Кибератака на один инфузионный насос или "умную" ручку может повлечь за собой крупномасштабную утечку данных пациентов в медучреждениях, выяснил исследователь безопасности из компании Spirent SecurityLabs Саураб Харит (Saurabh Harit).
По словам исследователя, злоумышленники могут использовать похищенную информацию для требования ложных страховых выплат, покупки медицинского оборудования и лекарств с помощью поддельного удостоверения личности. Медицинские данные могут быть более прибыльными, чем финансовые, в силу низкой вероятности обнаружения утечки. Мошенничество с кредитными картами может быть обнаружено и заблокировано в течение нескольких минут, тогда как незаконные операции с медицинскими данными могут оставаться незамеченными в течение нескольких месяцев, или даже лет, пояснил Харит.
В ходе исследования эксперт был поражен количеством информации о пациентах, доступной через цифровую "умную" ручку. Врачи используют цифровые ручки для выписки рецептов на лекарства. С помощью таких ручек в аптеки передается информация об имени пациента, его адресе, номере телефона и другие медицинские данные.
По словам представителей медучреждений, ручки не хранят никакой информации, однако в ходе реверс-инжиниринга одного из таких устройств Хариту удалось обнаружить кеш данных. Используя специальное программное обеспечение для обхода проверки безопасности устройства, он смог получить права администратора. Хариту удалось получить доступ к конфигурациям серверов медучреждений, содержавших большой объем медицинских записей и других конфиденциальных данных. В то же время исправление уязвимостей в цифровых ручках является сравнительно несложным, так как устройства разрабатываются с учетом безопасности. По словам Харита, ручки можно обновлять удаленно.
Исследователь также изучил безопасность инфузионных насосов, использующихся для внутривенной подачи жидкостей, лекарств и питательных веществ пациентам.
Как обнаружил Харит, с помощью простого аппаратного устройства за $7 можно взаимодействовать с инфузионным насосом, читать его файлы конфигурации и выявить точку доступа, к которой насос пытается подключиться. В результате он создал поддельную точку доступа, подключенную к насосу, после чего собрал конфиденциальные медицинские данные пациентов, включающие список лекарств и их дозировку.
"Допустим, у больницы есть 200 таких насосов. Тогда злоумышленник может написать вредоносный скрипт и запустить его в сеть больницы, атаковав все устройства сразу", - отметил специалист, однако для взлома злоумышленник должен иметь физический доступ к насосу или "умной" ручке.
Исследователь уведомил производителей уязвимых инфузионных насосов и цифровых ручек, однако отказался раскрывать названия компаний или модели устройств.
