211service.com
Datorvirus är 'utbredande' på medicinsk utrustning på sjukhus
Datoriserad sjukhusutrustning är allt mer sårbar för skadlig programvara, enligt deltagare i en nyligen genomförd regeringspanel. Dessa infektioner kan täppa till patientövervakningsutrustning och andra programvarusystem, vilket ibland gör enheterna tillfälligt obrukbara.
Även om inga skador har rapporterats, ökar problemet med skadlig programvara på sjukhus klart över hela landet, säger man Kevin Fu , en ledande expert på medicinsk utrustningssäkerhet och en datavetare vid University of Michigan och University of Massachusetts, Amherst, som deltog i paneldiskussionen.
Mjukvarustyrd medicinsk utrustning har blivit allt mer sammankopplad de senaste åren, och många system körs på varianter av Windows, ett vanligt mål för hackare på andra håll. Enheterna är vanligtvis anslutna till ett internt nätverk som i sig är anslutet till Internet, och de är också sårbara för infektioner från bärbara datorer eller andra enheter som tas in på sjukhus. Problemet förvärras av det faktum att tillverkare ofta inte tillåter att deras utrustning modifieras, inte ens för att lägga till säkerhetsfunktioner.
I ett typiskt exempel, vid Beth Israel Deaconess Medical Center i Boston, körs 664 delar av medicinsk utrustning på äldre Windows-operativsystem som tillverkarna inte kommer att modifiera eller tillåta sjukhuset att ändra – inte ens för att lägga till antivirusprogram – på grund av oenighet om huruvida ändringar skulle kunna stöta sig med regulatoriska granskningar av amerikanska Food and Drug Administration, säger Fu.
Som ett resultat är dessa datorer ofta infekterade med skadlig programvara, och en eller två måste tas offline varje vecka för rengöring, säger Mark Olson, informationssäkerhetschef på Beth Israel.
Jag tycker att det här är häpnadsväckande, säger Fu. Konventionell skadlig programvara frodas på sjukhus på grund av medicinsk utrustning som använder oparpade operativsystem. Det finns liten utväg för sjukhus när en tillverkare vägrar att tillåta OS-uppdateringar eller säkerhetskorrigeringar.
Oron över möjliga konsekvenser för patienterna beskrevs i torsdags vid ett möte med en panel för medicinsk utrustning vid National Institute of Standards and Technology Advisory Board för informationssäkerhet och integritet , där Fu är medlem, i Washington, D.C. Vid mötet beskrev Olson hur skadlig programvara vid ett tillfälle saktade ner fostermonitorer som användes på kvinnor med högriskgraviditeter som behandlades på intensivvårdsavdelningar.
Det är inte ovanligt att dessa enheter, av skäl som vi inte helt förstår, blir komprometterade till den grad att de inte kan spela in och spåra data, sa Olson under mötet, med hänvisning till högrisk graviditetsmonitorer. Lyckligtvis har vi en reservmodell eftersom de är högriskpatienter. De är i en IC-enhet - det finns någon fysiskt där att titta på. Men om de kliver bort till en annan patient, finns det ett tidsfönster för saker att gå åt fel håll.
Datorsystemen med fel på bildskärmarna byttes ut för flera månader sedan av tillverkaren Philips; de nya systemen, baserade på Windows XP, har bättre skydd och problemet är löst, sa Olson i en efterföljande intervju.
Vid mötet sa Olson också att liknande problem hotade ett brett utbud av enheter, allt från blandare, som förbereder intravenösa läkemedel och intravenös näring, till bildarkiveringssystem associerade med diagnostisk utrustning, inklusive massiva 500 000 $ magnetiska resonansavbildningsenheter.
Olson berättade för panelen att infektioner har drabbat många typer av utrustning, vilket har väckt farhågor om att en patient en dag kan skadas. Vi oroar oss också för situationer där blodgasanalysatorer, blandningsapparater, röntgenutrustning, nukleärmedicinska leveranssystem kan äventyras där de inte kan användas, eller de blir äventyrade till den punkt där deras värden justeras utan att programvaran vet, han sa. Han förklarade att när en maskin blir igensatt av skadlig programvara, kan den i teorin missa ett par avläsningar från en sensor [och] felaktigt rapportera ett värde, som nu kan orsaka skada.
Ofta är skadlig programvara associerad med botnät, sa Olson, och när den väl sitter i en dator försöker den kontakta kommando-och-kontrollservrar för instruktioner. Botnät, eller samlingar av komprometterade datorer, skickar vanligen skräppost men kan också attackera andra datorsystem eller utföra andra uppgifter som tilldelats av organisationerna som kontrollerar dem (se Moores Outlaws).
