Доступ к телу

(Май 2008)

О проблемах компьютерной безопасности и защиты информации в медтехнике.

med-implant

Вряд ли хоть кому-то надо доказывать, что в области медицины и охраны здоровья очень важны вопросы защиты информации.

Что такое медицинская тайна, знают ныне все, поэтому вполне естественно, что подавляющее большинство тем для дискуссий и исследований вокруг инфобезопасности в здравоохранении – это проблемы защиты баз данных с историями болезней, результатами анализов и прочими весьма чувствительными к компрометации персональными сведениями.

Однако инфотехнологическое развитие современной медицины идет сразу по множеству направлений. Поэтому неудивительно, что с некоторых пор в сфере медтехники начали сталкиваться и с существенно иными компьютерными угрозами. Например, такого типа.

Атака по радиоканалу

Группа исследователей недавно хакнула, как говорится в подобном контексте, имплантируемое медицинское устройство – а именно, сердечный дефибриллятор – через его канал беспроводной связи. В результате чего была похищена персональная информация о пациенте, об истории болезни и ее течении, а затем дистанционно были изменены терапевтические установки дефибриллятора.

Итогом столь серьезной атаки вполне могла бы стать смерть пациента – если бы тот был настоящий, конечно. К счастью, все обошлось без жертв, поскольку демонстрация проводилась лишь на приборе, помещенном в условия, имитирующие реальные.

Описание и анализ данной атаки стали центральной темой доклада [«Pacemakers and Implantable Cardiac Defibrillators: Software Radio Attacks and Zero-Power Defenses» by Daniel Halperin et al] на проходящей в мае 2008 конференции IEEE Symposium on Security and Privacy (Симпозиум по инфобезопасности и приватности).

Авторы работы – большой коллектив ученых-исследователей из междисциплинарного научного проекта «Центр безопасности медицинских устройств» (www.secure-medicine.org), объединившего усилия нескольких американских институтов: Гарвардской медицинской школы, Массачусетского университета в Амхерсте и Вашингтонского университета.

Как комментируют свою работу сами ученые, по их данным, подобный хакинг биомедицинского устройства произведен впервые. По словам Кевина Фу (Kevin Fu), профессора-компьютерщика из Массачусетского университета и одного из главных авторов проекта, важнейший итог этого исследования в том, что наглядно продемонстрировано, каким образом можно скрытно от пациентов не только извлекать информацию из вживленного в них устройства, но и перепрограммировать его работу.

Множество проблем, порождаемых этим открытием, оказывается столь разветвленным, что в Центре ныне всерьез занялись их изучением и путями решения.

Понятно, что узел проблемы – в продвинутых коммуникационных возможностях современных имплантируемых устройств. Беспроводная связь была добавлена в дефибриллятор для того, чтобы врачи могли проверять и перепрограммировать аппарат, не прибегая к хирургическому вмешательству и извлечению вживленного контейнера из тела.

Но, как ныне показано, обратной стороной этой бесспорно удобной возможности стали дополнительные риски для жизни пациента с точки зрения вредоносных хакерских атак.

Для экспериментов был выбран дефибриллятор-кардиостимулятор Maximo фирмы Medtronic, как вполне типичный и распространенный на рынке аппарат. Хотя демонстрация была устроена на типовом устройстве, исследователи подчеркивают, что владельцам медицинских имплантатов в настоящее время вряд стоит всерьез опасаться коварных преступников, замышляющих их изощренное убийство через канал беспроводной связи.

Для реализации этой идеи ученым потребовалось около года исследовательских работ и электронное оборудование на сумму около 30 000 долларов. По мнению Фу, крайне маловероятно, чтобы сегодня кто-то сумел применить для этой цели – перепрограммирования биомедицинских устройств – общераспространенные стандартные средства беспроводной связи.

Как показали эксперименты, для того, чтобы изменить рабочие параметры-установки, к телу пациента необходимо не только приблизиться на расстояние порядка нескольких сантиметров, но и одновременно обеспечить сильное магнитное поле. На более значительных расстояниях обеспечить поле такой интенсивности в повседневных условиях представляется крайне затруднительным.

