Многие тонометры, кардиомониторы и прочие использующие сетевое подключение для удаленного мониторинга пациентов медицинские приборы открыты для атак злоумышленников. Об этом свидетельствует проведенное “Лабораторией Касперского” исследование.
По словам специалистов, ключевой проблемой перечисленных устройств является уязвимый протокол MQTT (Message Queuing Telemetry Transport), предназначенный для работы с телеметрией от различных датчиков и сенсоров. Только в 2021 г. в нем было обнаружено 33 бреши, 18 из которых носят критический характер. Это на 10 опасных уязвимостей больше, чем годом ранее, и для многих из них по-прежнему нет патчей. Всего с 2014 г. в MQTT было выявлено около сотни недоработок в плане обеспечения защиты данных, и этот показатель вызывает большую озабоченность у экспертов по информационной безопасности.
Протокол MQTT используется не только в медицинских, но и почти во всех умных гаджетах. При этом аутентификация в нем не обязательна и редко включает шифрование, поэтому он подвержен атакам типа “человек посередине” и перехвату трафика злоумышленниками. Таким образом могут быть перехвачены любые передаваемые устройствами данные, в том числе строго конфиденциальные медицинские, личные и даже сведения о передвижениях человека. По мнению аналитиков “Лаборатории Касперского”, эта проблема является крайне актуальной особенно в свете стремительного развития телемедицины.
“Пандемия привела к резкому росту рынка услуг телемедицины. Речь идет не только о возможности получить консультацию врача по видеосвязи, а о целом спектре сложных, быстро развивающихся технологий и продуктов, включая специализированные приложения, носимые устройства и облачные базы данных. Однако многие больницы все еще используют для хранения данных пациентов недостаточно хорошо протестированные сервисы. Кроме того, остаются незакрытыми многие уязвимости в медицинских носимых устройствах и датчиках. Мы напоминаем, что, прежде чем начинать применение таких гаджетов, стоит узнать как можно больше об их уровне безопасности, чтобы не допустить кражи или утечки данных компании и пациентов”, – отмечают эксперты “Лаборатории Касперского”. (3dnews/Машиностроение Украины и мира)