Srčnega spodbujevalnika ni težko pohekati
Moderni medicinski pripomočki so računalniki v malem, kar olajša njihovo nastavljanje in odčitavanje podatkov, a jih hkrati odpira številnim tveganjem, da hekerji izkoristijo luknje. Na konferenci Black Hat v Las Vegasu sta Billy Rios iz podjetja Whitescope in Jonathan Butts iz podjetja QED Secure Solutions pokazala, da so tudi najnovejši srčni spodbujevalniki ranljivi.
Gre za Carelink 2090 podjetja Medtronic, o čemer sta podjetje obvestila že lani, pa še vedno nimamo popravka, s katerim bi bila zadovoljna. V podjetju medtem trdijo, da obstoječe zaščite povsem zadostujejo. Potrebovali so 10 mesecev, da so se odzvali z besedami, da odkritja ne kažejo nobenih novih ranljivosti in da so tveganja pod nadzorom in sprejemljiva.
Problem je, da se firmware na napravi posodablja prek nezaščitene povezave in da ne uporablja digitalnih podpisov. To pomeni, da lahko zlikovec namesti lažen firmware, ki zdravnika ob kontroli zavaja, bolniku pa lahko celo škoduje. Rios in Butts sta odkrila ranljivosti tudi v internem omrežju podjetja, kjer se pripravljajo posodobitve spremljevalne opreme, denimo monitorjev in programov za srčne spodbujevalnike.
Če se vam zdi novica znana, niste edini. Že lani smo pisali o drugih srčnih spodbujevalnikih in defibrilatorjih, ko so bili v nevarnosti, da jih hekerji napadejo. Popravek firmwara naj bi tedaj težavo odpravil. Komur seže spomin še dlje, pa se bo spomnil, da se je na internetu prvikrat o hekanju spodbujevalnikov govorilo daljnega leta – 2008. In do danes nismo našli pametne rešitve za ta problem.
Problem priznava tudi stroka, saj sodelujeta celo FDA (Agencija za hrano in zdravila) in DHS (Oddelek za domovinsko varnost). Ker so medicinski pripomočki zelo občutljive naprave, ki ne smejo imeti lukenj, hkrati pa vsaki popravki trajajo, saj je treba spremembe temeljito preizkusiti in pridobiti odobritev FDA, enostavne rešitve ni na vidiku. FDA je aprila zagnala Medical Device Safety Action Plan, v okviru katerega želijo ustvariti odbor za analizo računalniške varnosti v medicinski oprem (cybermed safety expert analysis board).