IT-рынок
IT-рынок
Незащищённая медтехника вредит вашему здоровью: минздрав США требует оградить пациентов от киберугроз
Евгений Золотов
Опубликовано 21 июня 2013
Знаете, что самое приятное в регулярных теоретических разговорах о надвигающемся киберапокалипсисе (а-ля «цифровое 11 сентября»)? Растревоженные возможными последствиями, рано или поздно власти, производители и граждане начинают шевелиться и прикрывать опасные места в гражданской ИТ-инфраструктуре. В начале лета этим занималось американское здравоохранение: минздрав Соединённых Штатов (он же Управление по контролю за пищевыми продуктами и медикаментами, он же FDA) официально рекомендовал производителям медицинских устройств и медучреждениям привести защитные механизмы цифрового оборудования в соответствие с реалиями дня. Это пока не требование, только рекомендация, но в интересах всех участников рынка здравоохранения — принять данный совет к сведению. Потому что FDA зашевелилось не просто так, а опираясь на факты, предоставленные министерством внутренней безопасности и специалистами по ИТ-безопасности из частного сектора, нашедшими множество уязвимостей в широком спектре медицинских устройств.
Цифры впечатляют: эксперты говорят об уязвимостях в сотнях устройств от десятков производителей. Это и не имеющие «прямого доступа к телу» информационно-справочные системы для больниц и лабораторные комплексы для проведения анализов, и непосредственно контактирующие с человеком мониторы жизнедеятельности, устройства для анестезии, хирургических операций, управляемые капельницы, вентиляторы лёгких, внешние дефибрилляторы. И даже вживляемые или носимые приборы вроде инсулиновых помп, кардиостимуляторов и пр. В общем и целом в развитых странах в среднем каждая вторая железка на рынке медоборудования сегодня является цифровой, то есть по сути компьютером (сказывается и тенденция BYOD: врачи тянут на рабочее место планшетки и смартфоны из дома, да и вендоры всё чаще используют их в качестве основы). И, в отличие от PC, этот рынок не болеет: на следующие пять лет аналитики обещают ему 7 процентов ежегодного роста.
Возможность дистанционного перехвата управления с последующим переводом в смертельно опасные режимы работы инсулиновых помп и кардиостимуляторов уже продемонстрирована несколькими исследователями в последние четыре года. К счастью, этим пока интересуются только учёные
Соединённые Штаты занимают половину мирового рынка медицинского железа, так что, естественно, FDA не раскрывает ни имён «провинившихся» вендоров, ни названий устройств с выявленными уязвимостями, ни тем более деталей относительно того, как эти уязвимости можно использовать. Нынче обнародовать такие вещи не принято, дабы не искушать желающих поэкспериментировать (так же и с автомобилями, так же и с банкоматами, и вообще). Вопрос решается в частном порядке: регулятор или эксперты сообщают подробности каждому производителю лично. Для обывателя рисуют только общую картину: вирусы и вредоносный софт уже заражают медицинское оборудование, проникая на него из интернета и с персоналок, и каждый год теперь регистрируются сотни таких инцидентов. К счастью, пока обходилось без смертей и вообще без ущерба здоровью, но, вероятно, только потому, что публика в целом и чёрные хакеры в частности понятия не имеют, что за пределами вселенной PC существует параллельная вселенная цифровых медицинских устройств со слабой или отсутствующей защитой.
Пока медицинский сектор остаётся вне поля зрения взломщиков, случайные заражения вирусами и малварью приводят максимум ко временному выходу оборудования из строя или утечкам персональных данных. Но расслабляться не стоит: как только цифровую заразу станут писать специально «для медицины», будут и смерти, тем более что возможностей причинить человеку вред чрезмерной терапией предостаточно.
Неосведомлённость кракеров объясняется просто: медицинские устройства дороги да и продаются не всем. Это ограничивает круг покупателей профессионалами от медицины, но одновременно и расслабляет разработчиков, позволяя им применять дикие по меркам массового ИТ-рынка решения (вроде дефолтовых паролей, самописных криптоалгоритмов, абсолютно не защищённых от атак коммуникационных модулей и т.п.). Головной болью стало и оборудование, оставшееся со времён, когда Сеть была ещё в диковинку.
Заражения — пока случайные — рентгеновских установок и комплексов радиотерапии компьютерными вирусами уже исчисляются десятками. Известны и — опять же случайные — истории с выходом такого оборудования из строя, в результате чего пациентам причинялся — случайный, да — вред. Представьте теперь, что место случайности займёт чёрный хакер…
Американский минздрав отныне просит производителей, подающих заявки на сертификацию новых устройств, а) иметь в документации пунктик, посвящённый описанию функций защиты от взлома, б) подумать о реализации в новом цифровом оборудовании аналога компьютерного «safe mode», то есть режима работы, гарантирующего минимально необходимую функциональность в любых обстоятельствах, в) предусмотреть штатную процедуру «дезинфекции» цифрового устройства, и г) заменить пароли на что-нибудь более надёжное, вроде биометрии или смарт-карт.