Иначе говоря, как способ изощренного убийства больного подобная атака чересчур сложна. Однако и цель исследовательской работы была отнюдь не в этом.

[ВРЕЗКА]

Медицинские имплантаты

Имплантируемые медицинские устройства отслеживают и поддерживают физиологические условия в организме, помогая пациентам вести нормальную и здоровую жизнь. На сегодняшний день разработаны и применяются медицинские имплантаты множества разных типов, включая кардиостимуляторы и сердечные дефибрилляторы, системы подачи лекарств, нейростимуляторы, заглатываемые камеры-капсулы и другие устройства.

Такого рода техника помогает лечить весьма широкий спектр заболеваний – от сердечной аритмии, диабета и потери слуха до болезни Паркинсона, хронических болей, навязчивых неврозов, депрессии, эпилепсии и недержания. Количество людей с разными медицинскими имплантатами уже давно исчисляется десятками миллионов.

Кардиостимуляторы и дефибрилляторы созданы для лечения отклонений в работе сердца. Кардиостимулятор автоматически подает в сердечную мышцу слабые электрические импульсы, задавая нормальный ритм в те моменты, когда собственный ритм сердца замедляется.

Современные дефибрилляторы тоже включают в себя функции кардиостимулятора, однако главная их задача состоит в ином. Дефибрилляторы – это устройства, подающие резкие электрические разряды в сердечную мышцу в те моменты, когда сердцебиения становятся опасно быстрыми или хаотическими.

Такие электроразряды могут восстанавливать сердечный ритм до того, как происходит внезапная остановка сердца – приступ, способный привести к смерти организма в течение нескольких минут.

После того, как клинические испытания продемонстрировали, что подобные устройства могут спасать ежегодно многие тысячи жизней среди пациентов со слабым или поврежденным сердцем, имплантируемые дефибрилляторы для изготовителей медицинских устройств превратились ныне в очень прибыльный, многомиллиардный бизнес.

Конструктивно такой аппарат представляет собой небольшой контейнер с встроенной батарейкой, который имплантируется в мышцу ниже ключицы (у пациентов-правшей обычно с левой стороны, у левшей справа), а к сердцу подключается изолированными проводами. Эти провода служат как для сенсора, следящего за ритмом сердца, так и для подачи электроразряда при выявлении опасной для жизни ситуации. Когда заряд батарейки иссякает – сейчас этот срок составляет от 4 до 7 лет – коробочку дефибриллятора приходится заменять, однако провода остаются на месте.

[КОНЕЦ ВРЕЗКИ]

С прицелом на будущее

Технологии, лежащие в основе имплантируемых медицинских устройств, развиваются сейчас очень быстро. Поэтому практически невозможно предсказать сколь-нибудь определенно то, что будут из себя представлять эти аппараты даже лет через 5-10, не говоря уже про 20. В то же время для специалистов достаточно очевидно, что в будущем этим устройствам предстоит все больше опираться на беспроводную связь, интернет и продвинутые компьютерные возможности новых процессоров.

Электронные имплантаты получат возможности для развитого общения с другими устройствами в их окружении, что позволит обеспечить более эффективное лечение средствами телемедицины и дистанционное наблюдение врачей за состоянием здоровья пациентов. Также вполне возможно, что в недалеком будущем в тело пациентов будут вживлять сразу несколько устройств-имплантатов, взаимодействующих между собой.

Принимая во внимание все эти тенденции, эксперты по безопасности считают, что сейчас самое время озаботиться вопросами защиты информации и приватности, которые бесспорно важны для больных, использующих медицинские имплантаты.

Ведь несмотря на очень быстрый и впечатляющий прогресс собственно в технологии, у создателей мед-имплантатов по сию пору имеется смутное представление о том, каким образом инфобезопасность и приватность с одной стороны взаимодействуют с медицинской безопасностью и эффективностью лечения с другой.

