Универзитет Св.

Кирил и Методиј
Факултет за електротехника и информациски технологии, Скопје

Семинарска работа по предметот

Безбедност и заштита на компјутерски системи

на тема

Безбедност на IoT податоци во здравство

Ментор: Изработил:

Скопје, мај 2021

СОДРЖИНА
Вовед .. ....................................................................................................... 1

1. Улогата на IoT во здравството……….................................................... 3

2. DDoS со IoT уреди ...................................................………………......... 6

3. Обезбедување подобра грижа за пациентот...............……….………... 7

4. Интеграција на медицински помагала .................................................. 9

5. Загриженост за безбедноста и приватноста..........…………………….. 13

6. Покриени потадоци според HIPAA ………………………………………. 19

7. Како да се заштити IoT во здравството ............................................... 21

ЗАКЛУЧОК .................................................................................................. 22

Користена литература................................................................................. 23
Вовед

Интернетот на нештата (IoT) е вмрежување на физички уреди кои се и

поврзани и паметни. Овие уреди се вградени во софтвер, сензори, и мрежно
поврзување што им овозможува да собираат и разменуваат податоци. IoT може
да се контролира од далечина преку постојната мрежна инфраструктура, ова
создава можност за подиректна интеграција на уредите во компјутерски базирани
системи што резултира во подобрени ефикасност и точност. Ова пак обезбедува
економска корист за оние кои го користат. IoT уред што користи сензори и
активатори, технологијата станува дел од сајбер-физичката системи. Овие типови
на технологии вклучуваат паметни мрежи, паметни домови каде се користи за
контрола и автоматско осветлување, греење и ладење со паметно термостат како
термостат Гнездо. Апарати такви како што можат да користат подлошки, фен,
печки или ладилници Wi-Fi за далечинско следење. Постојат автомобили со
вградени сензори, теренски уреди за работа што можат помагајте на
пожарникарите во операциите за пребарување и спасување. Секоја од овие
работи е единствено препознатлива преку вграден компјутерски систем, но тие
исто така можат лесно да соработуваат во рамките на постојната Интернет
инфраструктура. Овие уреди собираат корисни податоци со помош на разни
постојни технологии, а потоа автономно преместете ги податоците помеѓу другите
уреди. Значителен дел од овие ќе бидат медицински помагала, од пејсмејкери до
инфузиони пумпи, мобилни медицински работни станици, дома монитори и лични
уреди за фитнес. Кога станува збор за здравството, „Нештата“ во Интернет на
нештата, може да се однесува на широк спектар на уреди како што се импланти за
следење на срцето, инфузиони пумпи кои се користат во болниците за да
обезбедат претходно програмирано ниво на течности во пациент. Има и други
милиони уреди како пејсмејкери, инсулински пумпи и кохлеар импланти.

Некои од овие уреди испраќаат само информации преку безжична врска

како производител на темпо, додека други можат да испраќаат и примаат
информации. Исто така има уредите знаат како носат, како што е часовникот на

1
Apple или Fitbit, кој може да ги следи виталните информации, вклучително и
информации за вашата дневна активност, вклучувајќи го и бројот на преземени
чекори или потрошени калории. Во одреден момент ова податоците се
синхронизираат со часовникот или друг уред за податоци анализа и да се води
историја. Зголемување на IP-поврзани сензори во болница опрема и кај пациенти
ни дава можност да го елиминираме непотребниот отпад и да спасиме животи. IoT
му дава можност на здравствениот сектор да ја редефинира начинот на кој се
прават работите, но се случува ова ќе вклучува огромна тешкотија. Врзи заедно
сите различни системи во здравствената средина ќе биде предизвик. Покрај тоа,
секогаш ќе има безбедносни проблеми за тоа како се обезбедени овие уреди.
Колку е лесно напаѓачот да преземе контрола над овие уреди?

Во здравството, Интернетот на нештата (IoT) има многу придобивки,

вклучително и можноста за поблиско следење на пациентите и користење
податоци за анализа. Кога станува збор за IoT за интеграција на медицински
помагала, фокусот е насочен кон крајниот потрошувач, како што се мерачи на
гликоза, температура на крвниот притисок и други уреди дизајнирани да снимаат
податоци за виталните знаци на пациентот. Ова им овозможува на давателите на
здравствени услуги автоматски да собираат информации и да применуваат
правила за поддршка на одлуки за да се овозможи претходна интервенција во
процесот на лекување. За жал, медицинските компании честопати не ги земаат
предвид безбедносните ризици од поврзувањето на овие уреди на Интернет.
Постои можност експлоатација на нула-ден во медицински уред да се искористи
за да се повреди, па дури и да се убие некого, без да се открие. Зголемувањето на
медицинските уреди што може да се пробијат ја принуди ФДА да издаде
официјално упатство за тоа како производителите на медицински уреди треба да
се справат со извештаите за ранливоста на сајбер. Овој труд има за цел да ја
истражи улогата на IoT во здравството, ранливоста, нападите и безбедносните
прашања и решенија.

