Сколько критически важных медицинских систем с доступом в Интернете являются уязвимыми и доступными для взлома? Согласно исследованию Скотта Эрвена из консалтинговой фирмы Protiviti, работающей в области безопасности ИТ-систем здравоохранения, и Марка Коллэо, консультанта по безопасности в Neohapsis, — их слишком много.
Эрвен и Коллэо использовали Shodan, поисковую систему для устройств, соединенных с Интернетом, чтобы обнаружить уязвимые медицинские устройства, которые могут быть атакованы злоумышленниками. В ходе поиска было найдено доступное извне оборудование радиологии, анестезии, кардиологии и др. Поиск Shodan обнаружил в том числе неправильно сконфигурированную общедоступную систему, пропускавшую данные всей системы здравоохранения США, включая данные медицинских устройств.
Только в одной распределенной сети больниц США были найдены 68 тыс. уязвимых систем. Среди них 21 система анестезии, 488 кардиологических систем, 133 системы переливания и т. д. Найденные уязвимости в основном связаны с использованием слабых паролей учетных данных администраторов (по умолчанию) и известных уязвимостей ПО в устройствах, которые не получают обновления.
Исследователи создали десять реалистичных honeypot (специальных ловушек для привлечения злоумышленников) и ждали нарушителей, чтобы понять, кто и как будет атаковать. В рамках исследования они зафиксировали более 55 тыс. успешных SSH/Web-входов, 24 успешных использования уязвимостей, злоумышленники использовали почти 300 наборов вредоносного ПО.
Однако есть и хорошие новости. Атакующие, как правило, ничего не делают. Они просто получают доступ к системе, вероятно, даже не понимая, к чему они получили доступ. Пока еще не существует доказательств преднамеренных атак на медицинское оборудование. Но ведь это дело времени, не так ли?
Нет сомнения, что оборудование нужно защищать, если мы хотим гарантировать безопасность и конфиденциальность пользователей. А пока организациям необходимо сменить пароли по умолчанию и установить необходимые заплатки ПО от производителей оборудования.
Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.