Kartais programinės įrangos saugumo spragų užtaisymas reikalauja imtis nestandartinių veiksmų. Vien JAV teritorijoje 465 tūkst. pacientų gavo kvietimus iš savo gydymo įstaigų – atsinaujinti širdies ritmo vedlių (dar vadinamų stimuliatoriais) programinę įrangą arba rizikuoti, kad jų gyvybė atsiras programišių rankose, rašo „Ars Technica“.
Širdies ritmo vedliai – maži aparatėiai, kurie yra implantuojami į paciento krūtinės ląstos viršutinę dalį. Šie įrenginukai apsaugo širdį nuo neritmingo arba netinkamo ritmo širdies plakimo. Paprastai juose būna ir mažas radijo dažniu veikiantis modulis, leidžiantis nuotoliniu būdu atlikti ritmo vedlių patikrinimą bei priežiūros darbus. O kadangi tie valdymo moduliai yra nedideli kompiuteriai su savo programine įranga, vadinasi, juose gali būti ir saugumo spragų. Viena iš tokių kritinių, mirtiną grėsmę pacientams keliančių spragų savo gaminiuose neseniai aptiko bendrovė „Abbott Laboratories“ – pasirodo, programišiai, atsidūrę nuo savo taikinio radijo dažnio bangų veikimo atstumu, gali perimti ritmo vedlio valdymą.
„Jeigu įvyktų sėkminga kibernetinė ataka, neautorizuotas asmuo t. y., netoliese esantis programišius, galėtų gauti prieigą ir perdavinėti komandas implantuotam medicininiam įrenginiui radijo bangomis, o šios neautorizuotos komandos galėtų pakeisti įrenginio nustatymus (pvz., liautis vykdyti ritmo vedlio funkciją) ar paveikti įrenginio funkcionalumą“, – atvirame laiške medikams rašė „Abbott“ atstovai.
Pacientams jau implantuotų ritmo vedlių programinė įranga galės būti atnaujinama tik apsilankius klinikoje, kur medikai perjungs ritmo vedlius į avarinio veikimo režimą, kol bus atnaujinta jų programinė įranga. „Abbott“ skelbia, kad kai kuriems pacientams įrangos atnaujinimas turėtų būti atliekamas įstaigose, kur yra laikinųjų širdies ritmo vedlių, mat egzistuoja labai menka tikimybė, kad programinės įrangos atnaujinimo metu bus susidurta su kokiais nors nesklandumais. JAV Maisto ir vaistų administracijos duomenimis, vien JAV yra 465 tūkst. pacientų, kuriems reikalingas programinės įrangos atnaujinimas. Širdies ritmo vedlių implantavimo kitose valstybėse statistinių duomenų JAV institucija neturi.
Įspėjimų apie mirtinai pavojingų kibernetinio saugumo spragų širdies ritmo vedliuose, insulino pompose ir kituose medicinos įrenginiuose teorinį egzistavimą pastaraisiais metais išgirstame vis dažniau – neretai ir pacientai, ir medikai, ir kibernetinio saugumo ekspertai per daug šių spragų pavojingumo nesureikšmina, nes jomis galima pasinaudoti tik būnant ne didesniu nei 15 metrų atstumu. Be to, grėsmės nesureikšminantys asmenys tvirtina, kad piktybiniai programišiai turėtų būti menkai motyvuoti tiek daug dirbti ir taip smarkiai rizikuoti dėl potencialiai menkos finansinės ar kitokios naudos sau.
Bet esama ir tokių saugumo ekspertų, kurie vis baksnoja pirštu į kibernetinius turto prievartautojus ir išpirkų prašytojus, kurių veikla neretai tampa katastrofiško duomenų praradimo priežastimi. Vienas iš asmenų, teigiančių, kad grėsmė yra labai reali, yra Johnso Hopkinso universiteto (JAV) profesorius Mattas Greenas.
Šiuo metu slaptažodžių ir kitų atpažinimo metodų, užtikrinančių, kad tik autorizuoti asmenys galės nuotoliniu būdu valdyti medicinos prietaisus, naudojimas yra apsunkintas. Mat įvykus kokiai nors ekstremaliai medicininei situacijai medikams neretai reikia nedelsiant gauti prieigą prie širdies ritmo vedlių valdymo. Jeigu pacientas nesugeba pateikti savo prisijungimo duomenų gydytojams, o ligoninės darbuotojai nesugeba susisiekti su paciento kardiologu, gali būti prarastas laikas, svarbus siekiant suteikti operatyvią medicininę pagalbą.
„Abbot Laboratories“ širdies ritmo vedlių kritinė saugumo spraga buvo išaiškinta praėjusiais metais – ją viešai atskleidė investuotojai „Muddy Waters“, norėję sumažinti „Abbot Laboratories“ įsigytos bendrovės „St. Jude“ akcijų vertę. Praėjus dviem dienoms po informacijos paviešinimo, „St. Jude“ akcijos atpigo 12 proc., nors įmonės atstovai skelbė, kad investuotojų paskleista informacija yra „melaginga ir klaidinanti“.
Kad ir kaip prieštaringai bebūtų vertinama strategija siekiant finansinės naudos atskleidinėti gyvybiškai svarbią informaciją apie saugumo spragas, ataskaita sudomino ir „St. Jude“ bei „Abbott Laboratories“ vadovų tarybas. Susirūpinę savo akcijų verte vadovai nusprendė į darbą paleisti kibernetinio saugumo ekspertus, kurie dabar parengė kibernetinio saugumo spragų užkamšymo priemonę.
Paieška archyve
