20/06/2016

Inne oblicze chorowania: sprzęt medyczny jest podatny na ataki hakerów

Informacje Zagrożenia

Niemal każdy cyberatak ma ten sam cel — zdobycie czyichś pieniędzy. Jednak ponieważ coraz więcej urządzeń ma dostęp do internetu, ich luki mogą prowadzić do poważniejszych konsekwencji niż utrata pieniędzy, bo związanych z ludzkim zdrowiem i życiem.

getting-sick-featured

Weźmy na przykład połączone samochody — to idealny przykład na to, jak maszyna może stwarzać zagrożenie dla życia. Jeśli osoba, która nie posiada czystych intencji, przejmie kontrolę nad autem, które jeździ samo, może z łatwością doprowadzić do wypadku. Jednak narażone jest także inteligentne wyposażenie medyczne: urządzenia z zasady dbające o nasze zdrowie mogą także zostać użyte w celach zupełnie przeciwnych.

Do dziś jeszcze nic nie słyszeliśmy o przypadkach zhakowania wyposażenia medycznego, które miały bezpośredni skutek na zdrowie człowieka. Jednak eksperci regularnie wynajdują nowe luki w urządzeniach medycznych, w tym takie, które mogłyby zostać użyte do wyrządzenia poważnej krzywdy fizycznej.

Ponieważ istnieje różnica między kradzieżą pieniędzy a fizycznym krzywdzeniem ludzi, ktoś może mieć nadzieje, że hakerzy powstrzymają się od podjęcia takich drastycznych kroków z powodów etycznych. Niestety bardziej prawdopodobne jest to, że przestępcy nie hakują urządzeń medycznych tylko dlatego, że (jeszcze) nie wiedzą, jak czerpać z nich korzyści.

W rzeczywistości byliśmy już świadkami sytuacji, w których cyberprzestępcy atakowali szpitale przy użyciu trojanów i innych znanych szkodliwych programów. Na przykład na początku tego roku wiele infekcji programami żądającymi okupu dotknęły centra medyczne w Stanach Zjednoczonych, w tym Hollywood Presbyterian Medical Center w Los Angeles.

Za uzyskanie swojej dokumentacji szpital w Los Angeles zapłacił 17 000 dolarów. Jednak gdy Kansas Heart Hospital próbował zrobić to samo, oszuści nie oddali mu plików, lecz zażądali jeszcze więcej pieniędzy. Jak widać, nie można wierzyć, że przestępcy kierują się zasadami etycznymi: ktoś zawsze będzie szczęśliwy, że zaatakuje placówkę medyczną w celu łatwego zarobku.

Sprzęt medyczny przechodzi wymagane kontrole i uzyskuje certyfikaty — ale tylko jako wyposażenie medyczne, a nie jako technologia komputera mającego dostęp do Siebie. Wprawdzie wydawane są wymagania związane ze sferą cybernetyczną, ale pozostają one w kwestii uznania dostawcy. W wyniku tego wiele urządzeń szpitalnych ma wiele luk, od dawna znanych kompetentnym specjalistom IT.

Amerykańska Agencja Żywności i Leków jest odpowiedzialna za sprzedaż i certyfikację urządzeń medycznych. W celu dostosowania maszyn z branży opieki zdrowotnej do realiów ewoluującego środowiska połączonego FDA opublikowała poradniki przeznaczone dla ich producentów i dostawców, nawołując do lepszego zabezpieczania urządzeń medycznych. Na początku 2016 roku opublikowano szkic podobnego dokumentu. Problem jednak w tym, że to wszystko jest tylko doradztwem, a zatem zabezpieczanie urządzeń medycznych, które są krytyczne w ratowaniu życia ludzkiego, wciąż nie jest obowiązkiem.

Śmiertelne zaniedbania

Producenci wyposażenia mogą zwrócić się o pomoc do ekspertów cyberbezpieczeństwa, ale tak naprawdę robią coś dokładnie na odwrót, odmawiając poddania swoich urządzeń testom. Eksperci sami muszą kupić używany sprzęt, aby sprawdzić, jak dobrze jest zabezpieczony. Na przykład Billy Rios, który zna urządzenia połączone na wylot, sporadycznie sprawdza również urządzenia medyczne.

