Медицина на линии огня: чем грозит взлом больницы

Новости Спецпроекты

Обычно мы идем в больницу в скептическом настроении, но в конечном итоге все равно доверяем свое здоровье врачам: все-таки их много лет учили, прежде чем дать в руки скальпель и стетоскоп и пустить лечить людей. Точно так же мы «по умолчанию» доверяем инженерам и программистам, разработавшим медицинское оборудование, а также системным администраторам, его настроившим. А вот их, скорее всего, учили не так долго.

На SAS 2016 Сергей Ложкин рассказал, как взломал клинику своего друга, что он там нашел и к чему такой взлом может привести

При этом медицинское оборудование, установленное в современных клиниках, год от года становится все сложнее. К тому же его все больше — медицину, как и все вокруг нас, настигла неизбежная и тотальная компьютеризация. Огромное количество всевозможных приборов и датчиков, подключенных к общей сети, требуют все более сложного программного обеспечения. Поскольку информационная безопасность не входит в число главных приоритетов для разработчиков медицинского ПО, в нем неизбежно находятся дыры. А где дыры, там и взлом. Но чем это может грозить?

Что плохого во взломе больницы?

На самом деле много чего. Начнем с того, что киберпреступники могут просто воспользоваться уязвимостями в ПО, чтобы украсть данные о пациентах или заразить сеть больницы каким-нибудь трояном — это в лучшем случае.

Ну а если вам сильно не повезет, они могут изменить какие-нибудь данные в электронной карте: превратить здорового человека в больного, изменить результаты анализов или подправить дозировку лекарств, что может серьезно навредить пациенту.

Еще они могут задать неверные параметры и сломать какой-нибудь дорогостоящий прибор. Или с помощью все тех же неверных настроек нанести непоправимый вред человеку, пришедшему на процедуры.

От слов — к делу

Но довольно теоретических рассуждений, перейдем к практике. На Security Analyst Summit 2016 Сергей Ложкин, эксперт «Лаборатории Касперского», рассказал о том, как была взломана медицинская клиника.

На SAS 2016 Сергей Ложкин рассказал, как взломал клинику своего друга, что он там нашел и к чему такой взлом может привести

Однажды Сергей использовал Shodan (это система для поиска по Интернету вещей) и натолкнулся на оборудование, установленное в одной больнице. Посмотрев на ее адрес, он понял, что знает эту больницу — в ней работает его друг. Сергей Ложкин сообщил другу о найденном, и в результате друзья решили провести тест на проникновение и выяснить, можно ли каким-то образом взломать клинику извне.

Согласно уговору, никто не знал о грядущем испытании, кроме администрации медучреждения и самого Сергея. Руководство позаботилось о том, чтобы «взломщик» никак не смог навредить реальным пациентам. Хакнуть клинику в удаленном режиме у Сергея не получилось, так как оборудование было настроено правильно. Зачет системным администраторам!

На SAS 2016 Сергей Ложкин рассказал, как взломал клинику своего друга, что он там нашел и к чему такой взлом может привести

Однако, когда Сергей подъехал к клинике, выяснилось, что там есть Wi-Fi-сеть, и вот ее-то настроили недостаточно безопасно. Взломав ключ, Сергей проник во внутреннюю сеть больницы и получил доступ ко всему, что в ней было.

Помимо устройств для хранения и обработки данных к этой же сети был подключен томограф, до которого в результате добрался Сергей. На устройстве обнаружилось большое количество данных о разных пациентах (настоящие данные реальных клиентов клиники не были скомпрометированы — об этом опять же предварительно позаботилось руководство).

На SAS 2016 Сергей Ложкин рассказал, как взломал клинику своего друга, что он там нашел и к чему такой взлом может привести

При помощи уязвимости в архитектуре приложения Сергей получил доступ к файловой системе и, соответственно, ко всем данным. Если бы на месте Сергея был злоумышленник, он мог бы сделать практически что угодно: подменить, украсть или уничтожить данные — или даже вывести из строя дорогостоящий томограф.

В качестве временной меры Сергей посоветовал другу найти хорошего системного администратора, который не будет подключать к общей сети такое важное устройство, как томограф. Но на самом деле такой подход — только временная мера. Проблема лежит несколько глубже: создатели томографа должны были сами позаботиться о том, чтобы его было невозможно взломать.

Кто виноват и что делать?

Доклад Сергея Ложкина наглядно иллюстрирует, насколько важна кибербезопасность для медицинского оборудования. Есть две группы людей, которым следует принять это во внимание, а именно производители медицинских приборов и управляющие клиниками.

Первым стоит уделять больше внимания исследованию безопасности своих устройств — поиску уязвимостей и написанию патчей.

Вторым — заботиться о том, чтобы устройства из критической инфраструктуры не светились в публичных сетях.

И всем им необходимо проводить аудит кибербезопасности. Для клиник это тесты на проникновение — вроде того, что сделал Сергей. Ну а для производителей — разносторонние тесты на безопасность, проводимые как до выпуска устройства на рынок, так и после.