Urządzenia ratujące życie podatne na ataki hackerskie
Wtorek, 6 czerwca 2017 (12:00)
Rozruszniki serca, pompy insulinowe, automatyczne dozowniki leków posiadają w swoim oprogramowaniu tak istotne luki iż mogą stać się celem ataku hackerskiego – twierdzą brytyjscy specjaliści bezpieczeństwa.
Wszystko zaczęło się od ułatwienia pracy i życia nie tylko pacjentom, ale także producentom i serwisowi urządzeń medycznych ratujących życie - powiedzieli BBC Billy Rios i dr Jonathan Butts, analitycy z firmy bezpieczeństwa Whitescope. Dla lepszego serwisowania, możliwości wgrywania poprawek oraz oceny stanu pacjenta w czasie rzeczywistym, urządzeniom tym zainstalowano moduły Wi-Fi czyli "usieciowiono" je. Jednak oprogramowanie pozostało to samo - bez żadnych nawet najprostszy mechanizmów bezpieczeństwa, jak login i password, z firmware dostępnym od razu po włamaniu. Nie istniał też żaden mechanizm autoryzacji sieciowej.
Oprogramowania w dodatku, nie przetestowano, ani nawet nie przejrzano pod kątem bezpieczeństwa IT. Tymczasem badacze znaleźli w nim około 8000 poważnych luk, których wykorzystanie mogło spowodować całkowite przejęcie kontroli nad urządzeniem. Według Riosa, niewielkie rozmiary i stosunkowo niska wydajność układów procesorowych implantów powodują, że wprowadzenie zabezpieczeń może być trudne, jednak jest konieczne. Autorzy przedstawili swoje wnioski Department of Homeland Security, nadzorującemu firmy wytwarzające urządzenia medyczne w USA.
Z kolei badanie analityków firmy Synopsys, objęły niemal wszystkie urządzenia medyczne. Jak stwierdziła analityk firmy dr Larry Ponemon, 49 proc. ich producentów nie stosuje się do zaleceń US Food and Drug Administration i nie wprowadza mechanizmów bezpieczeństwa do urządzeń medycznych, zaś jedynie 17 proc. wdraża jakiekolwiek rozwiązania bezpieczeństwa, a 9 proc. testuje je pod tym względem co roku. Podobne testy organizuje co roku tylko 5 proc. instytucji medycznych. Przyczyną jest brak wiedzy o programowaniu, presja czasu zakładająca iż nowe urządzenie jak najszybciej trzeba wprowadzić na rynek oraz nieuniknione błędy w kodowaniu.
MM
