На сегодняшний день существуют множество скрытых угроз уровней доступа в различных IoT-устройствах – это широко обсуждается в последнее время.
Но мало кто представляет себе реальное состояние дел: все те небольшие устройства, имеющие реальную операционную систему, о которой обычный человек даже не догадывается, что она может тут находится – в автомобилях, самолётах, космических спутниках, а также в принтерах, картах сотовой связи, чипах банковских карт и, наконец, в кардиостимуляторах – могут быть подвержены взлому и получению несанкционированного доступа, и не только к ним, но и к тем системам, куда эти устройства имеют доступ по умолчанию. Это могут быть как и персональные компьютеры специалистов и серверы компаний, так и облачные сервисы.
То есть кардиостимуляторы, инсулиновые помпы для больных диабетом, слуховые аппараты с облачным доступом по распознаванию речи — и прочие медицинские системы – потенциально опасны в плане компьютерной безопасности.
Разумеется, проектировщики подобных устройств стремятся сделать их максимально компактными, энергоэффективными для большей автономности, и в то же время достаточно производительными для надёжного исполнения своих прямых функций. Впрочем, это касается и других систем, таких, например, широко обсуждаемых, как автономные камеры видеонаблюдения (автономность им необходима для записи событий в случае таких инцидентов, как, например, отключение электричества, сбой сотовой связи для передачи данных или, например, умышленное подавление сигнала сети с помощью специальных устройств – когда камера всё-таки запишет в собственную память и затем при восстановлении связи передаст записанные данные на сервер).
Подобные инциденты влияют на автономность устройства, его производительность и срок службы. То есть, если тот же кардиостимулятор должен постоянно отслеживать крайние критические параметры работы сердца, так называемые пиковые значения и записывать в память, а затем при посещении специалиста кардиотехнического центра передавать на компьютер специалиста – существует, в случае отсутствия элементарных мер безопасности, очень высокая вероятность получения несанкционированного доступа как и к самому кардиостимулятору, так и к инфраструктуре его подключения.
Рассматривать такие сценарии, как вирусное заражение кардиостимулятора – пока не имеет смысла, так как это в любом случае при наличии интереса произойдёт в любом случае.
Впервые на эту угрозу внимание общественности было привлечено в 2017 году, но практические выводы исследователей до сих пор не нашли отклика у производителей медицинского оборудования. С одной стороны, это понятно: никто не будет по таким причина извлекать устройства из организма человека. Если дополнительно учесть тот факт, что возраст пациентов клиник часто старше 60 лет, когда процессы регенерации основательно замедленны и иммунная система работает в сниженном режиме – риски замены кардиостимулятора высоки.
Поэтому, к чести медиков и техников, признавая проблему и необходимость повышения безопасности, медицинские центры пошли на обновление прошивок устройств. Были в добровольном порядке отозваны для прошивки около 446 000 кардиостимуляторов.
Вообще, подсчитано, что от 22% до 45% на данное время подвержены подобным угроза, и работа по достижению должного уровня безопасности разработчиками ведётся.