2
1. Улогата на IoT во здравството

Здравството се дефинира како чин на преземање превентивни или неопходни

процедури за подобрување на благосостојбата на лицето. Ова може да се
направи со операција, администрација на лекови или други измени во начинот на
живот на една личност. Овие услуги обично се нудат преку здравствен систем
составен од болници и лекари. Постојат неколку области во здравството што ИОТ
игра важна улога.

 Грижа за стари лица, што вклучува следење на престојувалиште / пациенти

во старечки дом и болница

 Собирање на податоци, што е најзрелата област во здравството, вклучува

многу опрема што ја гледаме покрај кревет во болници како мониторот ЕКГ,
ова е област што продолжува да се шири со нови иновации што се
случуваат во светот на IoT

 Локацијата во реално време се користи за следење на луѓе и средства по

пониска цена

Како што се зголемува присуството на IoT во здравствениот сектор, тоа ќе им

користи и на пациентите и на давателите на здравствени услуги. Третмани кои
приемите на атиенти може да се подобрат со далечинско следење и
комуникација, области каде IoT може да игра голема улога.

Друга употреба на IoT за здравствена заштита се мобилни медицински

апликации или апарати за носење што им овозможуваат на пациентите да ги
фаќаат своите здравствени податоци. Голем дел од ова може да се припише на
револуцијата во податоците што нè овластува да живееме поздрави животи
користејќи поврзани уреди како што се таблети, апарати за носење и рачни уреди.
Анализата од податоците собрани преку електронска медицинска евиденција,
дијагностичките информации собрани преку опрема за сликање и рачни лични

3
уреди ќе ги зајакнат овластувањата за донесување одлуки. Ова ќе дозволете им
на пациентите да преземат поактивна улога во управувањето со нивното лично
здравје. Во иднина, оваа персонализирана анализа на нашето здравје, богата со
податоци, ќе стане стандард. На пациентите ќе им бидат дадени по мерка
стратегии за борба против болеста.

Од генерираните податоци, ќе научиме како да ја подобриме нашата

благосостојба и ќе бидеме мотивирани да преземеме контрола врз нашите
животи. Постои потполно нова индустрија околу софтверот за поддршка на
клиничките одлуки, растечки сектор поврзан со IoT кој ја зголемува улогата на
поврзаните уреди со тоа што нивната употреба се поврзува подиректно на
клиничките одлуки.

Администрацијата за храна и лекови (ФДА) веќе заврши доста работа во

воспоставување на универзални идентификатори на уреди за медицински
помагала во апликациите на ИОТ. Треба да има обележување на метаподатоците
генерирани од поврзани уреди што би овозможиле податоци внимателно да се
следи додека патува помеѓу уредите или помеѓу уредите и мрежите. Лекарите не
треба да се прашуваат за податоците. Тие ќе можат да им веруваат на овие
податоци и ќе знаат дека тие навистина се од нивниот пациент.

Здравствениот сектор останува еден од најбрзите за прифаќање на Интернет

на нештата. Интегрирањето на одликите на IoT во медицински помагала го
подобрува квалитетот и ефективноста на дадената услуга, ова е многу вредно за
пациенти кои имаат хронични состојби, постари лица, и оние кои бараат постојана
грижа. Според студијата спроведена од глобалниот институт Мекинзи, трошењето
на здравствените решенија за IoT ќе достигне 1 трилион американски долари до
2025 година (види слика 1).

Можно е ова да ја постави сцената за високо персонализирани, достапни и

навремени здравствени услуги за секого.

4
 Слика 1. Економско влијание на IoT уредите до 2025 година

Болниците го прифаќаат Интернетот на нештата многу години. Многу е

вообичаено да се видат IoT уреди во простории за пациенти, електронски
медицински досиеја и други ресурси базирани на облак. Во повеќето здравствени
организации, вмрежувањето на нови уреди е постојана иницијатива. Сепак,
најголемиот предизвик е интероперабилноста на уредите што може да доведе до
изложување на мрежа на нови ранливи страни на безбедноста и дополнителен
ризик.

Уредите BYOD се потенцијално прашање, без соодветно следење тие

многу лесно можат да станат дел од мрежата и да претставуваат огромна цел за
напад. Бидејќи е тешко да се контролира квалитетот на оперативните системи или
кодот што работи на овие уреди, организациите мора да ја следат употребата на
овие уреди, да се најавуваат кога пристапуваат или вадат податоци. Како што
здравствените системи стануваат меѓусебно поврзани, особено што многубројни
безжични медицински помагала започнуваат да се поврзуваат со веб-ИТ-системи,
тие стануваат сè поранливи Оваа ранливост не е само од малициозни хакери, туку
и од други закани, како што се малициозен софтвер и компјутерски вирус.

