Можно ли взломать кардиостимулятор: краткая история безопасности медицинских устройств
О том, что кардиостимуляторы уязвимы начали говорить еще в 2008 году, когда команде исследователей удалось перепрограммировать одно из устройств дистанционно и «вытащить» из него личные данные пользователя. При этом подчеркивается, что такой эксперимент, если бы кардиостимулятор был в работе, закончился бы летальным исходом. Коллекция ссылок на документы и статьи — под катом.
Врачи выпустили опровержение, при этом назвав фирмы-производителей, у которых защита от взлома была на допустимом уровне, назвав угрозу «гипотетической», а не реальной.
На какое-то время причастные открестились, а сама история перестала тиражироваться, пока в 2011 году в прокате не появился сериал Homeland, где «хакнутый» кардиостимулятор стал причиной гибели вице-президента США.
После чего в одном из интервью Дик Чейни, бывший реальный вице-премьер США, признался, что попросил своего лечащего врача отключить все беспроводные возможности его кардиостимулятора.
Вскоре после этого департамент безопасности показывает предупреждающий документ (pdf), где содержались по большей части константы о том, что многие устройства уязвимы, а вслед за этим появляется серия документов от FDA, как бы регулирующих проблематику кибер-безопасности в медицинских приборах. Впрочем, там встречаются и такие фразы: FDA рекомендует производителям повышать защищенность своих устройств от сторонних атак, чтобы снижать риски отказа оборудования по причине оных.
Последний громкий скандал вокруг возможного дистанционного взлома медицинских устройств начал разгораться после того, как в сентябре этого года подконтрольные медицинским учреждениям хакеры «убили» манекен, подробно описав процесс взлома в журнале (PDF).
А это означало, что ни рекомендации FDA (PDF), ни анализ устройств на предмет повышения безопасности (PDF), которые вышли несколькими годами и годом ранее, не были приняты ни одним из поставщиков медицинского оборудования.
В группе риска оказываются не только кардиостимуляторы, но все устройства с возможностью дистанционного беспроводного доступа. Wired пишет о том, как взламывают инфузионные насосы. Кстати, тут же последовали советы от FDA, процитированные в Reuters.
Событие вокруг «убитого манекена» не единственное, что спровоцировало новую волну обсуждений данной проблемы. Рядовая американка Marie Moe, получив свой кардиостимулятор и вчитавшись в инструкцию, очень сильно обеспокоилась возможностью Wi-fi доступа к ее устройству. И в этом году ее проблему будут обсуждать на крупнейшей конференции хакеров HACKLU-2015.
На одной из подобных конференций должен был выступить один из самых известных «Белых хакеров» Джек Барнаби, который в 2012 году заявил о том, что убить человека с кардиостимулятором можно с расстояния до 50 футов, «послав» 830 вольт с ноутбука. Ему же принадлежит проект взлома инсулиновых помп с расстояния до 300 футов.
В 2013 году он обещал продемонстрировать взлом кардиостимуляторов в рамках одной из конференций, однако был найден мертвым в своей квартире за неделю до мероприятия.
В настоящее время, кроме экспериментальных случаев, не зафиксировано ни одной атаки на медицинские приборы с криминальной целью, равно как и за 30 лет использования подобных девайсов. В среднем за пять лет в США продается свыше 4 млн. кардиостимуляторов.