I september utfärdade regeringens redovisningsbyrå ett Rapportera varning för att datoriserade medicinska apparater kan vara sårbara för hackning, utgöra ett säkerhetshot, och bad FDA att ta itu med problemet. GAO-rapporten fokuserade mest på hotet mot två typer av trådlösa implanterade enheter: implanterade defibrillatorer och insulinpumpar. Sårbarheten hos dessa enheter har fått stor uppmärksamhet i pressen (se Personlig säkerhet och hålla pacemakers säkra från hackare ), men inga faktiska attacker mot dem har rapporterats.
Fu, som är ledande inom forskning om riskerna som beskrivs i GAO-rapporten, sa att dessa två klasser av enheter är en droppe i hinken: tusentals andra nätverksanslutna enheter som används för patientvård är också sårbara för infektion. Dessa är livräddande enheter. Patienter är överväldigande säkrare med dem än utan dem. Men sprickor visar sig, sa han. (Fu var Teknikgranskning Årets innovatör 2009.)
Problem med skadlig programvara på sjukhusenheter rapporteras sällan till statliga eller federala tillsynsmyndigheter, sa både Olson och Fu. Detta beror delvis på att sjukhusen tror att de har liten möjlighet. Trots FDA vägledning utfärdad 2009 till sjukhus och tillverkare – att uppmuntra dem att arbeta tillsammans och betona att eliminering av säkerhetsrisker inte alltid kräver regulatorisk granskning – många tillverkare tolkar det finstilta på andra sätt och erbjuder inte uppdateringar, säger Fu. Och sådan rapportering krävs inte om inte en patient kommer till skada. Kanske är det ett misslyckande från vår sida, att vi inte försöker öka synligheten för hotet, sa Olson. Men jag tror att vi alla känner att hotet blir högre och högre.
När han talade vid mötet sa Brian Fitzgerald, en biträdande direktör för FDA, att han när han besökte sjukhus runt om i landet har funnit att Beth Israels problem delas brett. Det här är en väldigt vanlig profil, sa han. FDA ser nu över sin reglerande hållning om mjukvara, sa Fitzgerald till panelen. Det här måste vara en gradvis process, eftersom det handlar om att förändra kulturen, förändra tekniken, ta in ny personal och göra ett systematiskt förhållningssätt till detta, sa han.
I en intervju på måndag sa Tam Woodrum, en mjukvaruchef på enhetstillverkaren GE Healthcare, att tillverkarna är i en tuff plats och att problemen förstärks när sjukhusen förväntar sig mer och mer sammankoppling. Han tillade att trots FDA:s riktlinjer från 2009 gör förordningar systemändringar svåra att genomföra: För att kunna gå tillbaka och uppdatera operativsystemet, med uppdaterad programvara som ska köras på nästa version, är det en betungande regulatorisk process.
Olson sa att GE Healthcare, enligt hans erfarenhet, erbjuder programuppdateringar och vägledning för att hålla enheter säkra, men att inte alla tillverkare har samma hållning. Han tillade att de minst skyddade enheterna har placerats bakom brandväggar. Men för att göra det med all ett sjukhuss mjukvarukontrollerade utrustning skulle det krävas mer än 200 brandväggar – en ogenomförbar framtid, sa han.
John Halamka , Beth Israels CIO och en professor vid Harvard Medical School, sa att han började be tillverkare om hjälp med att isolera deras enheter från nätverken efter att problem uppstod 2009: Conficker-masken orsakade problem med en Philips obstetrisk vård-arbetsstation, en GE-radiologiarbetsstation och kärnkraft. medicinska applikationer som inte kunde lappas på grund av [regulatoriska] begränsningar. Han sa: Ingen kom till skada, men vi var tvungna att stänga av systemen, rengöra dem och sedan isolera dem från Internet/lokala nätverk.
Han tillade: Många CTO:er är inte medvetna om hur man skyddar sina egna produkter med restriktiva brandväggar. Alla sa att de arbetar för att förbättra säkerheten men har ännu inte tagit fram de nödvändiga förbättringarna.
Fu säger att medicinsk utrustning måste sluta använda osäkra operativsystem som inte stöds. Fler sjukhus och tillverkare måste tala om vikten av säkerhet för medicinsk utrustning, sa han efter mötet. Chefer hos några ledande tillverkare börjar satsa på tekniska resurser för att få rätt säkerhet, men det finns tusentals mjukvarubaserade medicinska apparater där ute.