Jakieś dwa lata temu Rios przetestował pompy infuzyjne Hospira, które znajdują się w dziesiątkach tysięcy szpitali na całym świecie. Wyniki były alarmujące: pompy podające leki pozwoliły mu zmienić ustawienia i zwiększyć dawkę leku. W wyniku tego złoczyńcy mogliby spowodować, że pacjenci otrzymywaliby większą lub mniejszą dawkę leku. Jak na ironię, urządzenia te były reklamowane jako bezbłędne.

Kolejnym dziurawym urządzeniem, które odkrył Rios, było Pyxis SupplyStation produkowane przez CareFusion. Maszyny te dozują środki medyczne i ułatwiają prowadzenie konta. W 2014 roku Rios odnalazł lukę, która umożliwiała dowolnej osobie uzyskanie dostępu do systemu.

W 2016 roku Rios jeszcze raz wziął pod lupę Pyxis SupplyStation, tym razem towarzyszył mu kolega Mike Ahmadi, ekspert bezpieczeństwa. W trakcie swoich badań odkryli ponad 1400 luk, z których połowa została uznana za bardzo niebezpieczne. Chociaż o wiele luk oskarżono dostawców zewnętrznych, a eksperci przeanalizowali tylko starszy model Pyxis SupplyStation, luki te wciąż stanowią duże zagrożenie.

 

Chodzi o to, że czas życia tych rozwiązań zbliżał się ku końcowi, ale pomimo ich powszechnego użytkowania dostawcy nie dostarczali stosownych łat. Zamiast tego CareFusion zalecił klientom aktualizację wersji sprzętu. Organizacje, które nie chciały tak postąpić, otrzymały listę porad, jak zmniejszyć ryzyko zhakowania tych systemów.

Aktualizacja starego wyposażenia jest sprawą niełatwą i drogą. Ale na przykład Microsoft porzucił już systemy operacyjne zainstalowane na urządzeniach, pozostawiając je całkowicie dziurawe. Najnowsze wersje the Pyxis SupplyStation działają na systemie Windows 7 lub starszych i nie są podatne na te luki.

Kaspersky Lab także przetestował strefę cybernetyczną szpitali: nasz ekspert Sergey Lozhkin został zaproszony do wzięcia udziału w eksperymencie i zhakowania wyposażenia medycznego, w tym skanera tomograficznego.

Oczywiście był to czysty eksperyment, który nie spowodował żadnej rzeczywistej szkody, a jego celem było pokazanie, jak łatwo przestępcy coś takiego wykonać.

Kogo obwiniać i co należy zrobić?

Życie urządzeń medycznych jest znacznie dłuższe niż życie Twojego smartfona; dla nich dziesiątki lat to wcale nie tak długo. Co więcej, chociaż najnowsze urządzenia są mniej podatne niż te przestarzałe, z czasem i one bez właściwego wsparcia staną się tak dziurawe jak ich starsze odpowiedniki.

Jak wyjaśnia Mike Ahmadi: „Myślę, że rozsądnie by było, gdyby producenci sprzętu medycznego opracowywali dokumentację określającą zakończenie przydatności do użytku danego urządzenia medycznego, a także dokumentację, w której zdefiniowany byłby czas cyberbezpieczeństwa takich urządzeń”.

Zhakowanie Pyxis SupplyStation ma też swoje dobre strony. Chociaż pierwotnie producenci tego sprzętu zignorowali luki wykryte przez Rios, firma została wykupiona przez giganta Becton Dickinson, a nowy zarząd znacznie różni się od poprzedniego, jeśli chodzi o postrzeganie cyberświata. Być może kiedyś firmy będą przywiązywać większą uwagę do zwiększania odporności na luki. I być może będą nawet przeprowadzać masowe testy nowych urządzeń pod kątem potencjalnych luk, zanim zostaną one wprowadzone na rynek.