Эксперт по кибербезопасности Билли Риос обнародовал информацию о том, что установленные в больницах машины для автоматической подачи лекарств пациенту, являются очень уязвимыми к несанкционированному взлому. Это позволяет злоумышленнику с легкостью взломать такую машину и настроить ее на подачу смертельной дозы лекарства пациенту.

В тестировании, которое производил Риос, использовались медицинские машины для инъекций LifecarePSA. Данный автоматический лекарственный насос оснащается программным обеспечением и контроллером, который позволяет с точностью до микрограмма отмерять дозу лекарственных препаратов для впрыскивания их больному – таким образом, достигается чрезвычайно высокая точность дозировки. В каждой больнице имеется собственная фармбиблиотека, в которой находятся все дозировки для каждого из пациентов на основе его личных данных. При введении препарата насос подает запрос в библиотеку и система пропускает его без аутентификации, так как насос изначально имеет самый высокий приоритет доверия. Это позволит злоумышленнику проникнуть в фармбиблиотеку и перенастроить точные нормы подачи лекарств - сделать это из больничной сети не составит труда.

Еще одна проблема, по информации Риоса – это отсутствие защиты при передаче обновлений и программных апдейтов от разработчика. Пакет обновлений, присылаемый от разработчика, не проходит аутентификацию – хакер может с легкостью отправить на насос не официальный апдейт, а свою собственную программу и получить полный контроль над автоматическим насосом.

Информация, собранная Риосом, была официально опубликована Управлением по контролю пищевых и лекарственных веществ США, поэтому в скором времени для разработчиков автоматических инъекторов и ПО будут введены новые, более жесткие требования.

Автор статьи: Александр Матвеев