เมนู

FBI เตือนช่องโหว่หลายร้อยรายการ หลังได้รับแจ้งจาก CISA

doctor Full

โจมตีอุปกรณ์ทางการแพทย์ที่ยังไม่ได้รับการแก้ไข ควบคุมการทำงาน, เปลี่ยนรายงานการรักษา, การจ่ายยา ข้อมูลส่วนตัวผู้ป่วย ส่งผลให้เป็นอันตรายต่อการรักษา

16 กันยายน 2565

FBI ออกมาเตือนช่องโหว่หลายร้อยรายการ ที่ใช้ในอุปกรณ์การแพทย์หลังพบช่องโหว่ ให้ผู้โจมตีสามารถเข้าใช้งานได้จากทางอินเตอร์เน็ต

จากประกาศของ FBI ศูนย์ร้องเรียน Internet Crime Complaint Center (IC3) พบช่องโหว่จำนวนเพิ่มมากขึ้น ที่ใช้ในอุปกรณ์ทางการแพทย์ที่ยังไม่ได้รับการแก้ไข ซึ่งทำให้ซอฟต์แวร์ และการทำงานต่างๆ ของอุปกรณ์ที่ล้าสมัยไม่มีประสิทธิภาพมากเพียงพอในด้านความปลอดภัยในการใช้งาน

ทาง FBI ออกมาระบุถึงช่องโหว่ที่พบในเครื่อง Insulin Pump, เครื่องกระตุ้นหัวใจด้วยไฟฟ้า, เครื่องวัดการเต้นของหัวใจ และเครื่องกระตุ้นไขสันหลัง โดยผู้โจมตีจะเข้าควบคุมอุปกรณ์ และเปลี่ยนรายงานการรักษา, การให้ยาเกินขนาด ซึ่งส่งผลให้เป็นอันตรายต่อการรักษา และสุขภาพของผู้ป่วย

ผู้โจมตีใช้ประโยชน์จากช่องโหว่ของอุปกรณ์การแพทย์ ที่ส่งผลกระทบต่อการทำงานของสถานพยาบาล ความปลอดภัยของผู้ป่วย รวมถึงการรักษาความลับ ตลอดจนถึงความสมบูรณ์ของข้อมูล

ช่องโหว่ในอุปกรณ์ทางการแพทย์ส่วนใหญ่ เกิดจากการออกแบบฮาร์ดแวร์ และการจัดการซอฟต์แวร์ รวมถึงการกำหนดค่าการใช้งานต่างๆ และไม่มีการอัพเกรดเวอร์ชั่นการใช้งาน ทำให้ความปลอดภัยของตัวอุปกรณ์ที่ใช้ลดน้อยลง

ทาง FBI ตั้งขอสังเกตว่าสถานพยาบาลบางแห่ง อุปกรณ์มีอายุการใช้งานมากกว่า 30 ปี เปรียบเสมือนเป็นการให้เวลาผู้โจมตี และเจ้าหน้าที่มีเวลาในการค้นหา และใช้ประโยชน์จากช่องโหว่ที่เกิดขึ้น

อุปกรณ์รุ่นเก่าจำนวนมากที่ยังมีการใช้งานอยู่ในโรงพยาบาล และคลินิกต่างๆ ล้วนแต่มีซอฟต์แวร์ที่ล้าสมัย เนื่องจากไม่ได้รับการติดตั้ง และอัพเดทแพทช์ใหม่  บริษัทรักษาความปลอดภัยทางไซเบอร์ออกมาแจ้งถึงปัญหาที่เกิดขึ้นโดยคิดเป็น 53% ของอุปกรณ์ทั้งหมดที่ได้มีการเชื่อมต่อ และยังรวมถึงอุปกรณ์ Internet of Things (IoT) อื่นๆ ที่ใช้ภายในโรงพยาบาลให้ทราบถึงช่องโหว่ที่สำคัญ

รายงานฉบับหนึ่งพบช่องโหว่โดยคิดเป็น 6.2 รายการ ต่ออุปกรณ์ทางการแพทย์ และรายงานว่าอุปกรณ์ทางการแพทย์มากกว่า 40% หมดอายุการใช้งาน มีการอัพเดทแพทช์ความปลอดภัยบ้างเพียงเล็กน้อย หรือไม่มีการอัพเดทเลย

การแจ้งเตือนดังกล่าวมีขึ้นไม่กี่วันหลังจากที่บริษัท Baxter International เป็นบริษัทด้านสุขภาพมูลค่าหลายพันล้านดอลลาร์ได้ออกมาแจ้งลูกค้าเกี่ยวกับช่องโหว่ 4 รายการที่ส่งผลกระทบต่อเครื่อง infusion pumps และแบตเตอรี่ของอุปกรณ์ WiFi

ในช่วงเดือนมีนาคม นักวิจัยด้านความปลอดภัยของ Palo Alto Networks พบเครื่อง infusion pumps มากกว่า 100,000 เครื่องมีความเสี่ยงต่อช่องโหว่ 2 รายการที่ได้รับการเปิดภายในปี 2562

infusion pumps เป็นประเด็นสำคัญมานานกว่าทศวรรษ ระหว่างผู้เชี่ยวชาญด้านความปลอดภัย และผู้ขาย ในการปรับปรุงการใช้งาน Palo Alto โดยมีการเรียกคืนอุปกรณ์ถึง 7 ครั้งในปี 2564 และอีก 9 ครั้งในปี 2563

ปีที่แล้วบริษัท B.Braun ยักษ์ใหญ่เรื่องการดูแลสุขภาพของประเทศเยอรมนีได้อัพเดท  IV pumps ที่เกิดข้อผิดพลาด โดยทาง McAfee ได้พบช่องโหว่ที่อนุญาตให้ผู้โจมตีสามารถปรับเปลี่ยนขนาดยาได้

องค์การด้านการดูแลสุขภาพยังคงเผชิญกับเหตุการณ์แรนซัมแวร์ และการโจมตีทางไซเบอร์อย่างต่อเนื่อง บริษัทรักษาความปลอดภัย Proofpoint ได้ออกมารายงานเมื่อสัปดาห์ที่แล้วว่าพบ 89% ในการโจมตีทางไซเบอร์อย่างน้อย 1 ครั้งในช่อง 12 เดือนที่ผ่านมา ทำให้ผู้ที่ถูกโจมตีมากกว่า 20% มีอัตราการเสียชีวิตเพิ่มขึ้น และจากการถูกโจมตีดังกล่าวทำให้ผู้ป่วยต้องรักษาตัวนานขึ้น เนื่องจากกระบวนการทำงานที่ช้าลง และคุณภาพในการรักษาโดยรวมลดลงด้วยเช่นกัน