Широко застосовуючи електроніку – від кардіостимуляторів до розумних годинників, – ми все більше стаємо “кібернетичним” видом людини. Саме тому недавні заголовки про уразливі місця в імплантованих медичних пристроях можуть стати тривожними сигналами. Чи може кардіостимулятор Вашого діда дійсно бути зламаний хакерами чи програмою-шкідником, і якщо так, то який ризик зламу в реальності? Про це ми дізнаємося у статті технічного журналіста, автора багатьох книг про технології Дейва Джонсона на HowToGeek.
Сьогодні в медичній техніці імплантовані пристрої можуть “спілкуватися” бездротовим способом, а майбутній медичний Інтернет речей (IoT) приносить з собою різні пристрої, які можна носити, щоб тримати медичних працівників і пацієнтів на зв’язку між собою. Але виробник медичних пристроїв Medtronic, як виявилося, зробив головні лінійки пристроїв не з однією, а навіть з двома критичними уразливостями безпеки.
Уразливості показують, що ризик зламу є
У минулому березні Департамент внутрішньої безпеки США попередив, що хакери можуть отримувати бездротовий доступ до імплантованих кардіостимуляторів, виготовлених компанією Medtronic. Потім, всього через три місяці, Medtronic добровільно відкликав деякі моделі з своїх інсулінових помп з подібних причин.
З першого погляду, це страшно, але це може бути не так погано, як здається. Хакери не можуть отримати доступ до імплантованих кардіостимуляторів із віддалених терміналів за сотні кілометрів або провести масові атаки на десятки апаратів. Щоб мати доступ до хоча б одного з цих кардіостимуляторів, атака повинна проводитися в тісній фізичній близькості до жертви (в межах діапазону Bluetooth), і тільки тоді, коли пристрій підключається до Інтернету для відправлення та отримання даних.
Хоча ймовірно, ризик є реальним. Medtronic розробив протокол зв’язку пристрою так, що він не вимагає аутентифікації, і дані не шифруються взагалі. Отже, будь-хто, хто достатньо мотивований, може змінити дані в імплантаті, потенційно змінюючи свою поведінку з небезпечними або навіть фатальними наслідками.
Як і кардіостимулятори, згадані інсулінові помпи мають бездротове з’єднання для підключення до відповідного обладнання, наприклад, дозуючого пристрою, який визначає, скільки інсуліну накачується. Ця сім’я інсулінових помп також не має вбудованої системи безпеки, тому компанія замінює їх на більш прогресивну модель.
Поки індустрія грає в “біг наввипередки”
На перший погляд може здатися, що Medtronic є класичною ілюстрацією для безвідповідальних і небезпечних політик безпеки (компанія не відповідала на наше прохання про коментарі до цієї історії), але компанія не є винятком. Насправді така ситуація з кібербезпекою – по всій галузі.
“Стан кібербезпеки в медичних пристроях є низьким, в цілому”, – сказав Тед Шортер, головний технічний директор компанії IoT з безпеки Keyfactor.
Алаап Шах, адвокат, який спеціалізується на питаннях конфіденційності, кібербезпеки та регулювання у сфері охорони здоров’я в Epstein Becker Green, пояснює: “Виробники не мають історично розвинених продуктів з урахуванням безпеки”.
Адже в минулому, щоб якось втрутитися в роботу кардіостимулятора, Вам довелося б виконати операцію, вийнявши його з тіла пацієнта. Вся промисловість, що виробляє медичну електроніку, намагається наздогнати технологію та зрозуміти наслідки для безпеки. Екосистема, що швидко розвивається, як і раніше згаданий медичний Інтернет речей, ставить на нову галузь, яка ніколи не думала про це раніше.
“Ми потрапляємо в точку перегину в зростанні можливостей зв’язку і проблем безпеки”,- сказав головний дослідник McAfee, Стів Повольний.
Хоча медична промисловість має уразливі місця в своїх продуктах, однак у реальній практиці медичні пристрої поки ніхто не “хакав”.
“Я не знаю про яку-небудь експлуатовану уразливість”, – сказав Шортер.
Але чому ситуація така, що ризики є, а реальних втручань немає?
“Злочинці просто не мають мотивації зламати кардіостимулятор”, – пояснив Повольний. “Існує більша рентабельність інвестицій після захоплення медичних серверів, де вони можуть утримувати файли картотеки пацієнтів в якості заручників. Тому вони йдуть у цей простір дій – низьку складність з високою віддачею”.
Справді, навіщо вкладатися в складні, високотехнологічні несанкціоновані втручання в роботу медичних пристроїв, коли ІТ-департаменти лікарні традиційно були так погано захищені і давали такий добрий викуп? Тільки в 2017 році 16 лікарень були атаковані заради вимагання грошей. А вимкнення сервера не несе звинувачення в вбивстві, якщо вас спіймають. Злам функціонуючого, імплантованого медичного пристрою, однак, є зовсім іншою справою.
