8 апреля 2016

Здравоохранение и кибербезопасность: клиники удручающе уязвимы

Бизнес

Общественные исследования не сродни паникёрству, однако некоторые новости в сфере кибербезопасности могут вызывать чувство неловкости. Так и получилось в случае с полевым отчётом Центра глобальных исследований и анализа (GReAT) «Лаборатории Касперского» по безопасности ИТ-систем больниц. Как вы уже, наверное, догадались, ситуация не слишком обнадёживает.

Повод для проведения данного исследования чисто практический. Как пишет эксперт GReAT Сергей Ложкин в своем отчёте на Securelist, 2016 год начался с ряда киберинцидентов, связанных со взломами клиник и медицинского оборудования.

«2016 год начался значительным числом инцидентов, связанных со взломом больниц и медицинского оборудования. Среди них – атака на больницу в Лос-Анжелесе с применением программы-вымогателяаналогичные атаки на две немецких больницы, взлом исследователями в области безопасности монитора, с помощью которого контролируется состояние пациента, и системы раздачи лекарств, атака на больницу в Мельбурне … — список можно продолжить. Все эти инциденты произошли в первые два месяца 2016 года! Представителям индустрии безопасности есть о чем задуматься», — пишет Ложкин.

Вот уж действительно.

main

Этого следовало ожидать

К сожалению, такое развитие событий не удивляет. Больницы являются очень привлекательными мишенями для киберпреступников: море информации, в том числе личные данные пациентов, а также множество подключённых к интернету устройств, включая специализированное медицинское оборудование, а не только ПК и гаджеты обслуживающего персонала и больных.

Исследование Сергея Ложкина доказало, что злоумышленники могут получить полный доступ ко всей медицинской инфраструктуре.

«Представьте себе сценарий – его без преувеличения можно назвать целевой атакой, – при котором киберпреступники, имеющие неограниченный доступ к медицинской инфраструктуре определенного лечебного учреждения, получают возможность манипулировать результатами, выдаваемыми диагностическим оборудованием, или настройками устройств, применяемых при лечении пациентов. Поскольку врачи зачастую полагаются на корректную работу этих сложных медицинских систем, подобные манипуляции могут привести к неправильному лечению пациента, таким образом способствуя ухудшению его состояния.».

Если это звучит как сценарий для какого-нибудь фантастического фильма вроде «Миссия невыполнима», то с сожалением приходится констатировать, что в действительности данная ситуация весьма реалистична.

На прошлом Security Analyst Summit Сергей Ложкин представил своё исследование, показывающее, насколько легко найти больницу, получить доступ в её внутренние сети и захватить контроль над аппаратом МРТ — обнаружить персональные данные о пациентах и ​​их лечебных процедурах, а затем получить доступ к файловой системе томографа.

«Проблема не только в слабой защите медицинского оборудования, она гораздо шире: вся IT-инфраструктура современных больниц плохо организована и защищена, и эта проблема существует во всем мире», — говорит Ложкин.

Его доклад на Securelist см. здесь.

Ниже представлено 10-минутное видео интервью с г-ном Ложкиным о его презентации на SAS 2016 года.

Интернет страшных вещей

Истоки этой проблемы довольно знакомы: в свете зарождения индустрии интернета вещей, означающей, что чуть ли не каждое новое электрическое и электронное устройство по какой-нибудь причине получает доступ в сеть, кибербезопасность (по-прежнему) не воспринимается как конкурентное преимущество.

Современные медицинские устройства на деле представляют собой полнофункциональные компьютеры с операционными системами и установленными приложениями. Эти устройства и их программное обеспечение разрабатываются с учётом их основного назначения (т.е. для лечения), но об аспектах кибербезопасности часто забывают.

Это крайне характерно для всей отрасли IoT: то же самое наблюдалось и ранее в случае с автомобилями и их информационно-развлекательными системами.

Однако в случае медицинского оборудования уровень опасности даже выше, чем у автомобилей, и для атаки на него не требуется большой изощрённости.

Как продемонстрировал г-н Ложкин, для этого достаточно поисковой системы Shodan, которая позволяет обнаружить тысячи медицинских устройств, доступных — во всех смыслах — по интернету.

«…Хакер способен обнаружить МРТ-сканеры, кардиологическое оборудование, устройства, использующие источники радиоактивного излучения, и другое подключенное к интернету оборудование. Многие из этих устройств работают под управлением операционной системы Windows XP и имеют десятки неисправленных старых уязвимостей, позволяющих удаленно полностью взломать систему. Более того, в некоторых случаях на этих устройствах используются без изменения установленные по умолчанию пароли, которые легко найти в инструкциях, опубликованных в интернете», — пишет Сергей Ложкин.

Да, «дефолтные» пароли. Да, на оборудовании, от которого могут зависеть жизни пациентов. Потому что — «Ну кому вообще понадобится взламывать томограф?»…

Ложкин также указывает, что эти устройства также не защищены от несанкционированного доступа из локальных сетей и вдобавок содержат свою долю уязвимостей в программном обеспечении.

Пренебрежение самими основами безопасности — что разработчиками оборудования, что пользователями или и теми, и другими, — превращается в проблему грандиозного масштаба и гомерических последствий, если худший сценарий развития событий станет реальностью. Даже если не будет никакого серьёзного вреда здоровью пациентов, с точки зрения бизнеса «взламываемость» медицинского оборудования и инфраструктуры больниц тоже представляет собой огромный репутационный риск.

Специалисты «Лаборатории Касперского» рекомендуют принять следующие меры по защите клиник от несанкционированного доступа:

  • Используйте надёжные пароли для защиты всех внешних точек подключения;
  • Обновите политики ИТ-безопасности, выработайте принципы своевременного патч-менеджмента и оценки уязвимостей;
  • Защитите приложения медицинского оборудования в локальной сети паролями на случай несанкционированного доступа к доверенную зону;
  • Защитите инфраструктуру от таких угроз, как вредоносные программы и хакерские атаки, с помощью надёжного решения кибербезопасности;
  • Обеспечьте резервное копирование важной информации на регулярной основе и храните резервную копию в офлайне.