Компания St. Jude Medical снова вынуждена оправдываться по поводу проблем безопасности в ее продуктах. Защита ответчиков по иску компании о клевете, MedSec и Muddy Waters, предоставила суду свежие доказательства того, что кардиостимуляторы St. Jude уязвимы для кибератак.

Согласно документам, независимые эксперты, нанятые Muddy Waters и MedSec, подтверждают результаты предыдущего исследования. Отчет, подготовленный компанией Bishop Fox, рассматривается в качестве улики в федеральном суде Миннесоты.

«Заключения Muddy Waters и MedSec относительно проблем безопасности в решениях St. Jude Medical большей частью справедливы», — говорится в отчете.

«По моему мнению, меры безопасности, применяемые в медицинских устройствах St. Jude Medical, не отвечают требованиям безопасности для систем жизнеобеспечения», — пишет Карл Ливитт (Carl Livitt), эксперт Bishop Fox.

Это новый поворот в скандальном разбирательстве между производителем кардиоустройств St. Jude, ИБ-компанией MedSec, исследовавшей уязвимости в медицинском оборудовании, и инвестиционной компанией Muddy Waters, использовавшей отчет MedSec для манипуляций с курсом акций St. Jude. После этого St. Jude подала на Muddy Waters в суд за клевету и отказалась признавать проблемы безопасности в своих продуктах.

В это же время свое расследование ведут Администрация надзора за продуктами питания и медицинскими препаратами (FDA) и министерство национальной безопасности США (DHS). На время расследования FDA и DHS тем не менее не запретили использовать кардиостимуляторы St. Jude.

Согласно заключению эксперта Bishop Fox, устройства St. Jude имеют изъяны беспроводных протоколов, которые позволяют «превратить интерфейс управления Merlin@home в оружие, отключая функцию жизнеобеспечения и провоцируя шок на расстоянии до 3 м» (а при использовании дополнительных антенн — до 30 м, уточняет Ливитт).

Над отчетом Bishop Fox работали ряд известных ИБ-экспертов, в том числе специалист по криптографии и доцент университета Джона Хопкинса Мэттью Грин (Matthew Green), специалист по безопасности радиочастот и основатель Red Mesa Дрю Портер (Drew Porter) и эксперт по безопасности аппаратных систем и основатель Grand Idea Джо Гранд (Joe Grand).

St. Jude уже выпустила официальное заявление:

«Сегодня Muddy Waters и MedSec отреагировали на исковое заявление St. Jude Medical, поданное против них в сентябре. Мы приняли меры, чтобы призвать эти компании к ответу за фальшивые, вводящие в заблуждение обвинения, внести ясность в ситуацию с безопасностью наших продуктов, а также помочь пациентам и врачам принимать обоснованные решения об использовании наших продуктов, спасающих жизни и улучшающих самочувствие пациентов каждый день.

Мы считаем, что иск — это наилучший способ наказать тех, кто пытается запугать пациентов и врачей.

Наши юристы рассматривают предоставленные Muddy Waters и MedSec материалы и представят ответ в рамках делопроизводства».

С самого начала St. Jude отрицала проблемы с безопасностью устройств и утверждает, что отчет Muddy Waters был выпущен с целью снизить котировки акций St. Jude и обогатиться за счет игры на понижение. На момент закрытия торгов в понедельник акции St. Jude стоили $79,42, то есть на 0,08% больше, чем при открытии торгов.

Категории: Уязвимости