Коллектив Авторов - Цифровой журнал «Компьютерра» № 178

А теперь представьте деньги, на которые может подняться или просесть капитализация социальной сети или сети розничной торговли, клиентов которой конкуренты вычислили таким образом и переманили, или она сама поступила аналогичным образом с ближними? На сколько большие цифры могут фигурировать? На три, а то и на четыре, десятичных порядков большие… Тут есть больше оснований молчать. И платят много лучше. И спросят не так, как с беглого болтливого АНБшника, а по серьезному… (А ведь даже джеймсбондовская MI-6 не смогла уберечь своего клиента Литвиненко от неприятностей в самом Лондоне.) А бизнес спросит даже без игр в стиле Аля Капоне – просто разорят на пять поколений вперед за нарушение контракта. Так что чистая дедукция заставляет нас предположить, что мы живем в прозрачном мире, где технологии неизбежно изымают у нас тайну частной жизни. Причем авторы статьи в Nature отмечали, что избежать этого можно лишь закладывая соблюдение конфиденциальности на системном и алгоритмическом уровне, что может быть задачей крайне нетривиальной. Но политики и законодатели на таком уровне не мыслят вообще…

К оглавлению

Опубликовано21 июня 2013

Знаете, что самое приятное в регулярных теоретических разговорах о надвигающемся киберапокалипсисе (а-ля « цифровое 11 сентября»)? Растревоженные возможными последствиями, рано или поздно власти, производители и граждане начинают шевелиться и прикрывать опасные места в гражданской ИТ-инфраструктуре. В начале лета этим занималось американское здравоохранение: минздрав Соединённых Штатов (он же Управление по контролю за пищевыми продуктами и медикаментами, он же FDA) официально рекомендовалпроизводителям медицинских устройств и медучреждениям привести защитные механизмы цифрового оборудования в соответствие с реалиями дня. Это пока не требование, только рекомендация, но в интересах всех участников рынка здравоохранения — принять данный совет к сведению. Потому что FDA зашевелилось не просто так, а опираясь на факты, предоставленные министерством внутренней безопасности и специалистами по ИТ-безопасности из частного сектора, нашедшими множество уязвимостей в широком спектре медицинских устройств.

Цифры впечатляют: эксперты говорят об уязвимостях в сотнях устройств от десятков производителей. Это и не имеющие «прямого доступа к телу» информационно-справочные системы для больниц и лабораторные комплексы для проведения анализов, и непосредственно контактирующие с человеком мониторы жизнедеятельности, устройства для анестезии, хирургических операций, управляемые капельницы, вентиляторы лёгких, внешние дефибрилляторы. И даже вживляемые или носимые приборы вроде инсулиновых помп, кардиостимуляторов и пр. В общем и целом в развитых странах в среднем каждая вторая железка на рынке медоборудования сегодня является цифровой, то есть по сути компьютером (сказывается и тенденция BYOD: врачи тянут на рабочее место планшетки и смартфоны из дома, да и вендоры всё чаще используют их в качестве основы). И, в отличие от PC, этот рынок не болеет: на следующие пять лет аналитики обещают ему 7 процентов ежегодного роста.

Соединённые Штаты занимают половину мирового рынка медицинского железа, так что, естественно, FDA не раскрывает ни имён «провинившихся» вендоров, ни названий устройств с выявленными уязвимостями, ни тем более деталей относительно того, как эти уязвимости можно использовать. Нынче обнародовать такие вещи не принято, дабы не искушать желающих поэкспериментировать (так же и с автомобилями, так же и с банкоматами, и вообще). Вопрос решается в частном порядке: регулятор или эксперты сообщают подробности каждому производителю лично. Для обывателя рисуют только общую картину: вирусы и вредоносный софт уже заражают медицинское оборудование, проникая на него из интернета и с персоналок, и каждый год теперь регистрируются сотни таких инцидентов. К счастью, пока обходилось без смертей и вообще без ущерба здоровью, но, вероятно, только потому, что публика в целом и чёрные хакеры в частности понятия не имеют, что за пределами вселенной PC существует параллельная вселенная цифровых медицинских устройств со слабой или отсутствующей защитой.

Пока медицинский сектор остаётся вне поля зрения взломщиков, случайные заражения вирусами и малварью приводят максимум ко временному выходу оборудования из строя или утечкам персональных данных. Но расслабляться не стоит: как только цифровую заразу станут писать специально «для медицины», будут и смерти, тем более что возможностей причинить человеку вред чрезмерной терапией предостаточно.

Неосведомлённость кракеров объясняется просто: медицинские устройства д о роги да и продаются не всем. Это ограничивает круг покупателей профессионалами от медицины, но одновременно и расслабляет разработчиков, позволяя им применять дикие по меркам массового ИТ-рынка решения (вроде дефолтовых паролей, самописных криптоалгоритмов, абсолютно не защищённых от атак коммуникационных модулей и т.п.). Головной болью стало и оборудование, оставшееся со времён, когда Сеть была ещё в диковинку.

Американский минздрав отныне просит производителей, подающих заявки на сертификацию новых устройств, а) иметь в документации пунктик, посвящённый описанию функций защиты от взлома, б) подумать о реализации в новом цифровом оборудовании аналога компьютерного «safe mode», то есть режима работы, гарантирующего минимально необходимую функциональность в любых обстоятельствах, в) предусмотреть штатную процедуру «дезинфекции» цифрового устройства, и г) заменить пароли на что-нибудь более надёжное, вроде биометрии или смарт-карт.