Вбивства та “медичні хакери”
Незважаючи на це, колишній віце-президент Дік Чейні не мав жодних шансів у 2012 році. Коли лікарі замінили свою старшу модель кардіостимулятора на нову, бездротову, вони вимкнули бездротові функції, щоб запобігти будь-якому зламу.
Натхненний, частково, сюжетом із телевізійного шоу “Батьківщина”, лікар Чейні сказав: “Мені здалося, що віце-президент США мав погану ідею мати пристрій, який, можливо, хтось зможе… зламати”.
Епопея з кардіостимулятором Чейні натякає на страшне майбутнє, в якому окремі особи маніпульовані дистанційно через медичні прилади, що регулюють їхнє здоров’я. Але Повольний не думає, що ми збираємося жити в науково-фантастичному світі, в якому терористи “вимикають” людей, втручаючись у роботу імплантатів.
“Ми рідко бачимо зацікавленість у нападі на окремих людей”, – сказав Повольний, пославшись на підвищену складність зламу.
Але це не означає, що це не може відбутися. Це, мабуть, лише питання часу, поки хтось не стане жертвою реального зла. Alpine Security розробила список з п’яти класів пристроїв, які є найбільш уразливими. На початку списку – топовий кардіостимулятор, не враховуючи тих, що відкликав Medtronic. Замість цього наводиться приклад відкликання 465.000 імплантованих кардіостимуляторів виробником Abbott. Компанії доводилося оновлювати прошивку цих пристроїв для виправлення дірок у безпеці, які можуть легко призвести до загибелі пацієнта.
Інші пристрої, які турбують фахівців Alpine, це імплантовані дефібрилятори-кардіовертери (подібні до кардіостимуляторів), автоматизовані системи для ін’єкцій і навіть апаратура МРТ-діагностики, яка не пов’язана прямо з операціями. Важливість повідомлення тут полягає в тому, що медична ІТ-індустрія має зробити величезну роботу у своїй “зоні відповідальності”, щоб захистити всілякі пристрої, в тому числі великі застарілі апарати, які знаходяться в лікарнях.
На щастя, аналітики та експерти, здається, погоджуються, що кібербезпека у спільноті виробників медичних приладів постійно покращується протягом останніх кількох років. Це, зокрема, пов’язано з керівними принципами FDA, опублікованими в 2014 році, разом із міжвідомчими робочими групами, які охоплюють кілька секторів федерального уряду США.
На думку Анура Фернандо, головного інноваційного архітектора інтелектуальної безпеки та безпеки медичних систем, підвищення безпеки медичних пристроїв є пріоритетним напрямком уряду. «FDA готує нові та вдосконалені настанови. Координаційна рада сектору охорони здоров’я США нещодавно розробила план спільної безпеки. Розвиток стандартів Організації розвивають стандарти і створюють нові, коли це необхідно. DHS продовжує розширювати свої програми CERT та інші важливі плани захисту інфраструктури, а спільнота охорони здоров’я розширюється та залучає інших, щоб постійно вдосконалювати позицію кібербезпеки, щоб не відставати від мінливого ландшафту”.
Можливо, це заспокоює – те, що задіяно стільки державних та міжнародних структур. Але шлях до безпеки буде ще довгим.
“Хоча деякі лікарні мають дуже просунуту підготовку з кібербезпеки, ще багато хто з них намагається зрозуміти, як взагалі мати справу з базовою гігієною кібербезпеки”, – нарікав Фернандо.
Отже, чи можете Ви, Ваш дід або будь-який інший пацієнт з переносним або імплантованим медичним пристроєм, стати жертвою? Відповідь трохи засмучує.
“На жаль, на виробниках і медичному співтоваристві лежить великий тягар”, – сказав Повольний. “Нам потрібні більш безпечні пристрої та належне впровадження протоколів безпеки”.
Існує один виняток. Якщо Ви користуєтеся пристроєм споживчого класу, наприклад, “розумним годинником”, Повольний рекомендує Вам практикувати кібергігієну самостійно.
“Змініть пароль за замовчуванням, застосуйте оновлення безпеки та переконайтеся, що він не підключений до Інтернету весь час, якщо він не повинен бути у такому стані”.
Також стало відомо, що навіть правоохоронні органи втратять можливість прослуховувати мобільні пристрої злочинців із запуском технологій 5G через недостатню забезпеченість технічними засобами, вважає глава європейського поліцейського агентства Європол Катрін Де Болль.
А нещодавно Microsoft встановила, що за минулий рік близько 10 тисяч користувачів були цілеспрямовано атаковані або скомпрометовані хакерами, що мають державну підтримку – головним чином з Ірану, Росії та КНДР.