5
2. DDoS со IoT уреди

Дистрибуираното одбивање на услугата (DDoS), е напад кога повеќе

компромитирани системи се користат за насочување на еден систем
предизвикувајќи одбивање на услугата и предизвикувајќи тој систем да се сруши.
Постојат многу различни методи кои се користат за започнување на овие напади,
еден начин е да се користат малициозни мрежни мрежи. Неодамна беше објавен
изворниот код за малициозен софтвер кој може да гради ботнети од IoT
производи. Оттогаш, вкупниот број на IoT уреди заразени од малициозен софтвер
Mirai скокна на 493,000 од 213,000, според комуникациите на Интернет провајдер
Ниво 3 (6). Сега замислете сценарио со милион компромитирани IoT уреди и
колатерална штета што може да предизвика, особено ако некои од овие IoT се
медицински помагала. Додека некои поврзани медицински помагала, како
пејсмејкери, можат само испраќаат информации, други, можат да испраќаат и
примаат податоци. Ова ги остава некои пациенти ранливи на хакер кој се обидува
да им наштети или го користи нивниот уред како портал за пристап до медицински
податоци.

Во јуни 2015 година, Били Риос, истражувач за безбедност кој му помага на

Одделот за домашна безбедност, докажа дека од далечина може да
администрира смртоносна доза на лекови преку инсулинска пумпа на пациентот.
Тој и неговиот колега беа во можност да ги дознаат лозинките откако се здобија со
вграден софтвер и технички прирачници од неколкумина продавачи. Тој исто така
можеше да пробие однапред програмирани лозинки од стотици уреди.

Администрацијата за храна и лекови, која ја регулира продажбата на

медицински помагала, издава формални упатства за ова прашање. Тие објавија
нови препораки за тоа како производителите на медицински помагала треба да ги
земат предвид нападите на сајбер-безбедноста.

6
3. Обезбедување на подобра грижа за пациентот

Во споредба со другите развиени економии, САД трошат многу повеќе на

здравствена заштита секоја година. Владините проекции предвидуваат дека
сегашните трошења од 18% од вкупниот БДП само ќе продолжат да растат во
наредните години. На САД им е очајно потребна да ги намалат трошоците за
здравствена заштита, а аналитичарите сметаат дека Интернетот на нештата (IoT)
е нешто што ќе помогне во големо намалување на трошоците во иднина.
Аналитичарите во Голдман Сакс предвидува дека дигиталното здравство ќе
направи револуција во индустријата, и со зголемување на пристапот до
дијагностичка, третман и превентивна нега, и со драматично намалување на
трошоците.

Водењето евиденција за пациентите со висок ризик е голем предизвик во

намалувањето на трошоците за здравствена заштита. Со управувањето со
хронични болести отпаѓа околу 1/3 од сите трошоци за здравствена заштита во
САД, а најголемиот дел од тие трошоци е поврзано со срцеви заболувања, астма
и дијабетес. Далечинското следење ќе им овозможи на давателите на
здравствени услуги често да водат сметка за пациентите со висок ризик.
Аналитичарите гледаат можност за заштеда од 305 милијарди американски
долари од дигиталното здравство, дури 200 милијарди долари од тоа може да
дојде од управување со хронично заболување, главно со елиминирање на
непотребните и расипнички трошоци.

IoT во здравствената заштита може да биде познат и како IoMT (Интернет

на медицински работи), во овој случај IoMT е колекција на медицински помагала и
соодветни апликации кои се поврзуваат со здравствените ИТ системи преку
компјутерска мрежа (Слика 2). IoMT е во основа медицинска опрема со Wi-Fi
конекција што комуницира едни со други Овие уреди можат да се поврзат со
складирање во облак обезбедено од Amazon AWS за да складираат заробени
податоци што може да се анализираат подоцна.

7
 Слика 2. Потенцијалното влијание на IoT во здравството

Далечинско следење на пациентите (RPM) е една област каде се користи

IoT во здравствената заштита. RPM, кој понекогаш се нарекува теле-здравство е
вид на здравствена заштита што им овозможува на пациентите да користат
мобилен уред за да извршат рутински тест и потоа да ги испраќаат податоците
назад до нивниот давател на здравствена заштита во реално време. Оваа
технологија вклучува уреди за следење како мерач на глукоза што ги користи
пациент кој е дијабетичар или крвен притисок и монитор за срце за пациенти со
срцева нега. Оваа информација може да се достави до канцеларијата на лекар со
софтверски апликации што можат да се инсталираат на паметен телефон или
таблет. Оваа технологија ќе ги намали приемите во болница или посетите на
лекар. Овој вид третман ги поштедува пациентите од патување во болница или
лекарска ординација секогаш кога имаат медицинско прашање или промена на
нивната состојба. Исто така, се намалуваат трошоците за задржување на пациент
во болничко опкружување, што може да биде многу скапо. Студијата на
семејството Кајзер покажа дека просечната дневна цена за еден пациент е над
1.700 долари во 2013 година.

