Najczęstsze zagrożenia

• Ransomware na łańcuchu dostaw (dostawcy laboratoriów, PACS, LIS, billing): wstrzymuje zabiegi, transfuzje, dostęp do EHR. Przykłady: atak na Synnovis sparaliżował szpitale w Londynie w czerwcu 2024 r. (odwołane operacje, „paper mode”). theguardian.com+1

• Urządzenia/wyroby połączone (IoMT): brak uwierzytelniania, przestarzałe radio/BT, słabe aktualizacje OTA → możliwość zmiany terapii. Przykłady:

  • Rozruszniki St. Jude/Abbott – ryzyko zdalnej ingerencji, akcja serwisowa i firmware (2017–2018). ahajournals.org+1

  • Pompy insulinowe Medtronic – wycofania/ostrzeżenia (2019, CVE-2019-10964) z powodu braku właściwego uwierzytelniania w łączności — możliwość zmiany dawek. pmc.ncbi.nlm.nih.gov+2The HIPAA Journal+2

• PACS/DICOM i obrazowanie: wystawione do Internetu, słabe segmentacje sieci, podatne przeglądarki DICOM. Badania i raporty ciągle znajdują otwarte serwery. pmc.ncbi.nlm.nih.gov+2sciencedirect.com+2

• API i interoperacyjność (HL7/FHIR): błędne konfiguracje, brak kontroli dostępu, IDOR, przechwycenie tokenów; publikacje wskazują luki w implementacjach FHIR. scholarspace.manoa.hawaii.edu+1

• Aplikacje mobilne (dla pacjentów/kliniczne): twardo zakodowane sekrety, brak pinningu TLS, słabe szyfrowanie storage’u, brak „device binding”. Standardem testów jest OWASP MASVS. owasp.org+2mas.owasp.org+2

• Dane i prywatność: wycieki PHI/PII z logów, zrzutów błędów, kopii zapasowych; ryzyka prawne (GDPR/HIPAA).

• AI/ML w zdrowiu: możliwość ataków typu data/model poisoning, membership inference; stąd rośnie nacisk na uczenie prywatnościowe/federacyjne. Owkin

• Łańcuch dostaw oprogramowania: komponenty open-source (np. logowania, parsery DICOM/FHIR), brak SBOM i procesów aktualizacji.

Głośne/przykładowe przypadki

• Ransomware: Synnovis (UK, 2024) – odwołania zabiegów i transfuzji w kilku kluczowych szpitalach Londynu. theguardian.com+1

• Rozruszniki St. Jude/Abbott (2017–2018) – ryzyko zdalnych modyfikacji; komunikaty FDA i działania naprawcze. ahajournals.org+1

• Pompy Medtronic MiniMed (2019) – CVE-2019-10964; możliwa modyfikacja ustawień i przejęcie sterowania dawką → formalne wycofania/zalecenia. (Opisane też szeroko w mediach branżowych i na konferencjach). cisa.gov+2The HIPAA Journal+2

• PACS na widoku – liczne publikacje pokazujące otwarte węzły DICOM i wektory ataku na przeglądarki/serwery PACS. (przekłamania obrazów, kradzież danych, sabotaż workflow) pmc.ncbi.nlm.nih.gov+2sciencedirect.com+2

Wymagania i wytyczne (UE/USA) — co dziś „must-have”

• FDA (USA) – finalne wytyczne „Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions” (zastąpiły wersję 2023; czerwiec 2025). Kładą nacisk na SBOM, aktualizacje w całym cyklu życia, model zagrożeń, testy, dokumentację i label. U.S. Food and Drug Administration+1

• UE: NIS2 (2023–2024 implementacje krajowe) – obowiązki dla podmiotów ochrony zdrowia (zarządzanie ryzykiem, incydenty, łańcuch dostaw, audyty). Plus plan działania KE dla cyberbezpieczeństwa szpitali (2025). digital-strategy.ec.europa.eu+1

• Dobre praktyki do aplikacji: OWASP MASVS dla mobile; dodatkowo własne profile testowe dla API (OWASP API Top 10) i dla przeglądarek obrazów DICOM. mas.owasp.org

Co robić w praktyce (skrót „checklisty”)

1. Model zagrożeń i RBA: zmapuj dane (PHI), funkcje bezpieczeństwa i skutki kliniczne (ISO 14971 → analiza ryzyka klinicznego + cyber).

