Болеть вдвойне опасно: больничное оборудование легко взломать

Практически все кибератаки сейчас имеют одну цель — добраться до чьих-нибудь денег. Но по мере того, как к Интернету подключаются все новые устройства, итогом взлома могут стать не только финансовые потери. Взлом может стоить жизни или здоровья.

Яркий пример — напичканные электроникой автомобили. Вмешательство в работу систем машины потенциально способно стать причиной аварии. Другая чувствительная сфера — медицинское оборудование. Устройство, созданное с целью сохранить пациенту здоровье, может быть использовано в прямо противоположных целях.

Стоит признать, что пока о случаях, когда взлом медоборудования нанес реальный вред здоровью, неизвестно. Однако уязвимости в защите медицинских устройств исследователи находят постоянно. В том числе и такие, которые могут действительно серьезно навредить людям.

Хотелось бы верить, что хакеров сдерживают их лучшие человеческие качества: все-таки украсть деньги и подорвать чье-то здоровье — вещи несопоставимые. Но более правдоподобным выглядит другое объяснение: пока взломщики просто не придумали подходящую схему извлечения прибыли из таких атак.

Тем более что инциденты с атаками хакеров на больницы уже происходили. Правда, атаки проводились с помощью обычного инструментария кибервзломщиков, не учитывающего специфику лечебного учреждения. Так, в начале этого года информация на компьютерах Пресвитерианского медицинского центра Голливуда оказалась зашифрована тривиальным троянцем-вымогателем.

Интересная тенденция: за последние годы хакеры стали проявлять гораздо больше интереса к данным пациентов клиник — http://t.co/IRk2G4ImKw

— Kaspersky (@Kaspersky_ru) March 4, 2015

В тот раз данные удалось вернуть, хотя для этого и пришлось пойти на сделку с шантажистами. А вот в ходе другого инцидента все вышло печальнее: получив с госпиталя в Канзасе запрошенный выкуп, вымогатели отказались возвращать файлы и запросили еще денег. Так что полагаться на высокие моральные качества хакеров не стоит: как только появится возможность поживиться, злоумышленники церемониться не станут.

Устройства медицинского назначения проходят обязательную сертификацию, подтверждающую их безопасность — в медицинском смысле. Увы, но обеспечение информационной безопасности в лучшем случае носит рекомендательный характер и остается на совести производителя. Реальность же показывает, что многие устройства страдают «детскими болезнями», которые грамотный ИТ-специалист вряд ли пропустил бы.

Американское агентство Food and Drug Administration, среди прочего ведущее сертификацию медустройств, старается идти в ногу со временем: еще осенью 2014 года оно опубликовало финальную версию руководства по кибербезопасности для производителей медицинских устройств, готовящихся вывести свои продукты на рынок. В начале 2016-го свет увидел черновик родственного документа, который описывает рекомендуемые действия по контролю за кибербезопасностью уже выпущенных устройств. Но опять-таки эти документы носят лишь рекомендательный характер. То есть обеспечивать кибербезопасность критических для жизни людей устройств не обязательно.

Убийственная халатность

Со стороны производителей медицинского оборудования было бы разумно полагаться на помощь экспертов в области кибербезопасности, но на деле все ровно наоборот: экспертам часто не желают предоставлять устройства для тестов. Однако они сами находят способы исследовать медицинские устройства, например, приобретая подержанную и списанную технику. Билли Райос, который собаку съел на взломе различного оборудования, периодически интересуется в том числе и медицинскими устройствами.

Медицина на линии огня: еще раз о том, чем грозит взлом больницы — https://t.co/iPvaOmOLtK #TheSAS2016 pic.twitter.com/N5y5L78SuE

— Kaspersky (@Kaspersky_ru) February 11, 2016

Около двух лет назад Райос тестировал инфузионные насосы Hospira, которые поставлялись в десятки тысяч больниц по всему миру. Результаты проверки оказались настораживающими: эксперт выяснил, что насос позволяет злоумышленнику манипулировать настройками, меняя разрешенную дозировку лекарств. В результате во время лечения больному может быть назначена слишком большая или, наоборот, недостаточная доза препарата. По иронии одно из декларируемых достоинств инфузионных насосов — защита от медицинских ошибок.

Еще одним устройством, которое капитулировало перед Райосом, стала система хранения медикаментов Pyxis SupplyStation от компании CareFusion. Такие устройства позволяют контролировать доступ персонала к лекарствам и облегчают ведение отчетности. В 2014 году Билли обнаружил уязвимость, которая открывала неавторизованный доступ к содержимому электронного шкафа.

В 2016-м Райос вернулся к Pyxis SupplyStation. Вместе с еще одним специалистом, Майком Ахмади, он обнаружил более 1400 уязвимостей, половина из которых имеет статус опасных. И хотя львиная доля на совести сторонних производителей ПО, а протестирована была система Pyxis SupplyStation уже устаревшей версии, масштаб проблемы очевиден.

Производитель не стал обновлять дырявые Pyxis SupplyStation — вместо этого компания порекомендовала перейти на новые версии продукта. Для клиентов, которые продолжают использовать устаревшие устройства, были опубликованы советы по уменьшению риска взлома.

Нежелание связываться со старым оборудованием в целом понятно, к тому же здесь не удалось бы обойтись обычным апдейтом. Например, используемые операционные системы к настоящему времени уже не поддерживаются Microsoft. Что касается свежих моделей Pyxis SupplyStation, которые базируются на Windows 7 и новее, им обнаруженные уязвимости не угрожают.

У «Лаборатории Касперского» есть и свой опыт проверки больниц на киберпрочность: наш эксперт Сергей Ложкин в рамках эксперимента смог проникнуть в больничную сеть и получить доступ к медицинскому оборудованию, в том числе и к магнитно-резонансному томографу.

Наш старший антивирусный эксперт рассказывает интересное про хакерские атаки на больницы: https://t.co/nknFg6K6y7 pic.twitter.com/onUosTdUkA

— Kaspersky (@Kaspersky_ru) March 25, 2016

Приведенные здесь отдельные случаи взломов служат лишь примерами — просто взламывать другие устройства и больницы никто не пытался. Но наверняка во многих больницах и поликлиниках полно оборудования, которое хакер при должном желании может взломать и с помощью которого можно нанести вред здоровью пациентов.

Кто виноват и что делать

Жизненный цикл медицинских устройств существенно отличается от стремительной смены поколений тех же смартфонов. Десять лет для дорогущего больничного аппарата — не такой уж большой возраст. И даже если только что выпущенное устройство успешно противостоит атакам, то спустя несколько лет без должной поддержки оно вполне закономерно превратится в «решето».

Уже упомянутый Майк Ахмади говорит об этом так: «Я думаю, производителям медицинских устройств имеет смысл устанавливать срок эксплуатации самого устройства и в дополнение устанавливать срок, в течение которого киберзащита продукта может считаться надежной».

У истории со взломом Pyxis SupplyStation есть и светлая сторона, которая вселяет робкий оптимизм. От первоначальных изысканий Райоса производитель постарался откреститься, но с тех пор CareFusion была куплена медицинским гигантом Becton Dickinson. И в 2016-м новое руководство отнеслось к свежим находкам с должным вниманием и оказало поддержку дуэту исследователей. А значит, есть надежда, что в будущем компания будет искать уязвимости в устройствах еще до того, как те попадут на рынок.