LifecarePSA – это машина для автоматической подачи лекарств пациентам больницы, спроектированная для того, чтобы точно отмерять необходимые дозы и впрыскивать их прямо в вену больного. Когда она работает корректно, механическая точность позволяет избежать человеческих ошибок и радикально облегчает уход за больными. Однако если кому-то удастся взять контроль над системой, он может заставить машину, к примеру, впрыснуть пациенту полный флакон болеутоляющего за раз. И недавняя работа эксперта по кибербезопасности Билли Риоса продемонстрировала, что LifecarePSA, а также пять других моделей подобных аппаратов, уязвимы для подобного взлома.
Автоматические лекарственные насосы подают запросы в фармбиблиотеку – цифровую справочную систему, которая содержит важную информацию, вроде точных пределов дозировки препаратов, рассчитываемых на основании возраста, пола и веса пациента. Машина имеет высокий уровень доверия – то есть каждый раз, когда она обращается к библиотеке в больничной сети, она автоматически предполагает, что это нужная библиотека и не запрашивает аутентификации. А это в свою очередь означает, что любой человек с доступом к сети госпиталя потенциально может загрузить новую библиотеку, которая заставит машины подавать гораздо больше или гораздо меньше лекарств.
Это очень плохо само по себе. Но что делает ситуацию ещё хуже – так это то, что другая уязвимость в фирменном программном обеспечении машин позволяет хакерам перенастраивать сами устройства на подачу неверных доз.
Дело в том, что передача апдейтов фирменного ПО между компанией-разработчиком и её машинами, также проходит без аутентификации. Таким образом, хакер может передать системе «программный апдейт», который заставит её выдать летальную дозу лекарства. Согласно исследованию Риоса, хотя возможные последствия такого взлома колоссальны, его вероятность можно существенно снизить, введя процесс аутентификации, который позволит машине устанавливать только официальные апдейты.
Эксперты по безопасности вроде Риоса исследуют всевозможные устройства на предмет различных уязвимостей, о которых компания-разработчик могла не подумать, или незначительных неполадок, которые в потенциале могут стать по-настоящему опасными. Результаты своего исследования Риос направил в Управление по контролю пищевых и лекарственных веществ США, которое официально опубликовало данные об обнаруженных уязвимостях.
Комментариев нет:
Отправить комментарий