Tyto přístroje a zařízení (například: dialyzační přístroje, přístroje na analýzu složení těla či rozvod vody a dalších látek, apod.) kladou vysoké požadavky na spolehlivý provoz, monitorování své činnosti a zdraví pacientů. Jsou vyvíjena s použitím postupů a technologií prověřených časem, ale zároveň nejsou odolná vůči dnešním hrozbám v informačním světě. Jelikož tato zařízení mohou být připojena do informační sítě nemocnice, lze jich zneužít útočníkem k napadení sítě nebo ohrožení zdraví.

Bezpečnost zdravotních přístrojů – jaký je současný stav?

Výrobci zdravotnických přístrojů si jsou obecně vědomi možných nedostatků v oblasti (informační) bezpečnosti svých produktů a věnují značné úsilí k jejich nápravě. To však do jisté míry komplikuje situace s nedostatkem odborníků na trhu práce, kteří by rozuměli specifikům návrhu ve zdravotním sektoru a zároveň byli odborníky na informační bezpečnost. Mezi hlavní problémy se řadí fakt, že implementace informační bezpečnosti není přímo součástí vývojového procesu (tzv. „security-by-design“) a je často přidávána po skončení vývoje nebo až v produkčním prostředí. Dalším souvisejícím problémem je, že tradiční zdravotnická zařízení byla navržena na fyzickou obsluhu a vzdálenou správu v době vývoje nikdo nezvažoval. Vzdálené případy užití (například distribuce aktualizací, vzdálená správa) tak byly následně přidávány často až v rámci produkčního životního cyklu.

Aby byl zařízením umožněn přístup do sítě, je často zapotřebí použít síťové prvky třetích stran, které nemusí být plně kompatibilní se zdravotnickým HW, a to např. z důvodu konfigurace zabezpečené komunikace. Tento příklad ukazuje jednu ze situací, která přináší komplikace pro výrobce a zároveň může představovat možnost přístupu pro útočníka.

Spolupráce s výrobci zdravotnického HW

Autoři tohoto textu mají zkušenosti s bezpečnostním testováním zařízení ze zdravotnického sektoru, a to jak síťových prvků (síťové brány, routery, komunikační moduly třetích stran), tak i specifických zařízení zmíněných v úvodu. V rámci této činnosti dochází k simulování aktivit útočníka s fyzickým nebo vzdáleným přístupem k zařízení. Výstupem je pak zpráva se seznamem identifikovaných bezpečnostních zranitelností, jejich popisem a ohodnocením podle závažnosti. Součástí jsou také technické podklady popisující jak byly zranitelnosti odhaleny a jak je lze zneužít. Tento výstup je následně použit pro tvorbu záplat nebo změn v konfiguraci zařízení.

Během bezpečnostního testování se definují možné cíle škodlivé činnosti. V oblasti síťových prvků se cílí na přístup ke komunikaci – tedy na odposlouchávání nebo manipulaci s komunikačním provozem. Dále tu je snaha proniknout do (vnitřní) sítě s cílem získat jinak nedostupná data, spustit škodlivý kód, nebo ovládnout specifické zařízení, případně celou síť. V podstatě se jedná o ohodnocení činnosti slučitelné s kriminálním chováním útočníka.

Základní charakteristika útočníka a jeho cílů

Pokud se mluví o zdravotních zařízeních vykonávajících zdravotní úkony, mohou se cíle útočníka lišit. Je potřeba si uvědomit, že tato zařízení vyžadují vysokou přesnost měření, a jak bylo zmíněno, je zde kladen vysoký důraz na spolehlivý provoz – tedy je potřeba zachovat striktní integritu programového vybavení a zpracovávaných dat. Z toho důvodu může být jeden z cílů útočníků vyvolání špatného nastavení léčby, ať už přímo anebo nepřímo. Přímo znamená, že útočník provede změny nastavení daného úkonu pro specifického pacienta pomocí získaného přístupu k datům anebo přístroji. Naproti tomu nepřímo znamená, že změny v nastavení úkonu/přístroje provede obsluha na základě pozměněných dat, která jí byla podsunuta útočníkem. Asi není třeba zdůrazňovat, že tato činnost může mít za následek neúčinnost léčby, trvalé zdravotní následky nebo smrt pacienta. Útok může mít i další negativní dopad, a to na důvěryhodnost zdravotní instituce poskytující zdravotní úkon, což následně vede ke snížení ochoty pacientů takový úkon podstupovat. Jelikož se během vývoje léčiv, zdravotních postupů a přístrojů používají data naměřená v praxi, je možné, že jejich nepřesnost v důsledku útoků může proces vývoje negativně ovlivnit.

V neposlední řadě může být útočníkovým úmyslem poškození dobrého jména výrobce/provozovatele vedoucí k vyvolání paniky mezi širokou veřejností, což může vést ke ztrátě důvěry v instituci. Přirozeně zde může existovat více příkladů závisejících na individuální motivaci útočníka.

