzugehen, sagte er.
In einem Interview am Montag sagte Tam Woodrum, Software-Manager beim Gerätehersteller GE Healthcare, dass die Hersteller in einer schwierigen Lage seien und die Probleme sich verschlimmern, da Krankenhäuser immer mehr Vernetzung erwarten. Er fügte hinzu, dass trotz der Richtlinien der FDA von 2009, Vorschriften Systemänderungen erschweren: Um zurückzugehen und das Betriebssystem mit aktualisierter Software für die nächste Version zu aktualisieren, ist dies ein mühsamer regulatorischer Prozess.
Olson sagte, dass GE Healthcare seiner Erfahrung nach zwar Software-Patches und Anleitungen zum Schutz von Geräten anbietet, aber nicht alle Hersteller dieselbe Haltung einnehmen. Er fügte hinzu, dass die am wenigsten geschützten Geräte hinter Firewalls platziert wurden. Aber um dies mit der gesamten softwaregesteuerten Ausrüstung eines Krankenhauses zu erreichen, wären mehr als 200 Firewalls erforderlich – eine undurchführbare Aussicht, sagte er.
John Halamka , CIO von Beth Israel und Professor an der Harvard Medical School, sagte, er habe begonnen, Hersteller um Hilfe bei der Isolierung ihrer Geräte von den Netzwerken zu bitten, nachdem 2009 Probleme aufgetreten waren: Der Conficker-Wurm verursachte Probleme mit einem Philips Geburtshilfearbeitsplatz, einem GE-Radiologiearbeitsplatz und nuklearen medizinische Anwendungen, die aufgrund von [regulatorischen] Einschränkungen nicht gepatcht werden konnten. Er sagte: Niemand wurde verletzt, aber wir mussten die Systeme herunterfahren, reinigen und dann vom Internet/lokalen Netzwerk isolieren.
Er fügte hinzu: Viele CTOs wissen nicht, wie sie ihre eigenen Produkte mit restriktiven Firewalls schützen können. Alle sagten, dass sie an der Verbesserung der Sicherheit arbeiten, aber noch nicht die erforderlichen Verbesserungen vorgenommen haben.
Fu sagt, dass medizinische Geräte aufhören müssen, unsichere, nicht unterstützte Betriebssysteme zu verwenden. Mehr Krankenhäuser und Hersteller müssen die Bedeutung der Sicherheit von Medizinprodukten deutlich machen, sagte er nach dem Treffen. Führungskräfte einiger führender Hersteller beginnen, Engineering-Ressourcen bereitzustellen, um die Sicherheit richtig zu gestalten, aber es gibt Tausende von softwarebasierten medizinischen Geräten.