Системот за далечинско следење на BodyGuardian е систем што ја

обезбедува оваа функционалност, тој им помага на лекарите да ја рафинираат
дадената грижа додека им овозможува на пациентите да го живеат животот без
ограничувања. Системот се однесува на безбедносните барања на неколку
начини, прво ги одделува информациите за идентификација на пациентот и

8
податоците за набудување. Потоа, системот ги криптира податоците за уредот, за
време на преносот и складирањето. Оваа технологија се користи доста често кај
двете групи за кои е потребно високо ниво на медицинска потреба, оние кои се
хронично болни или постари лица. Медицинските провајдери можат внимателно
да ги следат состојбите на нивниот пациент и да интервенираат доколку е
потребно. Националниот план за широкопојасен интернет на FCC споменува дека
технологијата за далечинско следење на пациентот заедно со електронската
здравствена книга може да заштеди здравствената индустрија 700 милијарди
долари во текот на 15-20 години. Мобилен здравствен (mHealth) Уред што може
да го носат пациенти познат и како mHealth уреди може да испраќа информации
до нивните старатели. Инфузиските пумпи што се поврзуваат со контролната
табла за аналитика и креветите на пациентите во болницата, имаат бројни
сензори што го мерат витални знаци на пациентот. Со поврзување, грижата може
да се обезбеди насекаде, вклучително и дома, а со тоа да се намалат трошоците
додека се подобрува искуството на пациентот.

Аналитичарите сметаат дека пазарот на технологија mHealth ќе порасне на

годишно ниво од скоро 55% и ќе достигне 21,5 милијарди долари до 2018 година.

4. Интеграција на медицински помагала

Секој уред, инструмент, апарат или апарат што е наменет за една или повеќе
медицински цели, како што се дијагностицирање, следење, третман, олеснување
итн., Се нарекува медицински уред. Според администрацијата на храна и лекови
во САД (ФДА), медицинските помагала се движат од едноставни јазични
депресори до сложени програмибилни МКБ. ФДА обезбедува стандарди за
класификација на медицинските помагала засновани врз потенцијалниот ризик да
предизвикаат штета на пациентите во случај на дефект на уредот или малициозни

9
напади. Уредите со минимално ниво на ризик и минималното ниво на регулаторна
контрола, како еластични завои, забен конец и сл., Припаѓаат на медицинските
помагала од класа I. Колекции за тестирање на бременост, инвалидски колички на
погон, итн. Се уреди од класа II, кои се посложени и поризични од уредите од
класа I и бараат строги регулаторни контроли. Уредите од класа III (на пр.,
Имплантирани пејсмејкери, импланти на дојка, итн.) Поседуваат најголем ризик и
сложеност, и за нив се потребни многу строги регулаторни контроли. Покрај тоа,
Европската комисија обезбедува неколку други класификациски стандарди за
медицински помагала засновани на неинвазивни, инвазивни и активни
терапевтски својства:

 Неинвазивни уреди: Неинвазивните уреди се наменети да се користат за

собирање на течности во телото на таков начин што е малку веројатно
повратниот проток назад кон човечкото тело (како шишиња за собирање
урина). Исто така, овој тип на уреди контактира само со кожата на
пациентот и има намера да канализира или складира крв, телесни течности
или ткива, течности или гасови за евентуална инфузија (на пр.,
Антистатички цевки за анестезија, шприцеви за инфузиони пумпи, итн.).
 Инвазивни направи: Овие типови уреди се воведуваат во телото, или
преку пукање на кожата или отвор во телото. Инвазивните уреди може
дополнително да се категоризираат во четири групи, имено привремена
употреба, краткотрајна употреба, долгорочна употреба и поврзани со
активен медицински уред. Хируршки инвазивни медицински помагала со
минлива употреба (<60 минути) се прецизно контролирани, директно
контактирани со централниот нервен систем и повеќекратно се користат.
Хируршки инвазивни уреди за краткотрајна употреба (> 60 минути, <30
дена) може директно да се контактираат со централниот нервен систем за
прецизно следење, дијагностицирање или контролирање на срцевиот
централен циркулаторен систем. Хируршки инвазивна долготрајна употреба
и активни медицински помагала (> 30 дена) може да се стават во устата или
да имаат директен контакт со срцето или централниот циркулаторен систем
за давање лекови.

10
  Активни терапевтски помагала: Активните терапевтски помагала се
наменети за администрирање или размена на податоци, без разлика дали
се користат сами или во комбинација со други медицински помагала, за
доставување или отстранување на лекови од или од телото.Примери за
такви уреди вклучуваат мускулни стимулатори, забни рачни работи,
помагала за слух и терапевтски извори на Х-зраци.

Сензор

Во доменот на здравствена заштита, сензорите се користат за следење и

мерење на виталите на пациентот. Различни физиолошки сензори, како што се
сензор за шеќер во крвта, сензор за отчукувања на срцето, итн., Се користат како
активирач за автоматизирање на различни функционалности (дијагностицирање,
следење и сл.) На здравствените системи. Ние ги делиме сензорите во следниве
три категории:

o Физиолошки сензори: Овие сензори ги мерат физиолошките сигнали (на

пр., ЕКГ, ЕМГ, итн.) И одликите за да дадат целосна проценка на
здравствената состојба на пациентот во кое било дадено време.
o Биолошки сензори: Овие сензори ги интегрираат биолошките елементи во
човечкото тело со физио-хемискиот трансдуцер за да произведат
електричен сигнал. На пример, сензорите за глукоза и алкохол се примери
од ваков вид.
o Сензори за животна средина: Овие сензори можат да насетат различни
параметри на животната средина за да разберат каква било промена во
близина на пациентот. На пример, акцелерометар и гироскоп во паметен
часовник можат да детектираат движење на пациентот за мерење на
податоците за движење и спиење.

