Pandemia COVID-19 przyczyniła się do szybkiej cyfryzacji sektora ochrony zdrowia. Wobec przeciążenia personelu medycznego oraz dużej liczby osób przebywających na domowej kwarantannie konieczne było szukanie nowych sposobów świadczenia opieki zdrowotnej pacjentom. Z badania przeprowadzonego niedawno przez firmę Kaspersky wynika, że 91% podmiotów świadczących opiekę zdrowotną na całym świecie wdrożyło telemedycynę. Jednak ta błyskawiczna przemiana przyniosła nowe zagrożenia dla bezpieczeństwa, zwłaszcza w odniesieniu do danych pacjentów.

Telemedycyna obejmuje zdalne monitorowanie pacjenta, do czego wykorzystywane są urządzenia noszone na sobie. W kategorii tej mieszczą się gadżety, które w sposób ciągły lub w określonych odstępach czasu śledzą wskaźniki zdrowia pacjenta, takie jak aktywność serca. 

Najpowszechniejszym protokołem przesyłania danych z sensorów oraz urządzeń noszonych na sobie jest MQTT. Ponieważ jest łatwy i wygodny, znajdziemy go nie tylko w urządzeniach noszonych na sobie, ale również w niemal każdym inteligentnym gadżecie. Niestety, podczas korzystania z protokołu MQTT uwierzytelnianie jest całkowicie opcjonalne i rzadko obejmuje szyfrowanie. Z tego powodu MQTT jest niezwykle podatny na ataki typu „man in the middle”, w których atakujący jest w stanie umiejscowić się pomiędzy dwoma stronami komunikacji, co oznacza, że wszelkie dane przesyłane przez internet mogą zostać potencjalnie skradzione. W przypadku urządzeń noszonych na sobie mogą to być wysoce wrażliwe dane medyczne, informacje osobowe, a nawet dotyczące przemieszczania się danej osoby. 

Od 2014 roku w zabezpieczeniach protokołu MQTT wykryto 90 luk, łącznie z krytycznymi, z których wiele do dziś pozostaje niezałatanych. W 2021 roku wykryto 33 nowe luki w zabezpieczeniach, w tym 18 krytycznych – o 10 więcej niż w 2020 roku. Wszystkie te luki stanowią zagrożenie dla danych pacjentów. 

Badacze z firmy Kaspersky wykryli luki nie tylko w protokole MQTT, ale również w jednej z najpopularniejszych platform dla urządzeń noszonych na sobie: Qualcomm Snapdragon Wearable. Od momentu uruchomienia tej platformy znaleziono w niej ponad 400 luk w zabezpieczeniach. Nie wszystkie z nich zostały załatane. 

Warto zauważyć, że większość urządzeń noszonych na sobie śledzi zarówno dane dotyczące zdrowia, jak i lokalizację i przemieszczanie się użytkownika. To otwiera możliwość nie tylko kradzieży danych, ale również stalkingu. 

W wyniku pandemii rynek telemedycyny odnotował gwałtowny wzrost. Pojęcie telemedycyny obejmuje nie tylko kontakt z lekarzem za pośrednictwem oprogramowania audio-wideo, ale cały wachlarz złożonych, szybko ewoluujących technologii i produktów, łącznie ze specjalistycznymi aplikacjami, urządzeniami, wszczepialnymi sensorami oraz bazami danych opartymi na chmurze. Niestety, wiele szpitali nadal korzysta z niesprawdzonych usług osób trzecich w celu przechowywania danych pacjentów, a luki w zabezpieczeniach urządzeń oraz sensorów pozostają niezałatane. Aby zapewnić bezpieczeństwo danych swojej firmy oraz pacjentów, należy przed wdrożeniem takich urządzeń zorientować się w ich poziomie bezpieczeństwa – powiedziała Maria Namiestnikowa z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky.

Pełny raport poświęcony lukom w zabezpieczeniach urządzeń telemedycyny jest dostępny na stronie Kaspersky.

Porady bezpieczeństwa

Eksperci zalecają podmiotom świadczącym opiekę zdrowotną następujące działania w celu zapewnienia bezpieczeństwa danych pacjentów:

• Sprawdź bezpieczeństwo aplikacji lub urządzenia sugerowanego przez szpital lub placówkę medyczną.
• W miarę możliwości zminimalizuj ilość danych przesyłanych za pośrednictwem aplikacji telemedycyny (np. nie zezwalaj urządzeniu na wysyłanie danych lokalizacyjnych, jeśli nie ma takiej potrzeby).
• Zmień hasła z domyślnych i stosuj szyfrowanie, jeśli urządzenie oferuje taką możliwość.