Ваше сердце взломано: медицинское хакерство в теории и на практике

В мире где киберпреступления являются чем-то большим, чем просто потенциальная опасность, нет ничего ужаснее, чем взлом медицинского устройства. Взломанные кардиостимуляторы сыграли важную роль в одной из серий Homeland в прошлом году и уже оставили о себе «черную метку» на нынешней хакерской конференции Black Hat. И это уже не научная фантастика: существуют ясные подтверждения того, что возможно получить контроль над такими имплантантами на расстоянии. Однако пока нет подтверждения тому, что это все-таки было осуществлено.

Защитить пациентов

По-прежнему ответственные органы и эксперты по компьютерной безопасности уделяют немалое внимание предупреждению подобной угрозы. В четверг Центр Интернет –Безопасности – некоммерческая организация, занимающаяся консультированием правительственных агентств и частных компаний, заявила, что она начала работу по составлению правил по пользованию медицинскими устройствами, начиная с инсулиновых помп. Она запросит поддержки у больниц и производителей медицинских устройств в конце августа и планирует выпустить свод правил к концу года. Эти действия продолжают линию предупреждений, выпущенных Управлением по контролю качества пищевых продуктов и лекарственных средств, которое сослалось на недостатки в медицинских устройствах и заявило о том, что разрабатывает свой собственный свод инструкций по поводу того, как производители должны разбираться с проблемами.

Медицинское хакерство привлекло внимание общественности в 2011 году, когда хакеры продемонстрировали возможность подобных актов. Джей Рэдклифф, эксперт по компьютерной безопасности, работающий на IBM, представил презентацию на хакерской конференции, где продемонстрировал то, что может заполучить контроль над инсулиновой помпой и варьировать количеством поступаемого в кровь вещества, потенциально имея шанс убить пациента. Это открытие привело к волне гневных писем, взволнованным сенаторам, и, в конечном счете, выпущенным Управлением списком правил в начале этого года. Рэдклифф также начал работать с производителями медицинских устройств, чтобы помочь обезопасить их продукты.

Уже не научная фантастика

Но начали появляться новые уязвимые места. В  июне этого года  ICS Cert – один из отделов Министерства внутренней безопасности, заявил о том, что в 300 медицинских устройств от 40 производителей (имена не были названы) найдены бреши в безопасности. Этим летом Рэдклифф на конференции Black Hat вернулся к обсуждению медицинского хакерства. Еще один исследователь проблем компьютерной безопасности – Барнаби Джек также планировал презентовать выступление о том, как ему удалось взломать кардиостимулятор, но за несколько дней до конференции он был найден мертвым в Сан-Франциско. Расследование по причине его смерти продолжается.

В интервью, данном Vice незадолго до своей смерти, Джек рассказал, что ему потребовалось шесть месяцев на то ,чтобы взломать кардиостимулятор. “Для этого требуются специализированные навыки. Но чем больше исследователей сосредотачивается на подобных устройствах, тем более распространенным становится умение взламывать”, - поведал он журналу.

Учитывая разность в уровне технических инноваций между хакерами, медицинскими компаниями и регуляторами, вероятнее всего, что отрасль здравоохранения будет всегда на шаг позади. Тем временем, медицинские устройства продолжают использовать беспроводные технологии, и производители продолжают испытывать напряжение между двумя мирами, - говорит Честер Винивски из Sophos - фирмы по обеспечению безопасности. “В отрасли по производству медицинских устройств очень мало спецов по безопасности, а в индустрии безопасности очень мало медиков”, - заявляет он