Команда врачей и компьютерных ученых в университете Калифорнии показала, что легко изменить результаты медицинских тестов удаленно, атакуя связь между лабораторными приборами больницы и системами медицинской регистрации.

Эти виды нападений, скорее всего, будут использоваться против таких громких целей, как главы государств и знаменитости, чем против широкой общественности. Но они также могут быть использованы национальным государством, чтобы искалечить медицинскую инфраструктуру Соединенных Штатов.

Исследователи из UC San Diego и UC Davis подробно описали свои выводы Aug. 9 на конференции Black Hat 2018 в Лас-Вегасе, где они устроили демонстрацию атаки. Названный Pestilence, атака является исключительно доказательством концепции и не будет выпущена для широкой общественности. В то время как уязвимости, которыми пользуются исследователи, не являются новыми, это первый раз, когда исследовательская группа показала, как они могут быть использованы, чтобы поставить под угрозу здоровье пациентов.

Эти уязвимости проистекают из стандартов, используемых для передачи данных о пациентах в больничных сетях, известных как семь стандартов уровня здоровья, или HL7. По существу, язык, который позволяет всем устройствам и системам в медицинском учреждении общаться, HL7 был разработан в 1970-х годах и остался нетронутым многими достижениями в области кибербезопасности, достигнутыми за последние четыре десятилетия.

Внедрение стандартов в отношении стареющего медицинского оборудования персоналом с незначительным или нулевым уровнем подготовки в области кибербезопасности привело к неописуемому количеству данных о пациентах, циркулирующих небезопасным способом. В частности, данные передаются в виде незашифрованного обычного текста в сетях, которые не требуют каких-либо паролей или других форм проверки подлинности.

Взлом данных в больницах был в новостях в последние годы. Но исследователи хотят обратить внимание на то, как эти данные, после того, как они были скомпрометированы, могут быть манипулированы. "Здравоохранение отличается от других секторов в том, что манипулирование критической инфраструктурой имеет потенциал непосредственно влиять на жизнь человека, будь то путем прямого манипулирования самих устройств или через сети, которые их соединяют", - пишут исследователи в белой книге, выпущенной в сочетании с их демонстрацией черной шляпы.

Уязвимости и методологии, используемые для создания инструмента Pestilence, были опубликованы ранее. Новшество здесь заключается в объединении ноу-хау в области компьютерных наук и знаний врачей, чтобы использовать слабые места в стандарте HL7, чтобы негативно повлиять на процесс ухода за пациентами.

В состав команды входят Доктор Кристиан Дамефф, врач скорой помощи и клиническая Информатика, и Максвелл Блэнд, студент магистратуры в области компьютерных наук, как в UC Сан-Диего, и доктор Джеффри Талли, резидент анестезиологии в медицинском центре UC Davis. Врачи должны быть в состоянии доверять, что их данные являются точными, Талли сказал."Как врач, я стремлюсь просвещать своих коллег, что скрытое доверие, которое мы вкладываем в технологии и инфраструктуру, которые мы используем для ухода за нашими пациентами, может быть неуместным, и что осознание и бдительность в отношении этих моделей угроз имеет решающее значение для практики медицины в XXI веке", - сказал он.

Защита данных от манипуляций крайне необходима. "Мы говорим об этом, потому что мы пытаемся обеспечить медицинские устройства и инфраструктуру, прежде чем медицинские системы испытают серьезный сбой", - сказал Дамефф. "Мы должны исправить это сейчас.

Исследователи описывают контрмеры, которые медицинские системы могут принять, чтобы защитить себя от этих типов атаки.

Инструмент Pestilence

Исследователи использовали то, что называется "человек в середине атаки", где компьютер вставляет себя между лабораторной машиной и системой медицинских записей. Блэнд, выпускник UC San Diego computer science, автоматизировал атаку, чтобы она могла удаленно обрабатывать большие объемы данных. Конечно, исследователи не проникли в существующую систему больниц. Вместо этого они построили испытательный стенд, содержащий медицинские лабораторные приборы, компьютеры и серверы.Это позволило группе провести анализ крови и мочи, перехватить результаты анализов, изменить их, а затем отправить измененную информацию в систему медицинской документации.

Исследователи взяли нормальные результаты анализов крови и модифицировали их, чтобы сделать его похожим на пациента, страдающего диабетическим кетоацидозом, или DKA, тяжелым осложнением диабета. Этот диагноз заставит врачей назначать инсулиновую капельницу, которая у здорового пациента может привести к коме или даже смерти.

Исследователи также модифицировали результаты нормальных анализов крови, чтобы показать, что у пациента был очень низкий калий. Лечение калием IV на здоровом пациенте вызовет сердечный приступ,который, вероятно, будет смертельным.

Контрмеры

Исследователи подробно описывают ряд шагов, которые больницы и государственные учреждения могут предпринять для защиты медицинской инфраструктуры в своей белой книге "Черная шляпа".

Больницы должны улучшить свои методы безопасности. В частности, системы медицинской документации и медицинские устройства должны быть защищены паролем и защищены брандмауэром. Каждое устройство и система в сети должны быть ограничены связью только с одним сервером, чтобы ограничить возможности хакеров проникать внутрь больничных сетей. Это называется "сегментирование сети" и является лучшим способом защиты медицинской инфраструктуры, сказал Бланд, аспирант по информатике в инженерной школе Джейкобс в UC San Diego.

Исследователи также хотели бы повысить осведомленность о новом стандарте, который может заменить HL7: быстрый ресурс совместимости здравоохранения, или FHIR, позволит обеспечить зашифрованную связь внутри больничных сетей.

По словам исследователей, сотрудники больницы должны быть осведомлены о проблемах кибербезопасности и обучены, чтобы обеспечить защиту от потенциальных атак. Например, ИТ-персоналу необходимо знать, как настроить сети и серверы для поддержки шифрования. Исследователи указывают отчет 2017 года от целевой группы по здравоохранению и человеческим услугам, заявив, что 80 процентов персонала больницы не обучены кибербезопасности.

Кроме того, кибербезопасность должна стать частью процесса утверждения FDA для медицинских устройств, сказали исследователи. Следует поощрять производителей к внедрению новейших и наиболее безопасных операционных систем. Например, сегодня многие медицинские устройства все еще работают на Windows XP, операционной системе, которая была выпущена в 2001 году и больше не поддерживается Microsoft - это означает, что уязвимости не устранены. Эти устройства не могут быть легко модернизированы, поскольку они должны быть переведены в автономный режим, что поставит под угрозу уход за пациентами. Кроме того, некоторые устройства слишком говорят, чтобы быть модернизированы.

"Работая вместе, мы можем повысить осведомленность об уязвимостях безопасности, которые могут повлиять на уход за пациентами, а затем разработать решения для их устранения", - сказал он.

Источник: ссылка