Politici de Sanatate

Pericolele erei digitale în sectorul sănătății

20 iunie
14:26 2019
Pericolele erei digitale în sectorul sănătății

În fiecare an, milioane de scanări computer tomograf (CT) și rezonanță magnetică (RMN) sunt efectuate în întreaga lume. Scanerele sunt, în general, administrate pe o rețea internă a unității spitalicești, un server central primind și stocând imaginile în pregătire pentru analiză de către departamentul de radiologie. Cu toate acestea, rețelele care nu sunt conectate la Internet sunt vulnerabile la un atac cibernetic. Un studiu recent din Israel arată ușurința cu care un atacator extern ar putea obține și manipula scanările pacientului și ar putea să-i înșele pe experți pentru a concluziona, de exemplu, că o tumoare canceroasă este prezentă sau absentă.

Cercetătorii participanți la studiu au folosit tehnici de Machine Learning (abilitatea mașinăriilor de a învăța pe cont propriu, astfel programele bazate pe Machine Learning pot învăța să recunoască diverse trenduri și să realizeze predicții pe baza informațiilor stocate) pentru a stabili un model de inteligență artificială care ar putea elimina nodulii canceroși dintr-o scanare CT a plămânilor unui pacient sau să introducă noduli canceroși în imaginile computerizate ale plămânilor sănătoși. Ei au testat un set de imagini modificate pe o echipă de trei radiologi. Pentru scanările în care nodulii canceroși au fost îndepărtați, radiologii au diagnosticat pacientul ca fiind sănătos în 94% din cazuri. Pentru scanările în care au fost introduse tumori, radiologii au diagnosticat pacientul ca având cancer în 99% din cazuri. Radiologii au fost apoi avertizați că următorul set de scanări pe care l-au primit ar include imagini false, dar aceștia au continuat să pună diagnostic greșit în 60% dintre scanările în care noduli canceroși au fost eliminați și în 87% dintre scanările în care au fost adăugați noduli.

Aceasta ridică problema modului în care ar putea fi introdus un astfel de program malware. Pentru a investiga situația, Yisroel Mirsky – unul dintre autorii studiului – a mers incognito la un spital (cu permisiunea administratorilor instituției). El s-a strecurat în departamentul de radiologie după încheierea programului de lucru și a conectat un dispozitiv care i-ar permite să intercepteze toate datele transmise în rețeaua internă. Mirsky și-a încheiat misiunea în doar 30 de secunde! „Machine Learning este foarte accesibilă publicului în aceste zile, este aproape la fel ca și cum ai conecta sau deconecta un aparat electric de la rețea”, spune Mirsky, cercetător la Departamentul de Ingineria Sistemelor Informatice, Universitatea Ben-Gurion, Beersheba, Israel, citat de The Lancet Digital Health. Deși acest experiment se referea la cancer, modelul ar putea fi utilizat cu ușurință și în alte condiții. Un infractor ar putea instala malware-ul, ar putea modifica o serie de imagini și apoi să ceară o plată pentru a le dezvălui pe cele care au fost afectate.  Există, de asemenea, potențialul pentru fraudă în sistemul de  asigurări de sănătate.  Dacă o persoană poate adăuga o vertebră fracturată sau un anevrism mic la o scanare, ambele fiind dificil de infirmat altfel, ar putea fi eligibilă pentru o plată considerabilă. Malware-ul ar putea fi, de asemenea, folosit pentru a sabota studiile clinice.

„Până în prezent, sectorul de Sănătate nu s-a confruntat cu atacuri de acest tip, când rezultatele anumitor teste ale unui pacient sunt manipulate sau cazul în care există manipularea unui dispozitiv medical”, spune Kevin McDonald, Director de Securitate a Informațiilor Clinice la Clinica Mayo (Rochester, MN, SUA). Totuși, astfel de evenimente s-ar fi putut întâmpla deja. FDA a avertizat că pompele de perfuzie intravenoasă ar putea fi vulnerabile la atacuri ale hackerilor și au fost ridicate preocupări similare cu privire la defibrilatoare și la setările de temperatură ale unităților de refrigerare spitalicești.  În 2012,  producția americană de televiziune „Homeland” a inclus o poveste în care pacemaker-ul unui personaj a fost atacat de hackeri pentru a induce o insuficiență cardiacă. Orice îndoieli cum că un astfel de scenariu ar putea apărea în viața reală au fost eliminate 5 ani mai târziu, când FDA a rechemat la verificări o jumătate de milion de stimulatoare cardiace pentru vulnerabilitatea lor la un cyberatac.

