Министерство внутренней безопасности США (DHS) предупреждает о критическом недостатке дефибрилляторов Medtronic, которые могут быть взломаны злоумышленниками. Если хакер воспользуется этим недостатком, он сможет получить контроль над устройством и переписать команды — действия, которые могут иметь фатальные последствия. На момент составления данного отчета не было зафиксировано никаких инцидентов с участием пациентов, пострадавших от взломанных устройств. В настоящее время Medtronic работает над исправлением ошибки в своих дефибрилляторах, но в то же время около 750 000 их устройств подвержены этой уязвимости.
Когда вы слышите слово «дефибриллятор», вы можете подумать об автоматическом внешнем дефибрилляторе (АВД), который медицинский работник может использовать в случае внезапной остановки сердца. Но существуют и другие типы дефибрилляторов, такие как имплантируемые или носимые кардиовертеры-дефибрилляторы. Эти устройства крепятся к пациенту в определенном месте и используются для предотвращения внезапной смерти у людей с опасными для жизни аритмиями.
Medtronic производит имплантируемые дефибрилляторы — это означает, что зияющая уязвимость в их устройствах ставит под угрозу жизни многих тысяч пациентов.
Дефибрилляторы Medtronic уязвимы перед взломом
Как сообщает Daily Mail, в начале этого года исследователи безопасности из фирмы Clever Security выявили уязвимость в имплантируемых дефибрилляторах Medtronic. Недостатки в том, как они общаются с радиоприемниками, которые врачи используют для отслеживания и настройки устройств после имплантации, которые могут быть использованы хакерами. В частности, протокол связи Conexus, используемый Medtronic, не зашифрован и не требует аутентификации пользователя — две большие ошибки в мире кибербезопасности.
В случае использования этих уязвимостей злоумышленники могут прервать связь и изменить информацию на устройстве, что может привести к повреждению дефибриллятора и причинению вреда пациенту. Помимо вмешательства в функциональность устройства, злоумышленники могут получить доступ к любой конфиденциальной информации, хранящейся на нем.
DHS присвоило этой угрозе рейтинг 9,3 из 10, отметив, что для его использования требуется «низкий навык». Однако злоумышленник должен находиться в непосредственной близости от пациента, чтобы осуществить свою атаку.
Как сообщает Threatpost, этими недостатками подвержены 20 различных продуктов, выпускаемых Medtronic, и, по оценкам, в общей сложности 750 000 устройств могут быть уязвимы.
Представитель Medtronic сообщил Threatpost, что компания «проводит проверки безопасности для поиска несанкционированных или необычных действий, которые могут быть связаны с этими проблемами». Компания сообщает, что до сих пор не было никаких атак на уязвимые устройства, и что будет серия обновлений программного обеспечения для решения этих проблем безопасности. Пресс-секретарь сообщил Threatpost, что первое обновление будет выпущено в конце 2019 года в ожидании одобрения регулирующих органов.
Тем не менее, есть еще более серьезная проблема: многие медицинские устройства подвержены нападениям.
Многие медицинские приборы в опасности
Эксперты по кибербезопасности уже давно предупреждают о потенциальных уязвимостях медицинских устройств. В 2018 году CBS News сообщили, что федеральное правительство расследует потенциальные риски в таких устройствах, как кардиостимуляторы, инсулиновые помпы и дефибрилляторы.
В то время правительственные учреждения заявили, что не было зарегистрировано случаев взлома медицинских устройств и их использования для нанесения вреда пациентам, но пара экспертов по кибербезопасности утверждает, что угроза эксплуатации неизбежна. Исследователи безопасности Билли Риос и Джонатан Баттс сказали, что им удалось взломать каждое устройство, которое они исследовали. И, как показывают недостатки Medtronic, во многих случаях вам не нужно много навыков, чтобы пользоваться недостатками, обнаруженными в медицинских устройствах.
Многие устройства, которые используются для поддержания жизни людей — от инфузионных насосов до кардиостимуляторов — могут быть легко взломаны. В то время как утечка данных может иметь разрушительные последствия, взлом медицинского устройства может привести к смерти целевого пациента.
Неудивительно, что эксперты по безопасности сейчас призывают производителей медицинского оборудования более серьезно относиться к безопасности выпускаемых устройств.