К сожалению, есть ещё как минимум два фактора, обещающих американцам осложнения в борьбе за безопасную «цифровую медицину». Во-первых, правительством выделены огромные деньги на модернизацию медоборудования и оно сейчас активно переводится на цифровые рельсы. Осваивая свалившиеся с неба средства, никто, естественно, о защите не задумывается. Однако и массовая паника среди пользователей и врачей нежелательна: если каждый второй врач и пациент будут пытаться самостоятельно защитить своё железо (например, устанавливая на него антивирусы, прецеденты уже были), это само по себе приведёт к апокалипсису.
Держать пациентов в неведении — тоже не лучшая идея. Поскольку производители и больницы вряд ли среагируют оперативно, эксперты рекомендуют пользователям персональных медицинских устройств самим следить за тем, чтобы те, по крайней мере, не попали в чужие руки. А производителям стоит готовиться к худшему: ожидается, что тема защиты медицинского железа от цифровых угроз в обозримом будущем потребует беспрецедентных временных и денежных затрат. Увы, за сложность приходится платить.
В статье использованы иллюстрации Tom Page, Alden Chadwick.
К оглавлению
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
IT-рынок
IT-рынок Программист на 3 миллиона: к вопросу о недостатках работы за рубежом Евгений Золотов Опубликовано 24 января 2014 Мода на сравнение работы программиста в России и за рубежом (в частности в Соединённых Штатах) за последние годы незаметно
IT-рынок
IT-рынок Интернет-век наступил и в рекламе! Михаил Ваннах Опубликовано 16 апреля 2014 Технологические эпохи – которые и определяют жизнь человечества – не совпадают с календарными датами. «Настоящий ХХ век», с его крушением традиционных обществ, с
IT-рынок
IT-рынок BlackBerry всё Евгений Золотов Опубликовано 24 сентября 2013 «Когда умирают тираны, в первый момент наступает замешательство: возможно ли это, неужто и они состоят из смертных молекул?»Это сказано про человека, не про компанию. Но именно эти
IT-рынок
IT-рынок Intel уходит с рынка решений для бизнес-аналитики Андрей Васильков Опубликовано 28 марта 2014 Руководство компании Intel решило прекратить самостоятельную разработку программных средств для бизнес-аналитики. Вероятная причина в том, что,
IT-рынок
IT-рынок Почему цимес, который нашел Карл Икан в Apple, Тиму Куку совсем не нахес Сергей Голубицкий Опубликовано 28 января 2014 Карл Икан«Кое-кто богатеет на изучении искусственного интеллекта. Ну а я зарабатываю деньги на изучении природной тупости».
IT-рынок
IT-рынок Андроид как король десктопа: ваш следующий ПК будет с зелёным человечком на боку Евгений Золотов Опубликовано 19 июля 2013 На протяжении последних пятнадцати лет рынок персональных компьютеров был ареной борьбы всего трёх платформ.
IT-рынок
IT-рынок Насколько глупа шумиха вокруг «умных» часов? Андрей Письменный Опубликовано 30 апреля 2013 В шестнадцатом веке баварскими мастерами был изобретён первый настоящий персональный гаджет в истории человечества — наручные часы.
IT-рынок
IT-рынок Сатья Наделла: Microsoft станет облачной компанией Игорь Емельянов Опубликовано 18 февраля 2014 Есть на ИТ-рынке такие компании, чьи действия волей-неволей обсуждают все остальные. При этом компания может, как и доселе, продолжать продавать свой
IT-рынок
IT-рынок Что нашли в могильнике Atari, или Тридцать лет Великому краху видеоигр Евгений Золотов Опубликовано 28 апреля 2014 Начиная неделю, всегда стараешься отыскать тему яркую, резонансную. Но в этот раз такая тема была — буквально! — найдена на помойке. В минувшие выходные
IT-рынок
IT-рынок Любопытной Варваре… или Почему никто не даст по носу Gmail и Facebook, торгующим нашим исподним? Евгений Золотов Опубликовано 10 сентября 2013 Виной ли тому обострённая Эдвардом Сноуденом хроническая потребность оградить свою жизнь и имя от чужих
IT-рынок
IT-рынок Жизнь после Tor’а: неизбежность пришествия систем кибернаблюдения и возможные последствия для бизнеса Михаил Ваннах Опубликовано 19 августа 2013 В конце прошлой недели интересную вещь сообщила российская пресса – «ФСБ готовит закон против
IT-рынок
IT-рынок Две волны: Как можно, хотя бы приблизительно, разложить драматические процессы в ИТ-отрасли Михаил Ваннах Опубликовано 20 апреля 2013 С ИТ-рынка пачками – будто их выплёвывает заморская самозарядка M1 Garand – приходят скорбные вести. Рынок
IT-рынок
IT-рынок Российский стартап обещает покончить с роумингом и офлайном с помощью спутников Андрей Васильков Опубликовано 25 апреля 2014 Российско-гонконгская компания Yaliny обещает наладить для всех людей мобильную жизнь без роуминга и офлайна. На
IT-рынок
IT-рынок Как быть с корпоративным консерватизмом, если государство «принуждает» к инновациям Вадим Сухомлинов, руководитель направления стратегического развития бизнеса Intel в России и странах СНГ Опубликовано 14 февраля 2013 Инновационное
IT-рынок
IT-рынок Рекламные войны: как Google провоцирует пользователей Андрей Васильков Опубликовано 18 марта 2013Компания Google удалила из своего каталога приложений для ОС Android все программы, блокирующие рекламу. Среди самых известных перечисляются AdBlock Plus, AdAway и AdFree. Все они