Инфобез. Якутия

Cynerio: Уязвимости в медицинских устройствах


ИБ-компании Cynerio, специализирующейся на безопасности медицинского оборудования, опубликовала отчёт "The State of Healthcare. IoT Device Security 2022", в котором говорится о том, что более половины подключенных к интернету устройств, использующихся в больницах, подвержены уязвимостям, которые ставят под угрозу безопасность пациентов, конфиденциальность данных и возможность использования оборудования.

Исследователи изучили данные, полученные с 10 млн устройств в 300 больницах и медучреждениях по всему миру с помощью коннекторов, прикрепленных к устройствам в рамках платформы безопасности Cynerio.

Самыми популярными медицинскими устройствами, подключенными к интернету, являются инфузионные помпы. Эти устройства могут удаленно подключаться к электронным медицинским записям, набирать верные дозы препаратов и вводить их пациентам. Они чаще всего содержат уязвимости, которые могу эксплуатироваться хакерами. Эксперты беспокоятся о том, что, взломав устройства, непосредственно подключаемые к пациентам, хакеры могут причинить вред их здоровью. Злоумышленники теоретически могут получить доступ к этим системам и изменить дозировку лекарств.

Другие популярные подключенные к интернету медицинские устройства – это кардиомониторы и аппараты для УЗИ-диагностики. Оба типа устройств входят в первую десятку по количеству уязвимостей.


Организации здравоохранения в настоящее время являются основной мишенью для хакеров, и хотя прямой атаки на подключенные к интернету медицинские устройства, похоже, еще не произошло, эксперты считают, что это возможно. Более активная угроза исходит от групп, которые проникают в системы больницы через уязвимое устройство и блокируют ее сети, оставляя врачей и медсестер без доступа к медицинским записям, устройствам и другим цифровым инструментам, и требуют выкуп за их разблокировку.


В отчете Cynerio отмечается, что большинство уязвимостей в медицинских устройствах легко исправить: они связаны со слабыми паролями или паролями по умолчанию или уведомлением об отзыве, на которое организация не отреагировала. У многих организаций здравоохранения просто нет ресурсов или персонала для поддержания систем в актуальном состоянии, и они могут не знать, есть ли обновление или предупреждение, касающееся одного из их устройств.


Источник