(Август 2011)
Вместе с тем, как персональная медицинская техника становится все более умной и коммуникабельной, начинают ощутимо возрастать и риски хакинга подобных устройств.
Если на двух независимых конференциях в существенно разных профессиональных областях незнакомые друг с другом исследователи почти синхронно делают доклады, посвященные изучению одной и той же проблемы, то – как минимум – на эту проблему имеет смысл обратить внимание и всем остальным. Тем более, что тема исследований непосредственно затрагивает самое дорогое, что есть у людей – их здоровье.
Суть конкретной проблемы, о которой идет речь, – это потенциальные уязвимости в безопасности персонального компьютерно-медицинского устройства под названием «инсулиновая помпа». Такого рода портативные аппараты, подсоединяемые к организму и почти постоянно носимые на теле людей, страдающих сахарным диабетом, ныне избавляют их обладателей от тяжких мучений. И вообще, делают жизнь куда более комфортной и полноценной для миллионов больных на планете.
В одних только США, к примеру, с весьма недешевыми инсулиновыми помпами ныне живут около 400 тысяч человек. А если взглянуть на цифры общего распространения этого заболевания в масштабах планеты, то по оценкам Международной диабетической ассоциации сейчас в мире насчитывается 285 миллионов диабетиков.
Что же касается ситуации в России, то по данным Всемирной организации здравоохранения, на сегодняшний день в стране 9,6 миллиона человек страдают от сахарного диабета, однако далеко не все из них (примерно двое из пяти) знают о своем диагнозе и встали на официальный учет.
Более того, технические проблемы, о которых пойдет здесь речь, касаются далеко не только диабетиков и их инсулиновых помп. Совершенно аналогичное положение дел характерно вообще для всех тех компьютерных медицинских устройств, которые за последние десятилетия в быстро нарастающих количествах применяют непосредственно на или даже в теле больных для постоянного мониторинга состояния и внесения необходимых коррективов в работу организма.
Особенно серьезными риски стали с той поры, когда подобную технику начали оснащать встроенными средствами радиосвязи.
Но удобнее все же рассмотреть проблему по частям.
Хакинг инсулиновой помпы
В июне этого года на HealthCom 2011, профессиональной конференции специалистов по компьютерно-медицинским технологиям, интернациональная группа ученых-исследователей из двух американских университетов продемонстрировала, что персональная электронная система диабетиков оказывается весьма уязвима к хакерским атакам.
В достаточно стандартный состав этой системы входила инсулиновая помпа с беспроводной связью и работающее с ней в комплекте устройство непрерывного мониторинга уровня глюкозы в крови (глюкометр).
Используя общедоступную аппаратуру, руководство пользователя и открыто опубликованную информацию, ученые смогли подключиться к информационному каналу системы и перехватывать такие данные, как снимаемые с тела показания об уровне глюкозы и размеры доз доставляемого в организм инсулина. Более того, когда исследователи установили, что доступ к управлению работой устройством защищен только PIN-кодом, они продемонстрировали, что могут дистанционно с помощью радиосвязи управлять размерами доз инсулина, поступающего в организм больного из контейнера помпы.
(Подробности об этой работе можно найти в статье авторов: Chunxiao Li, Anand Raghunathan, and Niraj K. Jha. «Hijacking and Insulin Pump: Security Attacks and Defenses for a Diabetes Therapy System». In the 13th IEEE International Conference on e-Health Networking, Application & Services (HealthCom). June 2011. Однако в открытом интернет-доступе данная статья не появлялась.)
Сам тот факт, что людям, профессионально занимающимся хакингом компьютерных устройств, в результате коллективной атаки без особых проблем удалось скомпрометировать медицинское электронное устройство, вряд ли кого способен удивить. При наличии большого желания и квалифицированном подходе хакнуть сегодня удается почти все.
Суть вопроса в том, насколько значительных затрат времени и средств подобная компрометация будет стоить. И вот именно в этом аспекте защита информации в современной медицинской технике выглядит далеко не блестяще.
Хакинг кардиостимулятора
Здесь пора напомнить, что нынешний хакинг инсулиновой помпы и монитора глюкозы – это далеко уже не первый случай, когда исследователями всерьез скомпрометировано устройство, критично важное для здоровья и даже жизни человека.
