როგორ იტაცებენ სამედიცინო მოწყობილობებიდან ინტერნეტით გაგზავნილ მონაცემებს
,,ბევრი საავადმყოფო კვლავ იყენებს ცუდად შემოწმებულ სერვისებს პაციენტის მონაცემების შესანახად..."- „კასპერსკის ლაბორატორიის“ ექსპერტების გაფრთხილება!
„კასპერსკის ლაბორატორიის“ ექსპერტებმა გააანალიზეს დაუცველობა MQTT პროტოკოლში, რომელიც ყველაზე ხშირად გამოიყენება მოწყობილობებიდან მონაცემების გადასაცემად პაციენტების დისტანციური მონიტორინგისთვის. 2021 წელს აღმოაჩინეს 33 დაუცველობა, მათგან 18 კრიტიკული (სულ 2014 წლიდან MQTT პროტოკოლში აღმოჩენილია 90 დაუცველობა). ეს არის 10-ით მეტი კრიტიკული დაუცველობა, ვიდრე 2020 წელს და ბევრ მათგანს ჯერ კიდევ არ აქვს პატჩები. ზოგიერთი აღმოჩენილი დაუცველობა საშუალებას იძლევა მოწყობილობიდან მიტაცებული იქნას ინტერნეტით გაგზავნილი მონაცემები. თუ გავითვალისწინებთ, რომ ტელემედიცინა სწრაფად განვითარებადი დარგია – ეს პრობლემა შეიძლება გახდეს კრიტიკული.
ექსპერტები განმარტავენ, რომ MQTT გამოიყენება არა მხოლოდ სამედიცინო, არამედ თითქმის ყველა სმარტ გაჯეტში. MQTT-ში ავთენტიფიკაცია არჩევითია და იშვიათად მოიცავს დაშიფვრას, ამიტომ პროტოკოლი ექვემდებარება ისეთი ტიპის შეტევას, როგორიცაა „ადამიანი შუაში“. მათი არსი იმაში მდგომარეობს, რომ თავდამსხმელი „უშვებს“ მსხვერპლის ვებ ტრაფიკს „თავისაში“, სპეციალური შუალედური კვანძის მეშვეობით, რომლის შესახებაც დაზარალებულმა არ იცის. ამგვარად, ინტერნეტით გადაცემული ნებისმიერი მონაცემი შეიძლება იქნას მიტაცებული, მათ შორის მკაცრად კონფიდენციალური სამედიცინო, პირადი და თუნდაც პირის გადაადგილების შესახებ ინფორმაცია.
„პანდემიამ გამოიწვია ტელემედიცინის მომსახურების ბაზრის მკვეთრი ზრდა. ეს ეხება არა მხოლოდ ექიმთან კონსულტაციის მიღების შესაძლებლობას ვიდეო ბმულით, არამედ კომპლექსური, სწრაფად განვითარებადი ტექნოლოგიებისა და პროდუქტების მთელ სპექტრს, მათ შორის სპეციალიზებულ აპლიკაციებს, ტარებად მოწყობილობებს და ღრუბელზე დაფუძნებულ მონაცემთა ბაზებს. ნიშანდობლივია, რომ ბევრი საავადმყოფო კვლავ იყენებს ცუდად შემოწმებულ სერვისებს პაციენტის მონაცემების შესანახად. გარდა ამისა, მრავალი დაუცველობა სამედიცინო ტარებად მოწყობილობებსა და სენსორებში რჩება გამოუსწორებელი. შეგახსენებთ, რომ სანამ დაიწყებთ ამგვარი გაჯეტების გამოყენებას, მაქსიმალურად უნდა გაეცნოთ მათ უსაფრთხოების დონეს, რათა თავი დაიცვათ კომპანიის და პაციენტის მონაცემების მოპარვისა ან გაჟონვისაგან“, – ამბობს რუსეთი კვლევისა და საფრთხეების ანალიზის გლობალური ცენტრის ხელმძღვანელი მარია ნამესტნიკოვა.
პაციენტის მონაცემების უსაფრთხოების შესანარჩუნებლად, ტელემედიცინის პროვაიდერებს ურჩევენ გადახედონ სამედიცინო დაწესებულების მიერ შემოთავაზებულ აპლიკაციის ან მოწყობილობის უსაფრთხოების დონეს; შეამცირონ ტელემედიცინის აპლიკაციებით გადაცემული მონაცემების რაოდენობა, სადაც ამის შესაძლებლობა არსებობს; შეცვალონ ნაგულისხმევი პაროლები და გამოიყენონ დაშიფვრა.