Весьма продвинутые методы обеспечения охраны здоровья и недопущения случайных несчастий совсем не обязательно предотвращают преднамеренные сбои в работе и другие проблемы инфобезопасности или приватности. В то же время, не подлежит сомнению, что отыскание оптимального баланса для всех этих факторов со временем будет становиться все более важной задачей при обеспечении дальнейшего развития медицинских устройств-имплантатов.

До появления нынешней работы о хакинге дефибриллятора, по свидетельству сведущих людей, не было ни одного строгого в научном смысле исследования, посвященного анализу инфозащиты в общераспространенных коммерческих устройствах-имплантатах.

Одной из главных целей проведенного исследования было установить, могут ли злоумышленники создать свое собственное оборудование, способное осуществлять беспроводные коммуникации с вживленным в тело имплантатом.

Используя достаточно стандартные компоненты – антенну, радиоаппаратуру и персональный компьютер – ученые обнаружили, что в принципе посторонние вполне могут подключаться к радиоканалу, передающему чувствительную информацию о пациентах и медицинские телеметрические данные о работе устройства.

В первую очередь, это возможно по той причине, что имплантаты передают информацию о больных и телеметрию без какого-либо шифрования. Благодаря этому перехватчик без проблем получает доступ к имени пациента, медицинской истории больного, дате рождения и тому подобным данным.

С помощью этого же оборудования была обнаружена возможность полностью отключать или перенастраивать терапевтические установки, хранимые в памяти имплантата. Таким образом, злоумышленник может сделать устройство неспособным к надлежащей реакции в случае опасных признаков сердечной активности. Более того, можно даже заставить устройство подавать электроразряды, способные вызвать желудочковую фибрилляцию, т.е. аритмию сердца с потенциально смертельным исходом.

Исследованию было подвергнуто лишь одно конкретное устройство – сердечный дефибриллятор. Однако на основании имеющейся у исследователей информации нет никаких причин полагать, будто другие устройства-имплантаты защищены более надежно с точки зрения инфобезопасности.

Еще одна важная цель проводимых исследований – это разработка технологических механизмов для обеспечения оптимального баланса между инфозащитой и медбезопасностью / эффективностью. В частности, предложено три подхода для уравновешивания этих конфликтующих друг с другом факторов и проводятся эксперименты с устройством-прототипом, реализующим эти предложения на практике.

Многие из вживляемых в тело мед-устройств, вроде кардиостимуляторов и дефибрилляторов, имеют незаменяемую батарею. Когда уровень питания от таких батарей снижается, чаще всего приходится полностью заменять имплантат. Поэтому с точки зрения медицинской безопасности весьма критично, чтобы жизнь батареи в устройстве была максимально длинной.

По этой причине все три подхода к укреплению инфобезопасности основаны на концепции «нулевой энергии». Иначе говоря, эти меры вообще не используют питание от встроенной батареи, а вместо этого черпают всю энергию из внешних радиочастотных сигналов коммуникаций.

Первый нуль-энергетический подход основан на подаче слышимого для пациентов звукового сигнала, предупреждающего о том, что неавторизованная для связи сторона пытается установить коммуникации с их вживленным имплантатом.

Второй подход демонстрирует, что имеется возможность реализовать криптографически защищенные схемы аутентификации, используя исключительно энергию внешних радиосигналов.

Третий подход предоставляет новый метод для передачи криптографических ключей (усложненных паролей) таким образом, чтобы люди физически ощущали этот процесс, например, через слух или осязание.

[ВРЕЗКА]

Опасные игры придурков

В марте нынешнего года был зафиксирован первый, как считается, в интернете случай умышленной хакерской атаки на людей с медицинскими проблемами.

Сайт благотворительной организации Epilepsy Foundation, сосредоточенной на поддержке больных, страдающих эпилепсией, имеет веб-форум, где у посетителей есть возможности неформально общаться, делиться опытом лечения и получать консультации. Именно этот форум выбрала по какой-то – ведомой лишь им самим – причине анонимная группа хакеров-придурков в качестве стартовой площадки для физических атак на эпилептиков.

Сначала дискуссионные ветви форума стали наводнять сотни посланий со встроенными картинками GIF-анимации, которые мерцающей сменой красок способны вызывать у больных эпилептический припадок или сильнейший приступ мигрени. После первых же сигналов обратной связи о происходящем, администрация сайта сумела достаточно быстро прореагировать, в тот же день заблокировав сообщения с опасными картинками.

Однако на следующий день атакующая сторона прибегла к более изощренной тактике – встраивая в послания код-пересыльщик, отправляющий читателей на другой веб-сайт. Где окно браузера автоматически переводилось в полноэкранный вид, после чего начиналась демонстрация быстро меняющихся изображений, провоцирующих приступы как у эпилептиков, реагирующих на мерцание света, так и у реагирующих на смену форм.

По данным медицинской статистики, в мире сейчас насчитывается около 50 миллионов человек, болеющих теми или иными формами эпилепсии. Хотя всего лишь несколько процентов из них подвержены опасностям приступов из-за мерцающего света, это все равно означает огромное количество людей. Которым некие безответственные и недоразвитые «умельцы» с помощью инфотехнологий способны бездумно наносить физический ущерб просто так, забавы ради.

Более наглядного и убедительного жизненного примера тому, сколь серьезные проблемы инфобезопасности встают ныне перед медициной, наверное и не придумать.

[КОНЕЦ ВРЕЗКИ]

[ВРЕЗКА]

Аудиоплееры против кардиостимуляторов

В июне 2007 года медицинский журнал Heart Rhythm опубликовал исследовательскую статью, вызвавшую одновременно как заметный резонанс среди специалистов-кардиологов, так и сильнейшие сомнения в достоверности полученных результатов: «Pacemaker interference with an iPod» by M.B. Patel et al.

Суть работы, как можно понять уже из названия, сводилась к тому, сколь серьезно излучение от аудиоплееров, используемых пациентами, может воздействовать на работу их имплантатов-кардиостимуляторов. Согласно исследованию получалось, что для возникновения опасной интерференции было достаточно разместить плеер iPod на расстоянии 5 сантиметров от груди пациента. Более того, в некоторых случаях iPod порождал интерференционные помехи на расстояниях до полуметра.

Опасность столь серьезной угрозы у многих ученых с самого начала вызвала сильнейший скепсис и сомнения. Как показали дальнейшие исследования, для этого были все основания. Сразу несколько более поздних работ на данную тему продемонстрировали, что реально аудиоплееры очень мало влияют на работу кардиостимуляторов.

Одна из последних работ этого ряда, выполненная в Гарвардской медицинской школе, протестировала четыре распространенных типа музыкальных плееров на пациентах от 6 до 60 лет, имеющих вживленные кардиостимулятроы и дефибрилляторы. Многие сотни тестов показали, что аудиоплееры не имеют никакого эффекта на непосредственные функции кардиостимуляторов.

Единственное, что было реально отмечено, это небольшие помехи, появлявшиеся в процессе перепрограммирования устройств, «но не до такой степени, чтобы нарушить их функциональность». Таким образом, делается итоговый вывод в этой работе, пациентам следует обращать внимание на плеер лишь в тех случаях, когда доктор перепрограммирует их вживленное устройство.

[КОНЕЦ ВРЕЗКИ]

Реакция индустрии

Исследователи Центра безопасности мед-устройств сразу предупреждают, что вовсе не пытаются выдать свои разработки за окончательное решение проблем с инфозащитой имплантатов. Просто с помощью этих исследований делается попытка создать потенциальный фундамент, на котором могли бы разрабатываться новые защитные механизмы для будущих конструкций подобных устройств.

