Фраза «Взломанные медицинские приборы» идеально подходит для пугающих новостных заголовков. Дик Чейни распорядился о внесении изменений в его кардиостимулятор, чтобы лучше защитить его от хакеров. Прошлой осенью компания Джонсон & Джонсон предупредила клиентов об ошибке безопасности в одной из своих инсулиновых помп. Компания St. Jude потратила месяцы на борьбу с уязвимостями некоторых моделей дефибрилляторов, кардиостимуляторов и других медицинских электроприборов. Можно подумать, что сейчас компании, выпускающие медицинские устройства, извлекли уроки касательно реформы в сфере безопасности. Эксперты предупреждают, что этого не произошло.
Поскольку хакеры все чаще используют имеющиеся недостатки встроенных приборов, защита медицинских устройств приобрела новую актуальность на двух фронтах. Необходимо защитить пациентов, так чтобы злоумышленники не смогли взломать инсулиновую помпу для ввода смертельной дозы. Кроме того, уязвимые медицинские устройства подключаются к огромному множеству датчиков и мониторов, что превращает их в потенциальные точки входа в крупные больничные сети. Это, в свою очередь, может означать кражу конфиденциальных медицинских записей, или атаку вымогателей , заложником которых становится система жизнеобеспечения пациентов.
«Ситуация с вымогательством в корне изменилась», — говорит Эль Кабрера, главный директор службы кибербезопасности компании Trend Micro. «Вы можете оказаться в ситуации выбора между жизнью и смертью».
Интернет здравоохранения
Атаки на встроенные медицинские устройства запоминаются, потому что носят личный характер. Вряд ли вы захотите, чтобы преступники получили удаленный доступ к устройству, расположенному в вашем теле или под кожей. К сожалению, многие виды этих устройств уязвимы для атак. Например, в декабрьском исследовании нового поколения имплантируемых сердечных дефибрилляторов, британские и бельгийские исследователи обнаружили недостатки безопасности коммуникационных протоколов.
Медицинские устройства с такими функциями, как беспроводное подключение и удаленный мониторинг, позволяют медикам настраивать их работу без инвазивных процедур. Это очень хорошо. Но эти удобства также создают потенциальные точки для внешнего воздействия. И наличие собственного кода означает, что требуется тщательное обратное проектирование (как это было сделано в случае с имплантируемыми сердечными дефибрилляторами) для тех, кто желает оценить безопасность устройства или обнаружить недостатки.
Учитывая распространенность подключенных медицинских устройств, есть много возможностей для внешнего воздействия. В то время, как встроенные устройства привлекают к себе пристальное внимание, возникает все больше возможностей для внешнего воздействия на приборы обеспечения медицинского ухода, и тем выше становится риск потенциальной опасности в отрасли здравоохранения. В настоящее время в американских больницах на каждую кровать приходится в среднем от 10 до 15 подключенных устройств.
«Мы склонны думать, здравоохранение очень консервативно, что оно очень медленно развивается из-за правил и обязательств, но по причине многочисленных преимуществ подключенных устройств в больницах появляется все больше таковых», — говорит Мэй Ван, главный директор по технологиям компании Zingbox. «За последние три года сектор здравоохранения подвергался хакерским атакам чаще, чем финансовый. И все чаще хакеры нацелены на медицинские устройства». Отчасти это происходит потому, что есть множество устройств, являющихся легкой мишенью.
Атаки на медицинские устройства становятся все более изощренными
В отличие от компьютеров и серверов, на которых установлено антивирусное программное обеспечение и другие проверки безопасности «конечной точки», роль устройств Интернета Вещей в сетевой безопасности до сих пор не до конца понята и оценена. Это делает их уязвимыми к компромиссу. Один из используемых в настоящее время эксплойтов, известный под именем MedJack, действует по следующему принципу: злоумышленники вводят вредоносное ПО в медицинские устройства, чтобы затем распространить его по всей сети. Медицинские данные, полученные в результате таких атак, могут быть использованы для мошенничества или кражи личных данных, для отслеживания активных рецептов на получение лекарственных средств, что позволяет хакерам заказывать лекарства в Интернете и затем продавать их в «темной паутине».
