Rząd USA wydał w tym tygodniu
ostrzeżenie
dotyczące ratujących życie
kardiowerterów-defibrylatorów
(ICD) marki
Medtronic
. To małe urządzenia wszczepiane pacjentom, którzy cierpią na
potencjalnie śmiertelne zaburzenia rytmu serca
. Monitorowane są i aktywowane w razie zagrożenia przez programatory wykorzystujące komunikację radiową. Pozwalają one lekarzom na bieżąco sprawdzać działanie urządzenia.
Okazuje się, że w związku z tym defibrylatory
mogą stać się celem ataku hakerów
. Dzieje się tak, ponieważ stworzony przez firmę system Conexus, zapewniający bezprzewodowe łączenie się programatorów z implementowanymi urządzeniami, nie zapewnia
szyfrowania
w celu bezpiecznej komunikacji. To oznacza, że protokół nie ma możliwości uwierzytelnienia, a więc sprawdzania, że łączące się urządzenie ma prawo do przejęcia kontroli nad defibrylatorem. Istnieją też inne, poważne luki w zabezpieczeniach, które umożliwiają całkowite
zhakowanie oprogramowania
.
Agencja Cyberbezpieczeństwa i Infrastruktury Bezpieczeństwa USA
przeprowadziła w tym zakresie
szereg badań
i już w styczniu poinformowała o ich wynikach producenta urządzeń. Dowiodła, że atak hakerski mógłby dotyczyć nie tylko defibrylatorów, ale i ich
programatorów
znajdujących się pod nadzorem lekarzy. Wskutek tego można by zarówno
wykraść dane pacjentów
i historię ich choroby, jak i całkowicie
przejąć kontrolę nad siłą i częstotliwością elektrowstrząsów
, doprowadzając nawet do śmierci pacjenta.
Agencja wydała specjalny poradnik dla osób, które mają wszczepione defibrylatory, w którym zaleca im
specjalne środki ostrożności
. Samo Medtronic poinformowało, że wkrótce na wszystkich wszczepionych urządzeniach zostanie przeprowadzona
aktualizacja
oprogramowania, która będzie zapobiegała potencjalnym atakom hakerskim.