Пејсмејкер е медицински уред измислен во дваесеттите години на минатиот

век, кој е всаден под кожата на една личност, со жици што одат надолу до нивното

11
срце, помага да се регулираат абнормалните срцеви ритми. Тие еволуирале со
текот на времето, се намалувале во големина, а напредувањата во последните
години овозможија повеќе дигитални можности, особено кога станува збор за
пренесување на податоци од телото на пациентот до блиските пристапни точки
или далечински сервери. Во денешниот свет на хакирање на IoT, ова може да
предизвика сериозна загриженост ако пејсмејкерите не користат соодветна
безбедност.

Современ пејсмејкер има можност да собира информации за пациентите и

да ги пренесува преку WiFi до пристапната точка или медицинските помагала што
се користат за време на прегледите во болницата. Уредите за пристапна точка,
кои собираат информации за здравјето на пациентот додека се дома, ги испраќаат
податоците до оддалечените сервери. Пејсмејкери кои можат да испраќаат
податоци преку Интернет, можат да им помогнат на пациентите со проблеми со
мобилноста. Сепак, протоколите за комуникација што се користат при испраќање
на податоците до оддалечени сервери се многу тривијални и се подложни на
хакирање.

Имплантиран кардиовертер дефибрилатор е уред што работи на батерии

поставен под кожата и ги следи отчукувањата на срцето. Повеќе од 135 000
пациенти секоја година ги примаат овие дефибрилатори за да спречат ненадејни
срцеви удари.

12
 Слика 3. Пример IoT медицински помагала на телото на пациентот

Инсулинска пумпа може да биде програмирана да ослободува мали дози на

инсулин континуирано, или единечна доза близу до времето на јадење за да се
контролира зголемувањето на гликозата во крвта, главниот шеќер што се наоѓа во
крвта и главниот извор на енергија на организмот. Овој систем на испорака
најблиску го имитира нормалното ослободување на инсулин во организмот.

Загриженоста за ранливоста на медицинските помагала како пејсмејкер,

МКБ, инсулински пумпи, дефибрилатори, монитори на фетусот и скенери расте,
бидејќи здравствените установи сè повеќе се потпираат на уреди кои се
поврзуваат едни со други (види слика 3), со системи за медицински досиеја во
болница и со интернет. Досега нема потврдени извештаи за сајбер криминалци
кои имаат пристап до медицинско помагало и им штетат на пациентите, Одделот
за домашна безбедност ги испитува потенцијалните ранливости на околу
дваесетина уреди.Болничките медицински помагала можат да бидат ранливи на
хакери, едноставно затоа што тие можат да бидат слабата алка што овозможува
криминалец пристап до системот на податоци во болницата - особено ако уредите
не се ажурирани со најновите безбедносни крпеници.

5. Загриженост за безбедноста и приватноста

За да разговараме за безбедносните и приватните прашања во

здравствените системи, ние се повикуваме на Слика 4 како сценарио за употреба,
што е сложен мултидисциплинарен и интегриран систем на здравствена заштита.

13
Во овој дел, прво ги презентираме барањата за безбедност и приватност, а потоа
ги разгледуваме соодветните цели за безбедност и приватност.

Слика 4. Цели на безбедноста и приватноста во здравствениот систем.

Слика 4 ги претставува општите цели на безбедност и приватност на

здравствениот систем. Тука, пациентот носи неколку инвазивни и неинвазивни
медицински помагала што се поставени на или околу телото на пациентот за да
следи постојано разни витални знаци на телото (на пр., ЕКГ сигнал, пулс, крвен
притисок, итн.) И важни параметри на животната средина ( на пр., температура и
влажност на околината). Читањата на сензорите и профилите на пациентите
заедно се нарекуваат податоци поврзани со пациентот што се собираат и се
пренесуваат на други уреди како паметни телефони, компјутери итн.

Овие уреди можат да извршат понатамошна обработка на податоци,

собирање или дистрибуирано складирање. Податоците поврзани со пациентот,
исто така, можат да бидат испратени до централен сервер за здравствена
заштита за трајни записи и до здравствените работници и болницата за постојано
следење на физичката состојба на пациентот. Сумирајќи, целокупната
архитектура на личниот здравствен систем е поделена на три нивоа. Ниво 1 се
состои од медицински помагала, вклучително и инвазивни и неинвазивни уреди, а
Групата 2 има лични уреди како паметни телефони и компјутери. Здравствените
сервери и здравствените работници го формираат третото ниво. За да се
обезбеди безбедност, автентикацијата е потребна во Нивоа 1, 2 и 3. Пред да

14
пренесете какви било податоци поврзани со пациентот на личен уред или од
личен уред на здравствен сервер, корисниците мора да бидат строго овластени во
секое ниво.

Информациите и податоците за уредите треба да бидат достапни само од

овластени здравствени работници или органите на болницата и не треба да се
менуваат од неовластени корисници. Доверливоста и интегритетот, исто така,
треба да се обезбедат на нивоа 2 и 3. Бидејќи медицинските помагала вршат
разни чувствителни операции и управуваат со лични податоци, овие информации
треба да се чуваат во тајност во дневникот за пристап. Медицинските помагала
треба да бидат достапни цело време бидејќи недостапноста на податоците за
уредите може да влијае на третманот на пациентот. Неодбивањето и достапноста
треба да се одржат во сите три нивоа.