Хакерские атаки становятся все более изощренными. Компания TrapX отмечает, что эксплойт MedJack намеренно использует старое вредоносное ПО, нацеливая свои атаки на медицинские устройства, работающие на основе устаревших операционных систем, таких как Windows XP и Windows Server 2003. Атакуя устаревшие технологий, хакеры могут избежать быстрого обнаружения, поскольку другие устройства в сети, работающие на основе новых операционных систем, не отмечают подозрительной активности. Эти новые сервисы уже автоматически классифицируют устаревшие вредоносные программы как незначительные угрозы.
«Каждый раз, когда мы приходим в медицинское учреждение, чтобы продемонстрировать наш продукт, мы, к сожалению, обнаруживаем, что и эта организация уже пала жертвой MedJack», — говорит вице-президент по маркетингу компании TrapX, Энтони Джеймс. «Большинство из организаций не имеют об этом ни малейшего представления, потому что никто не следит за медицинскими устройствами на предмет наличия зловредов. Никто не рассматривает медицинские устройства как средство для более серьезной атаки».
После того, как хакеры получили доступ к сети, они могут использовать свое положение для различного рода сетевых атак. Все более популярным выбором становится вымогательство, поскольку хакеры могут получить быструю и щедрую единоразовую выплату. Во время многих атак используется традиционный метод шифрования цифровых данных и удержания их в заложниках. Но новая волна атак использует другой подход – отключение доступа к цифровым системам, а затем требование выкупа в обмен за восстановление доступа и функционирования в нормальном режиме. В прошлом году, в время печально известной атаки на голливудский пресвитерианский медицинский центр , компьютеры находились в режиме «офф-лайн» в течение недели. А во время атаки на германскую больницу , случившуюся примерно в то же время, была отключена электронная почта, что вынудило сотрудников больницы снова использовать бумагу и факсимильный аппарат. Во время подобных атак больницы не только рискуют потерять деньги, но и критически важные ресурсы для поддержания жизни пациентов.
Заставь это работать
Как и в случае с другими устройствами Интернета Вещей, существует два способа для исправления ситуации с безопасностью медицинских устройств. Во-первых, медицинские устройства, такие как часы и приборы для мониторинга, которые присутствовали на рынке в течение многих лет, нуждаются в защите, такой как сканирование безопасности и применение простого механизма для загрузки патчей и обновлений. Заглядывая вперед, необходимо также создать стимул для включения надежных средств защиты медицинских устройств уже на уровне производства. Многие производители либо игнорируют безопасность на ранних стадиях планирования, либо полагаются на сторонние компоненты, которые сами по себе могут быть уязвимыми.
К счастью, в этом вопросе уже достигнут некоторый прогресс. Администрация Пищевых Продуктов и Медикаментов начала более серьезно относиться к кибербезопасности устройства, превратив его в один из критериев для одобрения продукта. Руководство, изданное FDA, в значительной степени основано на системе улучшения критической инфраструктуры кибербезопасности , разработанной Национальным Институтом Стандартов и Технологий. NIST в настоящее время работает над поправками, а также выпустил отдельный документ , детализирующий фундаментальный подход к разработке безопасных и надежных цифровых систем. Пока он не имеет юридической силы, но это только начало.
«Если люди захотят принять руководство, это может возыметь драматический эффект на надежность любой системы, начиная от небольшого смартфона и заканчивая медицинскими устройствами и промышленными системами управления», — говорит Рон Росс, один из авторов NIST. «Это может сделать медицинские устройства более надежными, поскольку руководство, представленное в документе, помогает устранить уязвимости, которые могут быть использованы хакерами случайно или намеренно».
Все зависит от этого «если»…
«Конечно, это вовсе не говорит, что обеспечение безопасности не является обязательным», — говорит Шварц. «Если производитель решит выбрать альтернативный подход [к реализации безопасности], то он сможет это сделать, но это вовсе не говорит о том, что идея обеспечения безопасности не является обязательной».
Но даже при условии применения мер безопасности, становится понятно, что обеспечение защиты уже существующих устройств и ввод в работу новых, более защищенных – это постепенный процесс. В то же время, отрасль здравоохранения в целом остается открытой для атак, так же как и ее пациенты.