Medtronic CareLink (программаторы для кардиостимуляторов)

Продукт
Разработчики: Medtronic (Медтроник)
Отрасли: Фармацевтика, медицина, здравоохранение

Содержание

2018

Medtronic отключила обновление через интернет из-за риска кибервзлома

В октябре 2018 года Medtronic отключила обновление программного обеспечения кардиостимуляторов через интернет из-за риска кибервзлома. Об этом компания уведомила в письме, разосланном врачам и медицинским учреждениям и озаглавленном как «Срочное исправление медицинского оборудования».

Возможность установки новой прошивки заблокирована в 34 тыс. программаторов CareLink и CareLink Encore под модельными номерами 2090 и 29901, которые используются докторами по всему миру для обновления программных настроек работы кардиостимулятора.

Программатор CareLink Encore

Medtronic приняла такое решение из-за обнаруженной уязвимости, которая «может нанести вред пациенту в зависимости от масштаба и целей вредоносных кибератак, а также первичного заболевания пациента», передает информагентство Reuters, ссылаясь на сообщение американского производителя.

Клиники и больницы могут и дальше пользоваться программаторами CareLink, однако им категорически не рекомендуется пытаться обновлять ПО через интернет — только при подключении к компьютеру через USB-разъем. А пациентов производитель попросил не предпринимать никаких действий для устранения уязвимости.

При этом в Medtronic уверяют, что неизвестно ни одного случая, когда этот недостаток в работе медоборудования использовался бы хакерами для противоправных действий. К 12 октября 2018 года компания разрабатывает обновление, которое должно устранить все опасные ошибки в устройствах. Перед выходом апдейта его должны одобрить регулирующие органы.

Управление по санитарному надзору за качеством продуктов питания и лекарственных препаратов США (FDA) изучило проблему и одобрило решение производителя отключить возможность обновления устройств через интернет.

Суть проблемы заключается в том, что кардиостимуляторы не используют зашифрованное соединение при обновлении прошивки, что позволяет злоумышленникам удаленно загрузить на имплантируемое устройство вредоносный код. Это несет реальную угрозу здоровью и жизни пациентов. В качестве доказательства исследователи в области кибербезопасности Билли Риос (Billy Rios) и Джонатан Батс (Jonathan Butts) в августе 2018 года на хакерской конференции Black Hat продемонстрировали публике взлом устройства CareLink 2090.

В ходе той демонстрации специалисты загрузили на программатор вредоносную прошивку, и после этого зараженное устройство получило возможность влиять на работу кардиостимулятора.

Тогда эксперты отметили, что уведомили Medtronic о существовании уязвимости в 2017 году, однако компания отреагировала на сообщение довольного вяло. Теперь же Medtronic решила предпринять меры. 

Как отмечает Reuters в публикации от 11 октября 2018 года, в последние годы производители медицинского оборудования активизировали свои усилия по снижению количества уязвимостей в своих устройствах после многочисленных предупреждений специалистов по безопасности, которые указали компаниям на существование опасных недостатков в работе техники.

Хотя информация о том, что хакеры использовали эти уязвимости для кибератак, в прессе не проходила, исследователи предупреждают, что индустрия здравоохранения сильно отстает от компьютерной отрасли в части киберзащиты.

«
Как исследователи в области безопасности, мы считаем, что преимущества имплантируемых медицинских устройств перевешивают риски. Однако, когда производители ведут себя так, как это делал Medtronic, им трудно доверять, — заявлял Билл Риос на конференции Black Hat 2018.
»

Тогда в Medtronic напомнили, что инструкция к CareLink 2090 предписывает использовать устройство в безопасной среде и подключать его только к защищенным сетям.[1]

Хакеры могут отключать кардиостимуляторы Medtronic благодаря уязвимости

13 августа 2018 года стало известно, что хакеры могут отключать кардиостимуляторы Medtronic благодаря имеющимся уязвимостям в системе безопасности. Программатор CareLink 2090 позволяет загружать вредоносное ПО из внешнего источника, с помощью которого хакеры могут полностью контролировать работу устройства, в том числе и отключать его.

Уязвимости были обнаружены программистами фирм Whitescope и Secure Solutions, которые проанализировали платформу доставки обновлений программного обеспечения Medtronic. Выявленные проблемы уже привлекли внимание FDA и Департамента внутренней безопасности. Специалисты утверждают, что предоставили все данные Medtronic, однако компания в течение десяти месяцев провела собственное исследование и отклонила претензии. Представители Medtronic заявляют, что при оценке уязвимостей не выявлено новых потенциальных проблем безопасности, а меры контроля риска и остаточный риск являются приемлемыми.

Хакеры могут отключать кардиостимуляторы Medtronic благодаря имеющимся уязвимостям в системе безопасности

Выявившие проблемы программисты продолжают свой анализ и планируют публично продемонстрировать на животной модели, как уязвимости в системе обновлений кардиостимулятора Medtronic могут стать основой для хакерской атаки, на конференции по безопасности Black Hat.

Одних уведомлений об уязвимостях в системе безопасности недостаточно, считают программисты, поскольку злоупотребление кардиостимуляторами может иметь серьезные последствия для пациента. Они отмечают, что добавление цифровой подписи может отчасти снизить рис. Стоит заметить, что конкуренты Medtronic уже используют подобные меры безопасности в своих устройствах.

Хотя Medtronic не объявляла, что планирует устранять выявленные уязвимости, представители компании заявляют, что уже предприняли некоторые шаги в этом направлении.[2]

Примечания