Понатаму, за да се постигнат целите на приватноста, треба да се одржи

анонимноста на уредот, што значи дека само пациентите и овластените корисници
треба да знаат кои медицински помагала ги носи одреден пациент. За пренос на
податоци од Ниво 1 до 2 и 2 до 3, вистинските информации на пациентите и
лекарите не треба да се откриваат за да се задржи анонимноста на податоците.
Комуникацијата помеѓу пациентите и здравствените работници / болниците преку
здравствениот систем треба да биде несоодветна за противниците за да се
постигне комуникациска анонимност и неповрзаност.

Кон крајот на 2015 година, двајца истражувачи за безбедност откриле над

68 000 медицински системи кои биле изложени на Интернет, а 12 000 од нив
припаѓале на една здравствена организација. Главната грижа со ова откритие
беше дека овие уреди беа поврзани на Интернет преку компјутери кои работат со
многу стари верзии на Windows XP, верзија на ОС за која е познато дека има
многу ранливи страни на експлоатација. Овие уреди се откриени со употреба на
Shodan, пребарувач што може да најде IoT уреди преку Интернет, поврзани со
Интернет. Овие се лесни за хакирање преку напади на брутална сила и со
употреба на тврдо кодирани најавувања. За време на нивното истражување,
двајцата експерти пронајдоа опрема за анестезија, кардиолошки уреди, нуклеарни

15
медицински системи, системи за инфузија, пејсмејкери, скенери за МРИ и други
уреди, сите преку едноставни барања на Шодан.

Двајцата експерти за безбедност создадоа медени садови, кои се

специјални сервери кои се појавуваат како медицински помагала.

Овие уреди имале лажни медицински податоци и реални ранливости, но

имале и компонента за најавување. Кога истражувачите ги прегледале,
дневниците собрани од овие саќести, откриле дека напаѓачите успеале да се
проверат преку SSH на овие лажни медицински помагала над 55 000 пати, тие
дури и оставија 299 носивост на малициозен софтвер. Исто така, имаше 24 случаи
кога напаѓачите успешно ја искористија истата ранливост што претходно ја
користеа инфекциите на Конфикер. Истражувачите исто така откриле дека во
повеќето случаи на напаѓачите не сфатија што пробиле и оставиле заразена
машина зад себе како дел од нивните ботнети.

Ако хакерите дознаат дека уредите можат да ги водат до други сервери со

повеќе чувствителни информации, тие не би се двоумеле да извршат
пософистициран напад за да ги добијат овие вредни информации. Тие исто така
можеа да ги користат уредите за ширење опасен малициозен софтвер во ИТ-
инфраструктурата на болницата.

Има зголемен ризик за безбедност на податоци и одговорност во

здравствениот сектор поради IoT. Интернетот на нештата носи многу исти
проблеми со безбедноста и приватноста, но тоа е многу поголем ризик затоа што
овие уреди дејствуваат автоматски. Лекарите сега можат да програмираат МКБ за
следење на состојбата на срцето на пациентот.

Овие уреди можат да доставуваат податоци за срцевиот ритам на таа

личност до лекар. Исто така може да го испрати вистинското ниво на електричен
шок за правилно чукање на срцето. Истражувачите успеаја да демонстрираат како
злонамерен хакер може да предизвика дефект на уредот, предизвикувајќи опасен
шок. Телевизиската серија „Татковина“ во Шоутајм имаше епизода каде хакерите
го оневозможија пејсмејкерот на потпретседателот да го убие. Поранешниот

16
потпретседател Дик Чејни во интервју за „60 минути“ откри дека кога му бил
вграден уред за регулирање на отчукувањето на срцето, на неговите лекари им
биле оневозможени неговите безжични можности за да спречат евентуален обид
за атентат.

Можно е хакерите да измамат медицински помагала за да им наштетат на

поединци, но сè уште не сме виделе такво нешто. Уредите обично се хакираат
така што напаѓачите можат да влезат во поголеми медицински системи и да
украдат заштитени здравствени информации. Во јуни 2015 година, извештајот
беше објавен од страна на ТрапХ, компанија за безбедност, која откри дека
повеќето здравствени организации се ранливи на киднапирање на медицински
помагала, исто така наречено „меџак“. Во извештајот се дадени детали за
инциденти со медукација во три болници. Во првиот случај, анализатор на крвни
гасови заразен со два различни вида на малициозен софтвер беше искористен за
кражба на лозинки за други болнички системи, а доверливите податоци беа
испраќани до компјутерите во Источна Европа.

Во друга болница, системот за складирање на слики на одделот за

радиологија беше искористен за да се добие пристап до главната мрежа,
чувствителните податоци беа земени и испратени на локација во Кина. Во третиот
случај, хакерите ја користеле ранливоста во пумпа за лекови за да добијат
пристап до болничката мрежа. Украдените медицински идентитети се многу
повредни од цената на украдениот број на кредитна картичка. Тековната состојба
на безбедност во многу медицински помагала им овозможува на хакерите лесен
пристап да украдат огромен број чувствителни податоци од системите на
давателите на здравствени услуги.

Инсулински пумпи (Слика 5) се медицински помагала што пациентите ги

прикачуваат на нивните тела и инјектираат инсулин преку катетри. Пингот Animas
OneTouch, беше лансиран во 2008 година, се продава со безжичен далечински
управувач што пациентите можат да го користат за да нарачаат пумпата да
испорача доза на инсулин, што обично се носи под облеката и може да биде
незгодно да се достигне. „ Johnson&Johnson “ неодамна ги информираа

17
пациентите дека дознале за безбедносна ранливост во една од своите инсулински
пумпи што хакер би можел да ги искористи за предозирање со дијабетични
пациенти со инсулин. Овој систем е ранлив бидејќи комуникациите не се
шифрирани, за да се спречат пристапот на хакерите до уредот.

Хакерите можат да го принудат уредот да спроведува неовластени инјекции

на инсулин. Шансите да се случи такво хакирање се многу мали. Сепак, ова е
првпат производител на медицински помагала да издаде вакво предупредување
на пациентите за ранливост на сајбер. Ова откритие ја зголеми загриженоста за
можни грешки кај пејсмејкерите и МКБ. J&J ги предупредува клиентите и им дава
совети за решавање на проблемот.

Слика 5. Пример ранлива пумпа за лекови

Во друг случај, ФДА минатата година издаде повеќе предупредувања за

сајбер-бубачки во инфузиони пумпи од Хоспира, кои ги набави Pfizer Inc. Тие веќе
некое време се свесни за безбедносниот проблем и издадоа упатства за
производителите да го направат својот уред повеќе безбеден Сепак, ова е првпат

18
ФДА да издаде предупредување за медицински уред заснован на ризик за сајбер
безбедност. Во август 2015 година, ФДА препорача сите болници во Калифорнија
и низ целата земја да престанат да користат медицински помагало што е
подложно на сајбер напади. Овој уред е инфузиона пумпа која доставува лекови
или хранливи материи на пациентите. Хакер може да пристапи и да ја промени
дозата на лекот за да му даде на пациентот премногу малку или смртоносна
количина.

6. Покриени податоци според HIPAA

Поврзаните уреди нудат многу предности, сепак, овие уреди претставуваат

и зголемен ризик за приватноста и безбедноста. Некои можни ризици вклучуваат:

 Овозможување неовластен пристап што може да доведе до

злоупотреба на лични информации
 Олеснување на нападите врз други системи
 Создавање ризици по личната безбедност
 Ризици за приватност што произлегуваат од собирање лични
информации, локации и физички услови.

Исто така, постои загриженост кај корисниците на mHealth и технологијата

што може да се носи за приватноста и сопственоста на податоците. Земјите имаат
закони воспоставени за заштита на податоците за пациентите, но тие не се
конзистентни и постои голема варијабилност. Во Соединетите држави ХИПАА
управува со безбедноста и приватноста на здравствените информации, но тие се
однесуваат само на здравствената заштита. Ова им овозможува на

19
производителите на мобилни здравствени уреди (mHealth) да ги споделуваат
податоците генерирани од корисникот без знаење на корисникот.

Неодамнешното истражување на американската Федерална комисија за

трговија тестираше 12 здравствени и фитнес апликации и откри дека овие
апликации испраќаат податоци за потрошувачите до 76 компании од трета страна.
Некои од споделените податоци го вклучија единствениот идентификатор на
уредот на телефонот (UDID) и неговата адреса за контрола на пристап до
медиуми или MAC адресата. Тие исто така споделија други информации за
потрошувачите, како трчање на корисникот, навики во исхраната, навики за
спиење, информации за вежби, пол, поштенски ода.

Посебен извештај на Privacy Rights Clearinghouse исто така посочи дека

40% од 43 апликации за фитнес собрале податоци со висок ризик, вклучувајќи
адреси, финансиски информации, полно име, здравствени информации, локација
и датум на раѓање. Извештајот исто така откри дека 55% од тие 43 апликации
споделувале податоци со трети страни аналитички услуги кои потенцијално би
можеле да ги поврзат податоците од апликациите за фитнес и здравје со други
апликации што содржат информации за идентификација на корисникот.

Организациите што се опфатени со HIPAA се нарекуваат опфатени

субјекти, што значи дека малициозни субјекти честопати можат да прават што
сакаат со нечии податоци, доколку тие потенцијални дејства се вклучени во
условите - кои ретко ги читаат корисниците.

Податоците следени и собрани од здравствената технологија што може да

се носат, а многумина сметаат дека треба да бидат опфатени со ХИПАА, во многу
случаи не се. Ако некој едноставно оди во продавница и купи Fitbit, на пример, тој
не е покриен од HIPAA. Затоа, собраните податоци не се обврзани или заштитени
со регулативата. Меѓутоа, ако некое лице добие апарат за носење преку својата
болница или лекар, податоците за здравствената заштита што ги собира уредот
се покриени со ХИПАА. Барем се заштитени податоците што ХИПАА ги дефинира
како заштитени здравствени информации (ПЗУ).

20
21
7. Како да се заштити IoT во здравството

Здравствените заедници го прифатија фактот дека IoT ќе биде дел од

нивната иднина. Тие разбираат дека дигитализирањето и насочувањето на
споделувањето на здравствените податоци ќе им овозможи да добијат
ефикасност и ќе резултираат во значителни заштеди на трошоците. Постојат
неколку основни безбедносни активности што провајдерите и производителите на
IoT уреди можат да ги преземат, вклучително и криптирање и спроведување на
безбедно подигање. Безбедно подигнување осигурува дека кога уредот е вклучен,
ниту една од неговите конфигурации не е изменета.

Тоа е предизвик за CIO и CISO бидејќи продолжуваат да откриваат начини да

управуваат со ризиците од IoT и да ги користат придобивките. За да се подготват
и да останат што е можно посигурни, треба да преземат чекори.

 Безбедносните мерки треба да бидат вметнати во дизајнот на IoT уредот,

ова вклучува спроведување проценка на ризик пред уредот да биде пуштен
на употреба на пазарот, треба да се вградат мерки за автентикација во
уредот
 Проверете дали автентикацијата е правилно следена, ограничен е
пристапот до уредот, се потврдува фирмверот што се испраќа до уредот и
се следи комуникацијата уред до уред
 Треба да се спроведе стратегија за одбрана во длабочина, каде што има
неколку слоеви на безбедност за да се заштити од специфични ризици
 Обезбедете дека постои соодветна контрола за пристап што го ограничува
неовластениот пристап до податоци, IoT уредите и мрежите
 Тестирајте ја безбедноста на IoT уредот пред да се пушти во производство
и следете ја безбедноста на уредот во текот на целиот животен циклус
 Воспоставете култура на безбедност, каде што вработените се обучени да
препознаваат ранливост

22
ЗАКЛУЧОК

Досега нема познати случаи во кои малициозни хакери нападнале

пејсмејкер, но истражувачите докажаа дека е можно. Покрај тоа, истражувачката
компанија „Форестер“ предвиде дека во блиска иднина ќе видиме откупни
средства за медицински уред или за носење. Системите на кои се поврзуваат
уредите во болниците, честопати имаат многу наследна опрема што работи со
застарени оперативни системи и софтвер што не може да се ажурира.

Во минливото опкружување на давателот на здравствена заштита уредите

можат да влезат на многу начини, многу пати како тие влегуваат се непознати,
BYOD е добар пример. Кога тоа ќе се случи, станува тешко да се открие
управувањето со животниот циклус на тој уред и да се идентификува
оперативниот систем. Самостојните уреди што се приврзуваат на мрежата може
да имаат развиено мрежи и проблеми со поврзаноста. Бидејќи овие уреди не
доаѓаат преку нормални канали, постои недостаток на свест за овие ранливости
што напаѓачите би можеле да ги искористат.

Кога продавач, нечесен член на вработените во ИТ, па дури и хакер може

да стави самостојни уреди на изолирана мрежа. На многу од овие уреди во
здравствената заштита немаат докази за докажување и форензичка можност за
најавување, затоа нема начин да се следи што се случува.

Разбирливо е дека IoT уредите треба да останат бидејќи тие помагаат да се

намалат трошоците и да се олесни извршувањето важни функции. Важно е да
бидете сигурни дека мрежите водат автоматски работен проток, даваат брз
пристап до критични информации, додека сè чува безбедно. Ова може да се
постигне со применливи безбедносни политики и спроведување решенија кои се
фокусираат на ранливости, проценки на конфигурацијата, одбрана на малициозен
софтвер, како и активност и следење на настаните.

23
Користена литература

 B. Harpham, Writer and Editor,“ How the Internet of Things is changing

healthcare and transportation,” CIO, 8 September 2015;
http://www.cio.com/article/2981481/healthcare/howthe-internet-of-things-is-
changing-healthcare-andtransportation.html
 J. Finkle, “J&J warns diabetic patients: Insulin pump vulnerable to hacking,”
TECHNOLOGY NEWS, 4 October, 2016; http://www.reuters.com/article/us-
johnsonjohnson-cyber-insulin-pumps-e-idUSKCN12411L
 C. Brook, “Health and fitness applications poor at protecting privacy, FTC
says,” Threatpost, 8 May 2014; http://threatpost.com/health-and-fitness-
applicationspoor-at-protecting-privacy-ftc-says
 BCC Research, “Mobile health (mHealth) technologies and global markets
2014” 14 March 2014;
http://www.bccresearch.com/marketresearch/healthcare/mobile-health-
hlc162a.html
 Privacy Rights Clearinghouse. Fact Sheet 39: Mobile health and fitness
applications: What are the privacy risks? (1 December 2014);
https://www.privacyrights.org/mobile-health-andfitness-applications-what-are-
privacy-risks
 K. Michael, “Hackers create more IoT botnets with Mirai source code,”
PCWorld, 18 October 2016;
http://www.pcworld.com/article/3132571/hackerscreate-more-iot-botnets-with-
mirai-source-code.html

24