Microsoft niespełna rok temu opublikował łatkę dla niesławnej luki BlueKeep, o której szczegółowo napisaliśmy tutaj. Chociaż podatność została zdiagnozowana, obszernie opisana i wypuszczona została do niej aktualizacja, to według najnowszych badań nadal istnieje wiele urządzeń podatnych na atak. Ciekawostką jest to, że około 45% tych urządzeń to sprzęt medyczny wyposażony z przestarzałe wersje systemu Windows.
Specjaliści z firmy CyberMDX przedstawili następujące statystyki. 22 procent typowych szpitali z systemem Windows na pokładzie było podatnych na BlueKeep. Jednak liczba samych podłączonych urządzeń medycznych z systemem Windows, które są podatne to aż 45 procent. Urządzenia te to głównie aparaty do zdjęć RTG, ultrasonografy oraz MRI, czyli maszyny do przeprowadzania rezonansu magnetycznego. Wszystkie z tych sprzętów to urządzenia służące do medycznej diagnostyki obrazowej. Zakładamy więc, że system Windows ma za zadanie ułatwić operatorom transfer plików i zapewnić przyjazny interfejs.
Idea jest słuszna, jednak administrowanie takimi urządzeniami powinno odbywać się zgodnie z zaleceniami Microsoft oraz Best Practices, tak jak w przypadku każdego serwera czy desktopa z systemem Windows. Badacze z CyberMDX przeprowadzili wywiady z administratorami w znanych szpitalach i wynika z nich, że sama identyfikacja podatnych urządzeń oraz dystrybucja najnowszych aktualizacji stanowi problem.
Po za tym, administratorzy szpitali twierdzą, że przy każdej większej aktualizacji Microsoftu, aparatura medyczna może przestać działać. A działanie aparatury medycznej, w przypadku szpitali, jest absolutnym priorytetem. Personel medyczny nie rozumie zagrożeń wiążących się z niezałatanym systemem, co dodatkowo potęguje poziom komplikacji. Brakuje procedur testowych i harmonogramów wdrażania nowych poprawek.
Oprócz tego, z wywiadów wynika, że w niektórych szpitalach personel medyczny dokonując zakupu nowego sprzętu nie powiadamia administratorów o tym fakcie i taki system zostaje zapomniany i nieaktualizowany.
Z raportu CyberMDX wynika też, że prawie 11 procent podłączonych do sieci urządzeń medycznych jest narażonych na szereg innych podatności, takich jak na przykład DejaBlue. Dotyczy to systemów Windows 7, Windows 8.1 i Windows 10 (a także Windows Server 2008, 2012, 2016 i wreszcie 2019).
Urządzenia medyczne są ostatnio „na topie”, jeśli chodzi o podatności. Na początku tego roku firma Medtronic opublikowała aktualizacje mające na celu usunięcie wykrytych luk w swojej linii urządzeń medycznych, które zostały pierwotnie ujawnione już w roku 2018. W styczniu natomiast, specjaliści odkryli sześć luk w szeregu urządzeń GE Healthcare, które mogą umożliwić atakującym zdalne wyłączenie urządzenia, zbieranie wrażliwych danych o zdrowiu czy zmianę funkcjonalności urządzenia. W 2019 roku Food and Drug Administration (FDA) wydało ostrzeżenie informujące, że pompy insulinowe Medtronic MiniMed są narażone na potencjalnie zagrażające życiu pacjentów cyberataki.
Takie problemy z bezpieczeństwem prowadzą do prawdziwych ataków. Na przykład w 2019 r. szpitale zgłosiły incydenty bezpieczeństwa, dotyczący błędnej konfiguracji serwera ujawniającej dane 973 024 pacjentów UW Medicine. W przeszłości nie brakowało również ataków ransomware między innymi w Columbia Surgical Specialist z Spokane, Sarrell Dental i Hospital Pavia Hato Rey.
Instalowanie aktualizacji na urządzeniach medycznych z systemem Windows z pewnością jest podstawą w łataniu krytycznych podatności i zapobieganiu atakom. Jednak nie jest to proste, ze względu na niewspieranie przez aparaturę medyczną nowych wersji, a także powszechne ignorowanie cyber-zagrożeń w szpitalach. Dużo łatwiejsze wydają się być inne techniki ograniczania ryzyka takie jak odcięcie urządzenia od sieci, zamknięcie wrażliwych portów lub wdrożenie dodatkowego uwierzytelniania.
I już na sam koniec postawmy sobie jedno pytanie. Podaliśmy dane z rynku amerykańskiego, a jak ochrona aparatury medycznej wygląda to w polskiej służbie zdrowia?
Wybrany post: Krytyczne podatności w sprzęcie medycznym. Między innymi BlueKeep