2. Architektura: zero trust dla API (short-lived tokens, mTLS/pinning, least privilege), segmentacja sieci PACS/VNA, brak ekspozycji DICOM na Internet. (Referencje naukowe nt. PACS wskazują to jako krytyczne.) pmc.ncbi.nlm.nih.gov+1

3. SBOM + zarządzanie podatnościami (CVE, VEX), szybkie aktualizacje OTA, plan „cofnięcia” wersji. (Wymagane/zalecane przez FDA 2025). U.S. Food and Drug Administration

4. Kontrole w aplikacjach: MASVS L1/L2, hardening storage’u, device binding, pinning TLS, brak sekretów w APK/IPA, ochrona przed hookami/emulacją. mas.owasp.org

5. Bezpieczna interoperacyjność: FHIR/HL7 tylko przez bramy z autoryzacją, przegląd uprawnień zasobów (scopes, SMART on FHIR), testy IDOR i rate-limiting. (Literatura pokazuje błędy implementacji FHIR). scholarspace.manoa.hawaii.edu

6. Bezpieczeństwo AI: ścieżki danych/trenowania, walidacja datasetów, odporność na „poisoning”, federated learning / PPML, rejestrowanie wersji modeli. Owkin

7. Ćwiczenia incydentowe: scenariusze ransomware (LIS/PACS/EHR offline), procedury „paper mode”, izolacja segmentów, odtwarzanie z offline backupów (3-2-1). (Lekcje z Londynu 2024). theguardian.com+1

8. Zgodność: NIS2 (UE), FDA 2025 (USA), plus MDR/IVDR, GDPR (DPIA), logowanie/audyt (tamper-evident).

Jeśli chcesz, mogę to przełożyć na krótką listę kontrolną do audytu (mobilka/API/PACS) albo rozpisać matrycę ryzyk (prawdopodobieństwo × wpływ kliniczny) dla Twojej konkretnej aplikacji.

Aplikacje medyczne to dość szeroka kategoria – mogą działać jako proste programy wspierające zdrowy tryb życia, ale też jako wyroby medyczne regulowane prawnie (np. oprogramowanie klasyfikowane jako Software as a Medical Device – SaMD).

Główne obszary zastosowań aplikacji medycznych:

1. Monitorowanie zdrowia pacjentów

• aplikacje do śledzenia parametrów (np. ciśnienia, glukozy, EKG, saturacji, snu, aktywności fizycznej),

• integracja z urządzeniami typu smartband, pulsoksymetr, glukometr, ciśnieniomierz, aparat słuchowy.

2. Diagnostyka i wspomaganie decyzji klinicznych

• aplikacje analizujące obrazy (RTG, USG, MRI, CT) – np. wykrywanie zmian nowotworowych,

• wspomaganie interpretacji sygnałów (EEG, EKG),

• algorytmy predykcyjne (np. ryzyko udaru, analiza snu w apnei).

3. Telemedycyna i komunikacja

• wideokonsultacje lekarz–pacjent,

• zdalne przesyłanie wyników badań,

• zdalna kontrola terapii (np. pompa insulinowa sterowana przez aplikację).

4. Zarządzanie leczeniem

• przypomnienia o przyjmowaniu leków,

• planowanie terapii rehabilitacyjnych i ćwiczeń,

• edukacja pacjentów (instrukcje, filmy, poradniki).

5. Integracja z systemami szpitalnymi

• dostęp lekarzy do Elektronicznej Dokumentacji Medycznej (EHR),

• obsługa zleceń badań, recept, skierowań,

• systemy PACS/DICOM – przeglądanie obrazów diagnostycznych.

6. Aplikacje dla personelu medycznego

• kalkulatory medyczne (np. dawki leków, skale kliniczne),

• wsparcie w procedurach (np. checklisty operacyjne),

• szybki dostęp do wytycznych i literatury.

7. Prewencja i zdrowy styl życia

• aplikacje do diety i aktywności (fitness, wellness),

• wsparcie psychologiczne (mindfulness, CBT online),

• edukacja zdrowotna społeczeństwa.

W skrócie:

📌 Pacjenci – korzystają, by monitorować stan zdrowia, kontaktować się z lekarzem, dbać o leczenie i profilaktykę.
📌 Lekarze i szpitale – używają aplikacji do diagnostyki, podejmowania decyzji klinicznych, zarządzania dokumentacją i komunikacji.