חוקרי הגנת הסייבר של חברת צ'ק פוינט גילו מערכת ההפעלה המשמשת את מכשיר האולטראסאונד הינה windows 2000 - פלפורמה ישנה שקיימים בה חולשות אבטחה מוכרות רבות.

בנוסף, התוכנה לא מקבלת עדכוני אבטחה אוטומטיים ועל כן מותירה את המכונה – והמידע שיש בה – חשופים להתקפות. מכאן, הדרך לפריצה לתוכנה והגעה למידע הרגיש שיש עליה – היתה קצרה מאד.

עודד ואנונו, ראש מחלקת חולשת מוצרים שביצעה את המחקר, מסביר "ניצול של אחת החולשות המוכרות בתוכנה אפשר לחוקרים לחדור למכונה, להשיג את כלל הקבצים המצויים עליה (תוצאות של בדיקות האולטראסאונד המסווגות בהתאם לשמות ומספרי המטופלים), ולמעשה לעשות בהן כרצונם. המשמעות המיידית היא כניסה לקבצים האישיים, להחזיק ביכולת לשנות את שמות הקבצים ואת המידע שקיים בהם וכן להצפין את כלל המידע בדרישה לקבלת כופר. הקלות שבה ניתן להגיע למידע אישי ומשמעותי כל כך – מטרידה מאד".

המוטיבציה לפרוץ למכשירים רפואיים

התקפות סייבר על בתי חולים ומוסדות רפואיים מדווחות על בסיס שבועי ברחבי העולם. הדוגמא האחרונה היתה התקפת כופרה על בית חולים קרדיולוגי במלבורן, אוסטרליה, ב-21.2.19 שם המידע הרפואי הוצפן על ידי האקרים שדרשו תשלום בתמורה לשחרורו.

התקפות משמעויות נוספות בשנה האחרונה היו ביולי האחרון על שירותי הבריאות של סינגפור- שם נחשפו פרטים אישיים רגישים של למעלה מ1.4 מיליון מטופלים, כולל ראש הממשלה. בנוסף, במאי 2017 אירעה התקפת WannaCry אשר הביאה לביטול 20,000 תורים במרפאות הרפואה הציבורית של אנגליה ולעלויות תיקונים ופיצויים שנאמדו ב-150 מילון פאונד. גם כאן, שימוש בחולשה של מערכת windows אפשרה את המתקפה.

דו"ח של ה- Journal of the American Medical Association אשר פורסם בספטמבר 2018 חשף שפריצות למוסדות רפואיים זינקו משמעותית מאז 2010 והיו אחת מהקבוצות המותקפות ביותר בעולם – לעיתים עד כדי 70% מתקיפות הסייבר המדווחות באזורים שונים. מחקר אחר גילה שלמעלה מ-80% מהתקפות הכופרה בארה"ב בשנת 2017 היו על מוסדות אלו.

ב"שוק השחור" של פושעי הסייבר קיים ביקוש גבוה במיוחד למידע רפואי גנוב, ומחירו יכול להאמיר עדי פי 20 ממידע כלכלי ופיננסי. המידע האישי הרב שמוחזק במערכות הבריאות, ועל גבי המכשירים הרפואיים, הופכים את המוסדות הללו למטרות מבוקשות לפושעי סייבר. למרות זאת, מכון Ponemon גילה שרק 17% מיצרני המכשור הרפואי נוקטים בצעדים ממשיים כדי למנוע התקפות על המכונות הללו.

כאמור, המכשירים הרפואיים מתוכנתים, מטבעם, לאגור מידע רב ולאפשר בשיתוף שלו עם שורה ארוכה של מכשירים ואפליקציות. כתוצאה מכך, היכולת לעדכן בעדכוני אבטחה חדשים אינו פשוט. בנוסף, התוכנות המשמשות את המכשירים הללו מבוססות על התוכנות הקיימות בעת יצירת המכונה, וחלקן מכילות חולשות מובנות שלא תוקנו בשל העובדה שהתוכנות ישנות מאד. כך, מידע שאמור להיות מוצפן ומוגן – קיים בתוכנות שניתן לפרוץ אליהן וקשה מאד (ולעיתים בלתי אפשרי) לעדכן אותן.

על כן, פריצה למכונה דוגמת האולטראסאונד מאפשרת לפורצים להניח את ידיהם על מידע אישי רגיש, להחליף את התוצאות שמקבלים המטופלים בתוצאות אחרות, להשפיע על ההמלצות לטיפול ולעיתים להצפין את המידע כך שהרופאים והמטופלים לא יוכלו לגשת אליו.

במקרים שונים, מדובר בחיים ומוות באופן המילולי ביותר. מוסדות רפואיים שונים עוסקים בהגנת סייבר ובדרכים לאתר חולשות ולהגן על פריצות דרך המכשירים הרפואיים. אולם, הצורך של פושעי הסייבר להגיע אל המידע הרגיש, והחולשות המובנות של המכשירים, הופכות את המרדף הזה לרלבנטי ונדרש מתמיד.