Podarilo sa hacknúť nemocničné prístroje

Expert v oblasti kybernetickej bezpečnosti Billy Rios poukázal na potenciálne nebezpečné nedostatky v softvérovom a hardvérovom vybavení automatických infúznych staníc. Na diaľku sa mu podarilo zmeniť dávkovanie lieku, čo môže byť smrtiace.

Moderné medicínske prístroje pomáhajú zachraňovať životy a uľahčujú situáciu pacientom aj ošetrujúcemu personálu. Majú však aj svoje vlastné problémy a nedostatky. Klasický kovový stojan so zavesenou plastovou, prípadne ešte sklenenou nádobou s infúziou, aký všetci poznáme zo slovenských nemocníc, sa na diaľku hackuje veľmi ťažko. Jeho moderný ekvivalent, ktorý sám určí bezpečnú dávku a  ešte aj upozorní personál na nesprávne vložené údaje, sa naopak už na diaľku ovplyvniť dá.

Nie je to však problém len infúznych staníc. Ako uviedol magazín Wired vo svojom článku, väčšina moderných nemocničných prístrojov má bezpečnostné nedostatky. Dokazuje to štúdia Scotta Ervena (vedúci sekcie IT bezpečnosti pre spoločnosť, ktorá v USA prevádzkuje približne sto medicínskych zariadení), ktorý spolu so svojím tímom strávil dva roky kontrolami a hľadaním potenciálnych bezpečnostných nedostatkov.

Problém, ktorý Rios objavil, sa týka nedostatočného zabezpečenia softvéru zariadenia a procesu jeho aktualizácie. Aktualizácia totiž nemusí byť digitálne podpísaná ani inak autentifikovaná. A  ako tvrdí sám Rios, v okamihu, keď niekam dokážete nahrať vlastný softvér, získavate plnú kontrolu. Pri plnej kontrole nielenže môžete meniť dávkovanie liekov (čo môže byť smrteľné), ale dokážete to aj utajiť (zobrazovať sa bude iná hodnota ako skutočná). Keďže je zariadenie pomocou komunikačného modulu neustále pripojené na nemocničnú sieť, ktorá je pripojená na internet, je možné nahrať upravený firmvér aj na diaľku.

Po nedávnom úspešnem hacknutí lietadla počas letu a ovplyvnenia jeho kurzu sa tento prípad ukazuje ako ďalšia ukážka potenciálne smrtiaceho hackerského útoku. Tento útok by bol navyše rozsiahly, keďže podobných infúznych staníc je po celom svete inštalovaných takmer 300-tisíc. No treba dodať, že útočník by musel okrem zvládnutia naprogramovania vlastného firmvéru prekonať aj zabezpečenie nemocničnej siete.

(JF)