Три года тому назад, в 2008, другая группа американских исследователей аналогичным образом скомпрометировала и дистанционно взяла под свой контроль управление прибором, комбинирующим в себе функции сердечного дефибриллятора и кардиостимулятора.
(Как и хакнутая ныне инсулиновая помпа, кардиостимулятор был также изготовлен известной фирмой Medtronic, одним из крупнейших в мире производителей медицинских имплантов. Впрочем, все исследователи подобного рода техники обычно подчеркивают, что фирма-изготовитель в данном случае особой роли не играет, поскольку выявленные слабости характерны для технологии в целом.)
В условиях лабораторных экспериментов, максимально приближенных к реальным (контейнер кардиостимулятора, обычно имплантируемый пациентам в мышечную ткань неподалеку от сердца, помещался в мешок с мясом и беконом), исследователи продемонстрировали следующие вещи.
На основе общедоступной техники типа радиооборудования и компьютера они для начала похитили из устройства всю персональную информацию о его владельце. Затем показали, что могут выключать аппарат и перепрограммировать его режимы работы. А это означало, в итоге, что имеется возможность дистанционно заставить прибор посылать в сердце больного такие электрические сигналы, которые способны приводить к фатальному исходу.
Соответствующая статья на данный счет была написана коллективом ученых из университета Вашингтона, Гарвардской медицинской школы и Массачусетского универстита в Амхерсте, которые ради улучшения ситуации с инфозащитой в медицинской технике объединились в рамках долгосрочного проекта «Безопасная медицина» (www.secure-medicine.org).
На сайте этого проекта можно найти как собственно текст по итогам данной этапной работы (icd-study.pdf), так и несколько отчетов о более свежих исследованиях.
Пароли и коды
Поскольку хакингом медтехники занимаются серьезные ученые, то они же, естественно, ищут не только слабости технологии, но и возможные пути к укреплению защиты устройств, спасающих людям жизнь.
Понятно, что задача эта отнюдь не проста, поскольку в реальных условиях эксплуатации всякие дополнительные меры безопасности почти неизбежно влекут за собой и дополнительную нагрузку на энергию батареи, на размер устройства, на его цену и прочие немаловажные для продаж параметры. Из чего должно быть ясно, каким образом изготовители оборудования обычно реагируют на любые предложения по укреплению защиты их техники.
Кроме того, многие из предлагаемых мер дополнительной безопасности влекут за собой «побочные осложнения», если пользоваться околомедицинской терминологией. Например, некоторые из предложений, звучащих на конференциях, подразумевают защиту доступа к устройствам с помощью особого пароля.
Однако совсем несложно представить себе ситуации, когда такой пароль способен значительно затруднить своевременную медицинскую помощь. Потому что доктора и медсестры заведомо должны иметь возможность для управления устройством при возникновении опасных ситуаций – даже в тех случаях, когда пациент, который знает пароль доступа, находится в бессознательном состоянии.
В принципе, видятся возможности для обхода этой проблемы – путем нанесения, скажем, на кожу пациента татуировки со штрих-кодом, содержащим в себе пароль. Причем делать такую татуировку можно было бы как обычными видимыми чернилами, так и – по желанию клиента – такими чернилами, которые становятся видимыми лишь при освещении ультрафиолетовой лампой.
Предложены и другие варианты решений, типа выдачи докторам специальных электронных устройств, которые в случае опасности деактивируют защиту кардиостимуляторов, дефибрилляторов и прочих умных медицинских имплантов (правда, не очень ясно, как оградить такое ценное устройство от злоупотреблений нехорошими людьми).
Еще один вариант – выдавать пациентам специальные браслеты, на внутренней стороне которых выбит пароль доступа к их прибору. Или – более продвинутая разновидность той же идеи – использовать так называемые rolling codes, то есть технологию динамически изменяющихся кодов доступа. Такого рода криптографическая технология, как известно, ныне широко применяемая в системах дистанционного управления гаражными дверями и в автомобильных противоугонных системах.
Но самое главное среди изобилия генерируемых исследователями предложений, это чтобы меры безопасности для имплантов были четко стандартизированы. Потому что для всех очевидно – если перед врачами лежит потерявший сознание человек, то даже в теории не должна возникать ситуация, когда медперсонал бросается на розыски информации о том, какая именно система безопасности используется в аппаратуре жизнеобеспечения больного…
Реакция индустрии
Все вышесказанное, пора напомнить, это пока что лишь сугубо теоретические рассуждения посторонних для медицинской индустрии людей, озабоченных слабой защитой информации в технологиях здравоохранения. Что же касается представителей самой этой индустрии, то прежде, чем начинать изложение их позиции, имеет смысл упомянуть о еще одном недавнем выступлении, посвященном хакингу опять-таки инсулиновой помпы.