Hlavní bezpečnostní problémy

Zkušenosti autorů s bezpečnostním testováním konkrétních produktů hovoří, že v důsledku různých skutečností souvisejících s vývojem nejsou dodržována obecně platná pravidla z oblastí bezpečných (informačních) systémů. Konkrétní situace týkající se síťových prvků zahrnují:

• Nedodržování principu nejnižších privilegií, kdy měla zařízení spuštěna všechny své služby s administrátorskými oprávněními, a tedy všechny požadavky (oprávněné i neoprávněné) byly také vykonány s administrátorskými právy.
• Nedostatečná kontrola vstupů – nedodržení tzv. – „Zero Trust“ principu. Kromě tradičních forem úpravy parametrů s cílem vyvolání nedostupnosti služby (DoS / Denial-of-Service) se jedná o útoky typu SQL-Inject nebo v tomto případě přístup pomocí reverse shell.
• Ponechání továrního nastavení a špatná správa přístupů, kdy jsou v nastavení zařízení provedeny pouze minimální změny. Kdokoliv pak může využít (veřejně) dostupné informace a pokusit se o neoprávněný přístup k zařízení. Zároveň autoři často pozorovali, že nastavení zařízení je totožné pro více prvků / lokací, tedy pokud dojde k bezpečnostnímu incidentu na jednom místě, je možné ho aplikovat bez většího úsilí na místě druhém. Zároveň je nutné si uvědomit, že přístupové údaje nemusí zařízení ukládat v bezpečném formátu (příklad: výstup jednosměrné funkce / kryptograficky bezpečný hash) a v tom případě je možné údaje jednoduše získat.

Samotná zařízení, která vykonávají zdravotní úkon, nemusí být řízena operačním systémem, ale aplikačně-specifickým kódem. Jelikož tato zařízení nejsou připojena přímo do veřejné sítě, objevuje se zde jiná množina informačně-bezpečnostních problémů. Například:

• Kontrola integrity programového vybavení / kódu. Zdravotní zařízení často implementují prostředky pro detekci / opravu chyb v komunikaci či základní kontrolu integrity kódu. Tyto mechanismy jsou účinné, pakliže odhalují poruchy provozně-fyzikálního charakteru. Cílené změny útočníka jsou prováděny tak, aby je tradiční kontrola integrity neodhalila.
• Otevřená programovací a informační rozhraní mohou být použita pro extrakci programového kódu, přepsání kódu či jeho krokování (JTAG). Zároveň informační / ladící rozhraní mohou bez jakékoliv předchozí autorizace poskytovat informace o vnitřním stavu zařízení, a tím pádem i informaci pro útočníka, kterou může použít pro plánování či spuštění útoku.
• Nedostatek kryptografických prostředků souvisí s neoprávněným vyčítáním programového kódu či odposloucháváním zpracovávaných dat. Pokud bude programový kód nebo zpracovávaná data šifrovány, je zde samozřejmě menší riziko, že útočník úspěšně data získá (pozn.: týká se převážně operačního systému či technických prostředků/ HW, které šifrování programového kódu umožňují). Zároveň však platí, že vlastnoruční („in-house“) implementace kryptografických algoritmů lze poměrně jednoduše prolomit a doporučuje se tedy použít dedikovaný kryptografický hardware, který je prověřen bezpečnostní komunitou.

Výše zmíněné body neobsahují vyčerpávající výčet všech možných bezpečnostních neduhů, které se mohou objevit, ale popisují jedny z těch nejzávažnějších, které lze poměrně jednoduše opravit. Podle autorů není podstata problému v tom, že by zařízení byla zranitelná, ale že informační bezpečnost není součástí vývojového procesu zdravotních zařízení a bezpečnostní testování je zařazeno až ke konci vývoje, kdy se následně jakákoliv náprava velmi prodražuje.

Bude se situace zlepšovat?

Aby bylo možné popsané problémy adresovat, je potřeba, dle názoru autorů, vyřešit:

• Implementaci kryptografického HW a garanci důvěryhodnosti používaného HW (tzv. „HW root-of-trust“).
• Implementaci SW procesů zaměřených na správné používání kryptografických schémat.
• Revizi vývojových a výrobních procesů a řízení životního cyklu s důrazem na informační bezpečnost.
• Problém připojení zdravotnických zařízení k privátní / veřejné síti, distribuci aktualizací, vzdálenou správu a monitorování.

I když se může jevit stávající úroveň bezpečnosti zdravotních zařízení jako méně ideální, je třeba říci, že klíčoví hráči na trhu vynakládají nemalé úsilí na její zlepšení. Tato činnost není triviální a vyžaduje spolupráci s odborníky napříč obory. V tomto článku byla zmíněna převážně témata technického charakteru, ale mělo by se také dodat, že jakékoliv technické řešení v oblasti nemůže dostatečně fungovat v případě, kdy nejsou nastaveny podpůrné procesy a kdy není dostatečně proškolen personál. Jinými slovy se nesmí zapomínat na lidský faktor a na primární funkci přístrojů, kde informační bezpečnost má za úkol chránit jejich provoz, zároveň však nesmí omezovat funkčnost.

Filip Štěpánek Autor článku působí ve společnosti Accenture na pozici Security Architect.

Jiří Dostál Autor článku působí ve společnosti Accenture na pozici Security Manager.