События

Взлом инфузоматов и «умных» ручек может привести к утечкам данных

Кибератака на один инфузионный насос или «умную» ручку может повлечь за собой крупномасштабную утечку данных пациентов в медучреждениях, выяснил исследователь безопасности из компании Spirent SecurityLabs Саураб Харит (Saurabh Harit).

По словам исследователя, злоумышленники могут использовать похищенную информацию для требования ложных страховых выплат, покупки медицинского оборудования и лекарств с помощью поддельного удостоверения личности. Медицинские данные могут быть более прибыльными, чем финансовые, в силу низкой вероятности обнаружения утечки. Мошенничество с кредитными картами может быть обнаружено и заблокировано в течение нескольких минут, тогда как незаконные операции с медицинскими данными могут оставаться незамеченными в течение нескольких месяцев, или даже лет, пояснил Харит.

В ходе исследования эксперт был поражен количеством информации о пациентах, доступной через цифровую «умную» ручку. Врачи используют цифровые ручки для выписки рецептов на лекарства. С помощью таких ручек в аптеки передается информация об имени пациента, его адресе, номере телефона и другие медицинские данные.

По словам представителей медучреждений, ручки не хранят никакой информации, однако в ходе реверс-инжиниринга одного из таких устройств Хариту удалось обнаружить кеш данных. Используя специальное программное обеспечение для обхода проверки безопасности устройства, он смог получить права администратора. Хариту удалось получить доступ к конфигурациям серверов медучреждений, содержавших большой объем медицинских записей и других конфиденциальных данных. В то же время исправление уязвимостей в цифровых ручках является сравнительно несложным, так как устройства разрабатываются с учетом безопасности. По словам Харита, ручки можно обновлять удаленно.

Исследователь также изучил безопасность инфузионных насосов, использующихся для внутривенной подачи жидкостей, лекарств и питательных веществ пациентам.

Как обнаружил Харит, с помощью простого аппаратного устройства за $7 можно взаимодействовать с инфузионным насосом, читать его файлы конфигурации и выявить точку доступа, к которой насос пытается подключиться. В результате он создал поддельную точку доступа, подключенную к насосу, после чего собрал конфиденциальные медицинские данные пациентов, включающие список лекарств и их дозировку.

«Допустим, у больницы есть 200 таких насосов. Тогда злоумышленник может написать вредоносный скрипт и запустить его в сеть больницы, атаковав все устройства сразу», - отметил специалист, однако для взлома злоумышленник должен иметь физический доступ к насосу или «умной» ручке.

Исследователь уведомил производителей уязвимых инфузионных насосов и цифровых ручек, однако отказался раскрывать названия компаний или модели устройств.

Результаты исследования будут представлены на конференции Black Hat Europe 6 декабря 2017 года.

Ранее SecurityLab сообщал о ряде опасных уязвимостей в беспроводных инфузионных насосах Smiths Medical Medfusion 4000, позволяющих хакерам получить удаленный доступ к устройству и управлять его работой.

Источник

Автор: Сергей Куприянов
5.12.2017 (21:27)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.