Этот доклад-презентация был сделан на хакерской конференции BlackHat / DefCon, в начале августа проходившей в Лас Вегасе. В данном случае автором исследования была не группа маститых университетских ученых, а один-единственный, доселе безвестный специалист в области компьютерной безопасности по имени Джей Рэдклиф (Jay Radcliffe). Главная его особенность в том, что Рэдклиф сам явяется диабетиком, постоянно подключенным к инсулиновой помпе и монитору глюкозы в крови.
И вот однажды, озаботившись безопасностью носимой на себе электроники, Рэдклиф (не сказать что с удовлетворением) обнаружил, что вполне способен хакнуть свою собственную инсулиновую помпу. А хакнув, заставить устройство вводить в тело либо очень много, либо слишком мало инсулина. Эксплуатируя эту уязвимость, исследователь в буквальном смысле нашел способ, каким образом можно практически без улик через беспроводную связь убить человека.
Неприятное открытие одиночки-диабетика Рэдклифа получило в обществе намного больший резонанс, нежели аналогичный доклад группы ученых из Принстона, сделанный месяцем ранее. Журналисты, соответственно, стали добиваться реакции со стороны индустрии.
В подобных ситуациях, ясное дело, самое главное – не допустить среди публики панических настроений. Поэтому представитель AMTA, Ассоциации передовых медицинских технологий, как смог, попытался понизить степень опасности таким заявлением:
«Риски того, что оборудование пациентов с диабетом окажется хакнутым, чрезвычайно малы. Гораздо больше рисков для здоровья в том случае, если не применять подобные средства мониторинга».
Среди специалистов не нашлось никого, кто был бы не согласен с подобным. Но осадок, что называется, все равно остался.
Поэтому наиболее обеспокоенная часть общества тут же стала пытать представителей фирм-изготовителей помп, в первую очередь Medtronic – базирующуюся в Миннеаполисе, штат Миннесота, компанию, занимающую ныне пятую сверху строчку в рейтинге MassDevice Big 100, списке крупнейших в мире компаний по производству медицинской техники.
Но поскольку дело это уже далеко не новое, а сообщения о хакинге имплантируемых в тело компьютерных устройств в последние годы поступают все чаще и чаще, в Medtronic выработали стандартный ответ на все подобные инсинуации. Этот же ответ повторили и теперь – в качестве официальной реакции на новость. В исполнении пиар-директора фирмы MiniMed, дочернего подразделения Medtronic, занимающегося конкретно инсулиновыми помпами, звучит эта мантра так:
«Насколько нам известно, за более чем 30-летний период использования подобных устройств ни разу не было ни единого сообщения о такого рода инциденте, который происходил бы вне рамок контролируемых лабораторных экспериментов. При этом речь идет о миллионах устройств по всему миру…
У нас нет причин полагать, что это повод для озабоченности, поскольку устройства для диабетиков прошли через интенсивное тестирование, дабы гарантировать, что оно будет безопасным и защищенным от вреда извне»…
Иначе говоря, пока в мире реально и надежно доказуемо кого-нибудь не убьют через их прибор, корпорация-изготовитель будет оставаться в уверенности, что у нее с защитой все в полном порядке.
Мотивы вредительства
Тот тип аргументации, что обычно применяет в подобных неудобных ситуациях индустрия, известен довольно давно. И он сам по себе порождает горький скепсис среди специалистов по безопасности.
В этой среде, в частности, тут же вспомнили, что совсем недавно очень похожий подход к защите информации практиковали поставщики SCADA, компьютерных систем управления для промышленного оборудования. Несмотря на многочисленные предупреждения, продолжалось это вплоть до появления червя Stuxnet. Который напугал всех до полусмерти и в очередной раз доказал, что если нечто может быть хакнуто, значит, оно будет хакнуто.
Сторонники превентивных мер в укреплении безопасности предлагают мыслить так.