„Spitalele au tendința să creadă că, dacă unele componente sunt separate de internet, sunt, prin urmare, excluse de la amenințările cibernetice”, spune Mirsky. „Dar acest lucru nu este adevărat – există multe modalități prin care oameni rău-intenționați pot intra în rețea, deci trebuie să fiți pregătiți pentru asta”. Asigurarea rețelelor interne prin criptarea comunicațiilor, spre exemplu, ar face mai dificil pentru un atacator să intercepteze datele. Iar dacă scannerele vor adăuga semnături digitale imaginilor, atunci personalul va putea verifica dacă imaginile au fost sau nu modificate. Ca și în cazul securității informatice, precauțiile sunt simple și în mare măsură eficiente. Aproximativ 80% din riscurile pentru sistemele informatice din sectorul medical pot fi atenuate prin respectarea igienei de bază a informațiilor – cum ar fi asigurarea suportului și actualizării sistemelor de operare și instalarea și funcționarea unui software antivirus.  Consecințele neglijării unor astfel de măsuri pot fi grave.

În 2016, atacul WannaCry asupra serviciului național de sănătate din Marea Britanie –NHS – a provocat un dezastru. Cel puțin 81 de locații au fost afectate și mii de operațiuni și programări au trebuit anulate. Cu toate acestea, organizațiile care au căzut victime ar putea cu greu să pretindă că au fost luate prin surprindere. Potrivit unui raport al Biroului Național de Audit al Regatului Unit, instituțiile au fost avertizate să oprească utilizarea sistemelor de operare neacceptate de către Departamentul de Sănătate și să-și updateze sistemele pentru a preveni atacurile cibernetice. În 2018, Departamentul de Stat pentru Sănătate și Servicii Umane (HHS) a prezentat un set de indicații privind securitatea informatică pentru organizațiile de îngrijire a sănătății. Indicațiile s-au axat pe cinci amenințări majore, printre care s-au numărat atacurile de phishing prin e-mail, care încearcă să-i înșele pe angajați în furnizarea accesului la informații sensibile prin convingerea acestora să facă click pe o legătură nesigură, ransomware, cum ar fi cel folosit în atacul WannaCry, care criptează datele pe computerele infectate și apoi solicită plata în schimbul restabilirii accesului și furtul de date. În 2020, sistemul de operare Windows 7 nu va mai fi acceptat, ceea ce înseamnă că proporția dispozitivelor medicale neconforme la nivel mondial va sări de la 30-40% la 70-80%. Multe dintre aceste sisteme nu pot fi modernizate, astfel încât spitalele se confruntă cu perspectiva de a menține echipamentele neasigurate sau de a cheltui sume mari de bani pentru înlocuitori.  Astfel, un spital de categorie medie din SUA are un venit net de aproximativ 11 milioane USD, ceea ce înseamnă că va cheltui 1-3 milioane USD pentru un scanner RMN nou. Aceasta reprezintă o cheltuială destul de mare, mai ales când vechiul echipament este încă operațional.

Îmbunătățirea securității informatice este un proces pe termen lung. Deja este o criză de personal bine pregătit în domeniu și situația se poate agrava. Cybersecurity Ventures, companie de cercetare, estimează că până în 2021 vor fi 3,5 milioane de locuri neacoperite în domeniul securității cibernetice la nivel global. Sectorul medical are un răspuns lent pentru a contracara amenințările venite pe calea securității informatice. Raportul HHS a remarcat faptul că organizațiile americane de sănătate cheltuie între 4% și 7% din bugetul IT pe securitate cibernetică, comparativ cu 10-14% în alte industrii. Cu toate acestea, atacurile cibernetice au costat sistemul american de îngrijire a sănătății peste 6,2 miliarde USD în 2016.  Majoritatea covârșitoare a medicilor din SUA a experimentat un cyber-atac.

O combinație de subinvestiții de lungă durată, tehnologie nesigură și lipsă de conștientizare a personalului au lăsat spitalele din întreaga lume vulnerabile. „Totul devine din ce în ce mai conectat, iar înregistrările medicale și datele au o valoare financiară intrinsecă care face ca îngrijirea sănătății să fie foarte atractivă pentru bandele criminale”, spune Mirsky. „Spitalele trebuie să înceapă să urmeze politicile standard de securitate convenționale pe care majoritatea companiilor le îndeplinesc, chiar și asigurarea unui nivel de bază al securității va fi o îmbunătățire majoră ” este de acord McDonald.

Bogdan Guță

 

Alte articole

TOP

revista politici de sanatate

revista politici de sanatate-Republica Moldova

OncoGen

Abonează-te la newsletter

:
: