Das Freeman Health System verfügt über etwa 8.000 angeschlossene medizinische Geräte in 30 Einrichtungen in Missouri, Oklahoma und Kansas. Viele dieser Geräte haben das Potenzial, jederzeit tödlich zu sein. "Dies ist das Weltuntergangsszenario, das jeder befürchtet", sagte Skip Rollins, Chief Information Officer und Chief Information Security Officer der Krankenhauskette.
Rollins hofft, dass er die Geräte auf Schwachstellen untersuchen und Sicherheitssoftware auf ihnen installieren kann, um sicherzustellen, dass sie nicht gehackt werden können. Aber das kann er nicht.
"Die Anbieter in diesem Bereich sind sehr unkooperativ", sagte er. "Sie alle haben proprietäre Betriebssysteme und proprietäre Tools. Wir können diese Geräte nicht scannen. Wir können keine Sicherheitssoftware auf diesen Geräten installieren. Wir können nicht sehen, was sie tun. Die Hersteller liefern sie absichtlich so aus.
Die Anbieter behaupten, ihre Systeme seien unzerstörbar. "Wir sagten: 'Lasst uns das in den Vertrag schreiben.' They wouldn't."
Der Grund dafür könnte sein, dass diese Geräte eine große Anzahl von Schwachstellen aufweisen können. Einem Bericht zufolge, der Anfang des Jahres vom Cynerio-Unternehmen für Cybersicherheit im Gesundheitswesen veröffentlicht wurde, weisen 53% der medizinischen Geräte mindestens eine kritische Schwachstelle auf. So werden die Geräte oft mit Standardpasswörtern und -einstellungen geliefert, die Angreifer leicht online finden können, oder sie laufen mit älteren, nicht unterstützten Windows-Versionen.
Der Angreifer hat nicht geschlafen. Laut einer im letzten Herbst veröffentlichten Ponemon-Studie machten Angriffe auf IoT- oder medizinische Geräte 21% aller Sicherheitsverletzungen im Gesundheitswesen aus - der gleiche Prozentsatz wie bei Phishing-Angriffen.
Wie andere Gesundheitsdienstleister versucht auch Freeman Health Systems, die Hersteller von Geräten dazu zu bringen, die Sicherheit ernster zu nehmen, aber bisher ohne Erfolg. "Unsere Anbieter wollen nicht mit uns zusammenarbeiten, um das Problem zu lösen", sagte Rollins. "Das ist ihr eigenes Geschäftsmodell."
Daher befinden sich einige Geräte in öffentlich zugänglichen Bereichen, einige haben zugängliche USB-Anschlüsse, sind mit dem Netz verbunden und gehen nicht direkt auf Sicherheitsbedenken ein.
Angesichts knapper Budgets können Krankenhäuser den Anbietern nicht damit drohen, dass sie alte Geräte ausmustern und durch neuere ersetzen, selbst wenn neuere, sicherere Alternativen verfügbar werden. Daher setzt Freeman Health netzwerkbasierte Strategien zur Risikominderung und andere Umgehungslösungen ein, um das Risiko zu verringern.
"Wir überwachen den ein- und ausgehenden Datenverkehr", sagt Rollins, der das Verkehrsüberwachungsprogramm von Ordr verwendet. Firewalls können die Kommunikation mit verdächtigen Websites blockieren, und die seitliche Bewegung zu anderen Krankenhaussystemen wird durch die Netzwerksegmentierung eingeschränkt. "Aber das bedeutet nicht, dass das Gerät nicht kompromittiert werden kann, weil es sich um Patienten kümmert", sagte er.
Erschwerend kommt hinzu, dass die Blockierung der Kommunikation zwischen diesen Geräten und anderen Ländern die Installation wichtiger Updates verhindern kann. "Es ist nicht ungewöhnlich, dass Geräte nach China, Südkorea oder sogar Russland geliefert werden, da die Komponenten in all diesen Teilen der Welt hergestellt werden", sagte er.
Rollins sagte, ihm seien keine realen Versuche bekannt, andere durch das Hacken von medizinischen Geräten zu schädigen. "Zumindest heute sind die meisten Hacker auf der Suche nach einem Zahltag und nicht danach, Menschen zu schaden", sagte er. Angriffe von Nationalstaaten wie der SolarWinds-Cyberangriff auf medizinische Geräte haben jedoch das Potenzial, unermesslichen Schaden anzurichten.