Понимаете, что самое приятное в регулярных теоретических беседах о надвигающемся киберапокалипсисе (а-ля «цифровое 11 сентября»)? Растревоженные вероятными последствиями, непременно власти, граждане и производители начинают шевелиться и закрывать страшные места в гражданской ИТ-инфраструктуре. В июне этим занималось американское здравоохранение: минздрав Соединённых Штатов (он же Управление по контролю за медикаментами и пищевыми продуктами, он же FDA) официально советовал производителям медицинских устройств и медучреждениям привести защитные механизмы цифрового оборудования в соответствие с реалиями дня. Это пока не требование, лишь совет, но в интересах всех участников рынка здравоохранения – принять посоветованный к сведению. По причине того, что FDA зашевелилось не просто так, а опираясь на факты, предоставленные министерством внутренней безопасности и экспертами по ИТ-безопасности из частного сектора, отыскавшими множество уязвимостей в широком спектре медицинских устройств.
Цифры впечатляют: специалисты говорят об уязвимостях в сотнях устройств от десятков производителей. Это и не имеющие «прямого доступа к телу» информационно-справочные совокупности для поликлиник и лабораторные комплексы с целью проведения анализов, и конкретно контактирующие с человеком мониторы жизнедеятельности, устройства для анестезии, операций , управляемые капельницы, вентиляторы лёгких, внешние дефибрилляторы. А также вживляемые либо носимые устройства наподобие инсулиновых помп, кардиостимуляторов и пр. В общем и целом в развитых государствах в среднем каждая вторая железка на рынке медоборудования сейчас есть цифровой, другими словами по сути компьютером (отражается и тенденция BYOD: доктора тянут на смартфоны и рабочее место планшетки из дома, да и вендоры всё чаще применяют их в качестве базы). И, в отличие от PC, данный рынок не болеет: на следующие пять лет аналитики обещают ему 7 процентов ежегодного роста.
Возможность дистанционного перехвата управления с последующим переводом в смертельно страшные режимы работы инсулиновых кардиостимуляторов и помп уже показана несколькими исследователями в последние четыре года. К счастью, этим до тех пор пока интересуются лишь учёные
Соединённые Штаты занимают половину мирового рынка медицинского железа, так что, конечно, FDA не раскрывает ни имён «провинившихся» вендоров, ни названий устройств с распознанными уязвимостями, ни тем более подробностей относительно того, как эти уязвимости возможно применять. в наше время опубликовать такие вещи не принято, чтобы не соблазнять желающих поэкспериментировать (так же и с машинами, так же и с банкоматами, и по большому счету). Вопрос решается в частном порядке: регулятор либо специалисты информируют подробности каждому производителю лично. Для обывателя рисуют лишь неспециализированную картину: вредоносный софт и вирусы уже передают медицинское оборудование, попадая на него из интернета и с персоналок, и ежегодно сейчас регистрируются много таких инцидентов. К счастью, пока обходилось без смертей и по большому счету без ущерба здоровью, но, возможно, лишь вследствие того что публика в целом и тёмные хакеры в частности понятия не имеют, что за пределами вселенной PC существует параллельная вселенная цифровых медицинских устройств со не сильный либо отсутствующей защитой.
До тех пор пока медицинский сектор остаётся вне поля зрения взломщиков, случайные заражения вирусами и малварью приводят максимум ко временному выходу оборудования из строя либо утечкам персональных данных. Но расслабляться не следует: когда цифровую заразу начнут писать намерено «для медицины», будут и смерти, тем более что возможностей причинить человеку вред чрезмерной терапией предостаточно.
Неосведомлённость кракеров разъясняется легко: медицинские устройства дороги да и продаются не всем. Это ограничивает круг клиентов специалистами от медицины, но одновременно и расслабляет разработчиков, разрешая им использовать дикие по меркам массового ИТ-рынка ответа (наподобие дефолтовых паролей, самописных криптоалгоритмов, полностью не защищённых от атак коммуникационных модулей и т.п.). Головной болью стало и оборудование, оставшееся со времён, в то время, когда Сеть была ещё в новинку.
Заражения — до тех пор пока случайные — рентгеновских комплексов и установок радиотерапии компьютерными вирусами уже исчисляются десятками. Известны и — снова же случайные — истории с выходом для того чтобы оборудования из строя, в следствии чего больным причинялся — случайный, да — вред. Представьте сейчас, что место случайности займёт тёмный хакер…
Американский минздрав отныне требует производителей, подающих заявки на сертификацию новых устройств, а) иметь в документации пунктик, посвящённый описанию функций защиты от взлома, б) поразмыслить о реализации в новом цифровом оборудовании аналога компьютерного «safe mode», другими словами режима работы, обеспечивающего минимально нужную функциональность в произвольных событиях, в) предусмотреть штатную процедуру «дезинфекции» цифрового устройства, и г) заменить пароли на что-нибудь более надёжное, наподобие биометрии либо смарт-карт.
К сожалению, имеется ещё как минимум два фактора, дающих слово американцам осложнения в борьбе за надёжную «цифровую медицину». Во-первых, правительством выделены огромные деньги на модернизацию медоборудования и оно на данный момент деятельно переводится на цифровые рельсы. Осваивая упавшие с неба средства, никто, конечно, о защите не вспоминает. Но и массовая паника среди врачей и пользователей нежелательна: в случае если каждый второй врач и пациент будут пробовать самостоятельно обезопасисть собственное железо (к примеру, устанавливая на него антивирусы, прецеденты уже были), это само по себе приведёт к апокалипсису.
Держать больных в неведении – также не лучшая мысль. Потому, что больницы и производители вряд ли среагируют оперативно, специалисты советуют пользователям персональных медицинских устройств самим смотреть за тем, дабы те, по крайней мере, не попали в чужие руки. А производителям стоит подготавливаться к нехорошему: ожидается, что тема защиты медицинского железа от цифровых угроз обозримой перспективе потребует беспрецедентных временных и финансовых затрат. Увы, за сложность приходится платить.
В статье использованы иллюстрации Tom Page, Alden Chadwick.