Власти США увидели в хакерах угрозу жизни пациентов больниц
О расследовании сообщило в среду агентство Reuters со ссылкой на высокопоставленного сотрудника ведомства, пожелавшего сохранить анонимность. Проверка поручена структурному подразделению министерства – команде экстренного реагирования на кибератаки промышленных систем управления (ICS-CERT).
Совместно с производителями медтехники она занимается выявлением и исправлением ошибок кодирования программного обеспечения (багов) и иных уязвимостей, которые позволяют злоумышленникам получать доступ к конфиденциальным данным, контролировать оборудование или вызывать сбой последнего. В частности, по словам чиновников, преступники могут увеличить подачу лекарств, подключившись к инфузионному дозатору, или вызвать смертельный разряд электрического тока, получив контроль над электрокардиостимулятором.
«Подобные сюжеты используются в телесериалах, таких как «Родина», – рассказал Reuters чиновник министерства, имея в виду шпионскую драму, в которой персонаж – вице-президент США – умирает вследствие удаленного подключения к его электрокардиостимулятору. – Пациенту может быть причинен серьезный ущерб или смерть – это вполне реализуемый сценарий».
В числе тестируемых устройств – инфузионный дозатор американского производителя медицинского оборудования и фармацевтики Hospira, а также имплантируемые кардиоустройства компаний Medtronic и St. Jude Medical. Во всех трех компаниях заявляют, что серьезно относятся к вопросу кибербезопасности и повышают ее уровень. Под проверку также попала аппаратура интроскопии и больничные сетевые системы.
Министерство внутренней безопасности заинтересовалось уязвимостью медицинской техники два года назад. По мнению специалистов ведомства, риски стали возрастать из-за использования при ее производстве все больше чипов, ПО, беспроводных технологий и технологий подключения к Интернету. Но этот вопрос беспокоил руководство США задолго до этого. В 2007 году Дик Чейни, на тот момент занимавший пост вице-президента США, распорядился отключить wifi-функции своего дефибриллятора из соображений безопасности.
При этом сегодня бывший чиновник не стал советовать всем, находящимся в аналогичных медицинских обстоятельствах, следовать его примеру. «Конечно, следует быть готовым к любым неожиданностям и максимально обезопасить себя от возможных рисков, – сказал Чейни Reuters. – Что касается [потенциального] воздействия на других людей, то, на мой взгляд, президент и вице-президент находятся в исключительных обстоятельствах».
Одним из поводов к проверке послужило исследование известного хакера Джека Барнаби. Тщательно проработав вопрос безопасности медтехники, компьютерщик заявил, что в состоянии получить контроль над системой беспроводной связи, посредством которой имплантированный кардиостимулятор и дефибриллятор подключаются к прикроватным мониторам.
Его метод позволял дистанционно запрограммировать стимулятор на сбой. Выводы своего исследования 34-летний компьютерщик представил в конце 2012 года на конференции BreakPoint в Мельбурне. Спустя год, незадолго до планировавшегося выступления на конференции Black Hat по компьютерной безопасности, Барнаби умер, отравившись смесью героина, кокаина и рецептурных лекарств.