Еще один из непосредственных участников хакинг-проекта, доктор-кардиобиолог Уильям Мэйсел (William H. Maisel) из Бостонского медицинского центра, особо подчеркивает, что выявленные проблемы имеют общий характер для всей индустрии устройств-имплантатов. Поэтому исследователи не сочли нужным выходить на изготовителя конкретного аппарата, фирму Medtronic, а сразу передали свои результаты в FDA, Управление по контролю за продуктами и лекарствами в составе правительства США, ведающее, среди прочего, и безопасностью медицинской техники.

В американском FDA, надо отметить, незадолго до этого уже озаботились проблемой радиопередатчиков в медицинских имплантатах. Однако пока что главное внимание было сосредоточено на вопросах непреднамеренной интерференции. А именно, на том, сколь серьезные помехи в работе медицинских радиоустройств могут вызвать посторонние электромагнитные сигналы и насколько это опасно для жизни пациентов.

Компания Medtronic, на сегодняшний день являющаяся лидером рынка в продажах кардио-имплантатов, в сдержанном комментарии для прессы сообщила, что может только приветствовать подобную возможность для более тщательного изучения проблем безопасности вместе с врачами, исследователями и регулирующими органами. Добавив при этом, что за 30 лет работы они ни разу не сталкивались с попытками нелегального или неавторизованного хакинга их устройств, обладающих возможностями телеметрии или беспроводного управления.

Главный конкурент на рынке, компания Boston Scientific, чье подразделение Guidant по цифрам продаж уступает лишь Medtronic, тут же воспользовалась удачной пиар-ситуацией. В своем комментарии эта фирма сообщила, что в ее имплантатах уже имеются «встроенное шифрование и технологии безопасности, разработанные для уменьшения отмеченных рисков».

Поскольку дефибрилляторы Guidant пока что никто из хакеров не исследовал, в надежность их инфозащиты можно верить лишь со слов изготовителя.

Третья по значимости компания из выпускающих кардио-имплантаты, St. Jude Medical, выступила примерно в таком же ключе. Сообщив, что и в ее дефибрилляторах для защиты информации используются некие «проприетарные технологии». И коль скоро никаких известий о нелегальных манипуляциях конкретно с этими устройствами никогда не поступало, надежность защиты здесь подразумевается адекватной.

Короче говоря, известие об успешном хакинге имплантатов с радиопередатчиком воспринято индустрией вполне спокойно. И даже есть явные признаки того, что криптозащитой информации во вживляемых медустройствах так или иначе там уже занимаются.

Сами же исследователи, привлекшие внимание общества к проблеме, всячески подчеркивают, что больным не следует беспокоиться по поводу серьезного обсуждения слабостей в защите устройств. Как говорит уже упоминавшийся кардиолог Уильям Мэйсел,

«для пациентов, имеющих такие устройства, гораздо лучше быть с ними, нежели без них; если бы мне самому требовался дефибриллятор, я попросил бы тот, что оснащен беспроводной связью»…

Однако, сразу же добавляет его коллега-компьютерщик Кевин Фу,

«необходимо уже сегодня планировать то, каким образом эти устройства будут использоваться в ближайшие 15-20 лет»…

The END

МЕЖКОЛОННЫЕ ВРЕЗКИ

Один из самых знаменитых интернет-розыгрышей последнего времени сделал мишенью бурно цветущую индустрию медицинских устройств-имплантатов. Группа шутников сфабриковала «документальный» видеофильм, рассказывающий о новой опасной болезни «злокачественный металлоз», постепенно превращающей человека в киборга.

* * *

Чтобы не допустить вредоносного использования их исследования о хакинге мед-имплантатов, авторы тщательно изъяли из своей статьи любые методологические подробности. Предполагается, что это воспрепятствует любому использованию работы, кроме укрепления безопасности технологии.

* *

При экспериментах с хакингом мед-имплантов для воссоздания в условиях компьютерной лаборатории максимально реалистичной обстановки контейнер-имплантат помещался внутрь мешка с сырым мясом и беконом. При опытах использовались только фиктивные симуляционные данные о виртуальном пациенте.

*