Когда дело касается безопасности медицинских устройств, администрация учреждений здравоохранения должна в большей степени уделять внимание смягчению последствий, нежели предотвращению атак. Так считает доктор Кевин Фу (Dr. Kevin Fu), известный эксперт в области безопасности медицинских устройств.

«Как достойно выйти из опасной ситуации? Стоит ли просто закрыть больницу до восстановления или заняться ликвидацией последствий в реальном времени?» — спросил Фу, глава и сооснователь Virta Laboratories, на ежегодном форуме Internet of Things Forum.

В приветственной речи, которую он озаглавил «Управление рисками безопасности в области медицинских устройств», Фу отметил, что хакеры продолжат атаки на медицинские устройства, так как большинство этих систем уже устарели. «Если случилась атака, администрация надеется, что из ситуации возможно выйти достойно», — сказал Фу.

«Защищенность медицинских устройств должна оцениваться очень строго; пациенты должны принимать значимые для их здоровья решения, и поэтому они рискуют, делая выбор», — сказал  Фу. По его мнению, в традиционных ИТ-средах устранение проблемы — это позитивный результат, но в мире медицинских устройств средства предотвращения угроз могут нанести больше вреда, чем пользы.

Как считает Фу, атаки вымогателей на больницы вызывают опасения: в этом году случилось несколько подобных инцидентов. Но более всего беспокоит экспертов недоступность лечения для большого количества пациентов.

Безопасность медицинских датчиков, например датчиков кровяного давления, невероятно важна. Если этим устройствам нельзя доверять, в диагноз могут закрасться ошибки. И хотя люди могут выявить аномалии в самочувствии, компрометация критически важных устройств, ответственных за сбор медицинских показателей, может привести к серьезным последствиям, так как специалисты доверяют результатам тестов больше, чем симптомам.

По словам Фу, отрасль медицинского оборудования должна брать пример с авиации: люди, создающие электронные системы для самолетов, в первую очередь учитывают безопасность.

«Когда мне нужен совет о том, как относиться к уже совершенным ошибкам, я говорю с авиаторами», — отметил он.

Фу вскользь упомянул беспрецедентную ситуацию с инвестиционной фирмой Muddy Waters и ИБ-компанией MedSec; напомним, последняя раскрыла информацию об уязвимостях в кардиологическом оборудовании St. Jude третьей стороне в обход производителя.

«Мы, ученые, следуем принципам научной строгости в исследованиях, — сказал Фу. — За последние годы мы обнаружили множество проблем в медицинских устройствах, в том числе в кардиостимуляторах, но мы были удивлены исследованием MedSec, которое оказалось тем, что я называю нулевой гипотезой». В статистике этот термин обозначает вывод, основанный на случайном совпадении результатов.

Фу, исследовавший ряд уязвимостей в Центре безопасности медицинских устройств «Архимед» на базе Университета Мичигана, заявил, что по крайней мере один эксперимент над устройством St. Jude не выдал убедительных результатов. Сообщения об ошибке связаны, скорее всего, с тем, что кардиостимулятор не был подключен к ткани сердечной мышцы.

Хотя эксперт не опроверг результаты отчета, он тем не менее не согласился с его выводами.

«Мы не считаем отчет ложью, но полученные свидетельства не поддерживают выводы», — заключил он.

Категории: Кибероборона, Уязвимости