Az Egyesült Államokban működő egészségügyi intézmények jelentős kiberbiztonsági hiányosságokkal küszködnek – ismerte el Brian Mazanec az egészségügyi minisztérium illetékes tisztviselője a napokban képviselőházi meghallgatásán. Az egyik riasztó tény egy nemrégiben végzett vizsgálaton derült ki – idézte a meghallgatáson elhangzottakat a Washington Post.
Csapnivaló helyzet
A felmérésben részt vevő kórházak majdnem mindegyikében találtak olyan operációs rendszert, amelyet már nem támogat a gyártójuk. Emellett akadtak olyan szoftverek is, amelyek ismert sérülékenységekkel küszködnek. A kongresszusi meghallgatás apropóját az adta, hogy Joe Biden, az USA elnöke 2022 végén aláírta a helyzetet rendezni hivatott törvényt. Ez kötelezi a kórházaknak és a rendelőknek eszközöket szállító cégeket, hogy részletes információt adjanak berendezéseikről a híresen szigorú amerikai élelmiszer- és gyógyszerfelügyeleti hatóságnak (FDA). A jövőben enélkül nem jelenhetnek meg eszközeik a piacon.
Egy neve elhallgatását kérő vezető kormányzati tisztviselő szerint a Biden-adminisztréciónak két célja volt ezzel az intézkedéssel:
- Meg akarja erősíteni az amerikai gazdasági infrastruktúra – köztük az elektromos hálózatok, az olaj- és gázvezetékek iránytó rendszereinek – kiberbiztonságát. Ennek része az egészségügyben használt eszközök védelmének erősítése.
- Emellett rá akarják ébreszteni az intézményeket, hogy be kell vezetniük a kiberbiztonsági rendszereknek legalább a minimumát. A sok zsarolóvírusos támadás a kórházak ellen megmutatta, hogy általában még az alapokkal sincsenek tisztában ezen a téren.
Külön probléma, hogy minden mindennel összeköttetésben áll
Az FDA definíciója szerint minden eszköz, gép vagy implantátum orvosi berendezés, amit arra terveztek, hogy kezelje, megelőzze vagy legalább diagnosztizálja a betegségeket. Ennek megfelelően az elektronikus hőmérőktől a pulzusmérőkön át az MRI berendezésekig a gépek széles skálája tartozik ebbe a körbe.
Külön probléma az egészségügyben, hogy minden eszköz minden továbbival összeköttetésben áll. Jessica Wilkerson, az FDA illetékes vezetője sajátos példával érzékelteti a helyzetet. Azt mondja, hogy ma már legfeljebb a torokvizsgálatok esetén a nyelv leszorítására szolgáló orvosi spatula tekinthető olyan eszköznek, amellyel kapcsolatban nem merülnek fel kiberbiztonsági kockázatok.
Az egymással összeköttetésben lévő, elsősorban a vizsgálati adatokat a vizsgáló berendezésből a kórházi, rendelőintézeti informatikai hálózatra küldő berendezések velejárója, hogy ha az egyik rendszert támadják, akkor az egész rendszer támadják – mondja Michelle Jump, az egészségügyi berendezések kiberbiztonságával foglalkozó MedSec vállalat vezérigazgatója.
Észak-Korea 2017-es WannaCry ramsomware-támadása, ami a brit állami egészségügyi rendszert, az NHS-t vette célba riadójelzésként hatott az ágazatban – emlékeztetett az esetre. A zsarolóvirusos támadások a berendezések minden kapcsolódási pontján átjuthatnak, márpedig ezekből rengeteg van.
Életbe lép a törvény szigora
Az FDA-nak korábban is volt jogosultsága arra, hogy információt kérjen az egészségügyi felhasználásra szánt eszközökről, ám a cégeket semmi sem kötelezte arra, átfogó technológiai leírást adjanak. Az új törvény nyomán azonban kötelezik a cégeket a pontos információszolgáltatásra, a gyógyszerhatóság pedig pluszforrást kapott új feladata ellátásra.
A szabályozás ugyan márciusban érvénybe lépett, ám az FDA októberig türelmi időt adott a gyártóknak, illetve időt hagyott magának a felkészülésre.
- Wilkerson beszámolója szerint a hatóság jelenleg toborozza, illetve kiképzi az eszközök ellenőrzésével foglalkozó új munkatársait.
- Emellett dolgoznak egy programon, ami útmutatót ad majd arról, mik az egészségügyi berendezések leggyengébb pontjai.
- Kidolgoznak egy átfogó iránymutatást arról is, hogy miként kell felkészíteni az egészségügyi berendezéseket teljes gyártási ciklusuk alatt a megfelelő kibervédelem biztosítására. Ezt a munkát szeptember végére akarják befejezni.
- Időt adnak a laikusoknak is, hogy egy társadalmi egyeztetés keretében elmondják a véleményüket a teendőkről.
Gondoskodni akarnak arról is, hogy a gyártók folyamatosan figyelemmel kísérjék termékeiket, miután azokat használatba vették, és ha szükséges, frissítéseket küldjenek kiberbiztonságuk fenntartása érdekében. A cégektől elvárják, hogy részletes leírást adjanak hardvereikről és szoftvereikről, illetve tegyék lehetővé, hogy azokat független szakértők is megvizsgálhassák.
