Sjukvårdsutrustning riskerar att hackas

Publicerad: 19 mars, 2019 ultraljudsapparat och andra mätinstrument i ett sjukhusrum

Det finns stora brister i uppdateringarna av vårdapparaternas operativsystem , vilket gör att de lätt kan hackas. Foto: sfam_photo/Shutterstock.com

I vårdsektorn används flera uppkopplade enheter vilket gör att risken för att bli angripen av cyberkriminella ökar. Många vårdapparater använder gamla operativsystem vilket gör de mycket enkla att hacka, det skriver Techworld.

Att hacka vårdapparater som har gamla operativsystem är skrämmande enkelt. Eftersom man även inom vården blir mer och mer uppkopplad ökar också risken att bli angripen av cyberkriminella som stjäl medicinsk data eller planterar program som infekterar enheterna.

Medicinsk data som innehåller personuppgifter är värdefullt på svarta marknaden och har blivit ett lönsamt brott bland cyberkriminella.

Ett stort problem är att vårdutrustningen innehåller gamla system

Det största problemet är att uppkopplade enheter innehåller väldigt gamla system vilka är licensierade med operativsystem som är gamla. Det kan vara program som är 20 år gamla som har operativsystem som till exempel Windows 2000 och XP.

Eftersom dessa system är licensierade och medicinskt certifierade med speciella versioner av mjukvaran så patchas, det vill säga buggfixas, de aldrig. I många fall finns det inte patchar till operativsystemen eftersom de är så pass gamla.

Enligt Chek Points it-säkerhetsexpert Fredrik Johansson skulle han känna sig lite bättre till mods om vårdapparaterna använde sig av Linux istället, vilket tyvärr är något som han sällan ser.

Chek Point har bland annat upptäckt sårbarheter i ultraljudsmaskinerna. Sårbarheterna gäller uppdateringar vilket är ett stort problem för den tekniska sjukvårdsutrustningen. Ny utrustning är testad och certifierad av leverantören när den köps in och håller i flera år. Efter en tid behöver utrustningen certifieras om men eftersom det är väldigt dyrt väljer sjukvården att prioritera bort de nödvändiga uppdateringarna vilket gör att man går miste om it-säkerhet som skulle kunna förhindra cyberhoten.

Det är svårt att hitta en hållbar lösning för att undvika cyberattacker

Check Point har i ett test tagit en ultraljudsmaskin med operativsystemet Windows 2000 till sitt testlabb. Där har man utnyttjat operativsystemets gamla sårbarheter för att ta sig in i systemet. Testet gjordes i USA men samma typer av maskiner används även i Sverige då de köps in från samma leverantörer.

Sjukvården tillhandahåller väldigt mycket känslig data vilket gör att sjukvården är det perfekta målet för cyberattacker och de cyberkriminella känner till bristerna i systemen.

För att komma till bukt med cyberhoten, borde man segmentera nätverken och hålla maskinerna i separata nätverk, förutom att hålla sig med fräscha mjukvaror. Men det är svårt eftersom maskiner från olika leverantörer måste kunna kommunicera med varandra vilket gör att man måste öppna upp systemen och då har man samma problem igen.

Nya maskiner kan vara bättre och en lösning men ändå långt ifrån säkert eftersom de kan vara licensierade med gamla operativsystem och det är något man helst inte vill ändra på för då måste man göra en ny certifiering av maskinen för att få använda den i vården. Det leder till att man fortsätter använda operativsystem som är gamla och opatchade.

Mycket vanligt med cyberattacker mot sjukvården

Idag sker cyberattacker mot sjukvården nästan varje vecka. Sist skedde det en stor attack mot Melbourne Heart Group i Australien där all data blev krypterat av ett gisslanprogram. Även i Singapore har det skett två stora attacker mot vårdinrättningar som skapat stor uppmärksamhet då miljontals journaler stals av cyberkriminella. En av journalerna tillhörde Lee Hsien Loong, Singapores premiärminister, men även andra ministrar fick sina journaler stulna.