Представьте себе, что какой-нибудь не всеми обожаемый глава государства болен диабетом и носит на себе инсулиновую помпу. Или имеет такие проблемы с сердцем, которые требуют постоянной имплантации подключенного к сердцу кардиостимулятора/ дефибриллятора. Разве же невозможно, что кто-нибудь из его непримиримых политических противников узнает об этом факте и воспользуется уязвимостями подобных медицинских устройств для собственной выгоды? Ведь подобный сценарий устранения выглядит намного более привлекательным, нежели банальное и опасное политическое убийство с помощью, скажем, пистолета в толпе свидетелей…
Подобный сценарий, впрочем, хотя и достаточно реалистичен, однако обычными людьми в качестве действительной угрозы в жизни как-то не воспринимается. Разве что в каком-нибудь политическом кинотриллере.
Но не так давно в одном из научных журналов (New England Journal of Medicine, April 2010) была опубликована статья профессора Гарвардской медицинской школы Уильяма Мэйсела (William Maisel), в которой он исследовал всевозможные аспекты проблем со слабой безопасностью медтехники. И в частности, проанализирован им и вопрос о том, кому и зачем вообще может понадобиться заниматься хакингом кардиостимуляторов или инсулиновых помп (кроме беспокойных ученых и хакеров-диабетиков, естественно).
Как выяснилось при сопоставлении с аналогичными ситуациями в других областях, причин и поводов может быть довольно много:
«Мотивация для таких действий может включать в себя добычу приватной информации ради финансовых выгод или для преимуществ в конкурентной борьбе. Или нанесение ущерба репутации компании, изготовившей устройство. Или саботаж со стороны уволенного или обиженного сотрудника. Разозленный клиент или террорист, действующий ради нанесения финансовых или персональных повреждений людям. Или же на это могут пойти просто ради удовлетворения эго атакующего».
Ну и дабы не оставалось сомнений, что речь здесь идет отнюдь не только о теоретических угрозах со стороны неясно чем мотивируемых маньяков, но и о вполне реальных попытках массового нанесения физического вреда больным людям, осталось вспомнить реальную историю 2008 года. Когда веб-сайт благотворительной организации Epilepsy Foundation, занимающейся поддержкой больных, страдающих эпилепсией, был подвергнут странной и абсолютно мерзкой по своей сути хакерской атаке.
Сначала дискуссионные ветви веб-форума, где посетители имеют возможность неформально общаться, делиться опытом лечения и получать консультации, стали наводнять сотни посланий со встроенными картинками GIF-анимации, которые мерцающей сменой красок вызывают у больных эпилептический припадок или сильнейший приступ мигрени.
Когда же сообщения с опасными картинками были заблокированы, началась более изощренная атака. Теперь в послания встраивался код-пересыльщик, который отправлял читателей на другой веб-сайт. Там окно браузера автоматически переводилось в полноэкранный режим, после чего начиналась демонстрация быстро меняющихся изображений, провоцирующих приступы как у эпилептиков, реагирующих на мерцание света, так и у реагирующих на смену форм…
Глядя в будущее
С каждым годом становящееся все более многочисленным, сообщество исследователей, сосредоточившихся на выявлении уязвимостей в медицинской технике, думает не столько о сегодняшних рисках, сколько о завтрашнем дне. Тенденции развития технологий таковы, что медицинские устройства с каждым годом становятся все более коммуникабельными со своим окружением и все более сложными в рабочей функциональности. А по мере того как технология меняется, стабильно возникают и новые проблемы с инфобезопасностью.
Пока эти устройства управляются и взаимодействуют на коротких дистанциях, риски относительно невелики. Куда более серьезные проблемы начнутся тогда, когда ими станут управлять дистанционно через сети типа интернета и телефонной сотовой связи. А это время непременно наступит и довольно скоро, просто потому что это очень удобно для врачей и их пациентов.
Дистанционная медицина – то есть непосредственный контакт с врачом на больших расстояниях для решения самых разных проблем от диагностики до непосредственного участия в хирургических операциях – считается одним из самых перспективных направлений в дальнейшем развитии здравоохранения. Понятно, что столь же заманчивые перспективы видятся и для дистанционного контроля за работой имплантов, всесторонне отслеживающих состояние больного.
Именно по этой причине представляются очень важными и нынешние усилия исследователей, заблаговременно выявляющих все уязвимости и слабости защиты в медицинских нательных устройствах. Потенциальные риски мудрее изучать и блокировать на том этапе, когда они еще не превратились в прямую и явную угрозу жизням пациентов.
The End
kiwi arXiv 