Поза межами людського: люди з хворим серцем можуть стати мішенню терористів

Поза межами людського: люди з хворим серцем можуть стати мішенню терористів

Аналітика
1458
Ukrinform
Є загроза в масштабній кібератаці на радіомагнітні стимулятори. І поки лише США себе убезпечили

Управління по контролю за продуктами харчування і ліками США зробило гучну заяву — вони рекомендували відкликати майже півмільйона кардіостимуляторів через великий ризик дистанційних кібератак. Йдеться про прилади, випущені St. Jude Medical (яку нещодавно купила компанія Abbot) - провідною компанією по виготовленню медичного обладнання. Оперативність американців, безумовно, заслуговує на повагу, але контекст новини — приголомшує. Це наочна демонстрація “чорної”, диявольської винахідливості, шаленого темпу з яким розвивається терор. Кібертерористи можуть переключитись з банківських систем на управління електропостачанням, чи на державні відомства, чи, як у цьому, - найгіршому випадку – безпосередньо на життя людей. Не кажучи вже про те, що все це безжально підкреслює безпомічність і уразливість людини із вадами серця …

Кардіостимулятори взагалі виглядають, даруйте на слові, “ідеальною” мішенню для кібертерористів. Вони дарують мільйонам людей надію на довгі роки життя. Але навряд чи ми повністю розуміємо, що саме з певного моменту працює, знаходячись в людському тілі. Кардіостимулятори через свою конструкцію і безліч зовнішніх факторів, умовно кажучи, чіпляють людину “на гачок” - адже прилад може і зламатись, і дати збій, його можуть розмагнітити, чи дистанційно змінити частоту імпульсів. Втім, це все поки що лишається нашим припущенням.

В цій ситуації з відкликанням кардіосимуляторів на перший погляд все просто. Але якщо розбиратися глибше, стає помітною велика кількість протиріч. Що оновлюють у “відкликаних” пристроях? І конкретних відповідей поки що немає. На перший погляд здається, що все добре — проблема ще не з’явилась, а її вже вирішують. Але звідки ж тоді ажіотаж? Можливо, все як завжди - хтось десь неправильно щось зрозумів? Адже по-перше, “відкликати” кардіостимулятор – це, певною мірою, лише умовність, жодної операції проводити не потрібно і замінювати пристрій — тим паче. Та й навряд чи взагалі будуть “виправляти” самі стимулятори, можливо, перевстановлять лише програмне забезпечення комп’ютерів, які направляють інформацію до пацієнтів. А по-друге, проблема, якщо вона має місце, не в усіх кардіостимуляторах, а лише в тих, що випущені в другій половині 2016-го року. А їх можна легко перелічити - за інформацією з сайту МОЗ — в Україні таких людей лише кілька тисяч.

Забігаючи наперед, треба сказати, що кроки американського контролюючого органу — носять профілактичний характер. Досі ще не було жодного випадку атаки ззовні на медичні пристрої такого типу. То що, хвилюватись поки зарано? Компанії-виробники кардіостимуляторів тримають руку на пульсі? Чи, принаймні, нам так здається, що тримають?

Укрінформ вирішив розібратись, які кардіостимулятори можуть стати ймовірною мішенню терористів, і чи є загроза для українців стати жертвою таких кібератак?

«Слабка ланка» — програмне забезпечення, його й треба замінювати

Електромагнітний стимулятор за принципом дії - прилад доволі простий. Він складається з мікропроцесорного блоку, датчиків та батареї живлення, що поміщені в титановий корпус. Мікропроцесорний блок через датчики відслідковує ритм серцебиття і, в разі виникнення порушень, посилає електричний імпульс, тим самим повертаючи серцю нормальний ритм. Ритм, а точніше, програма, яка його задає - найбільш вразливі ланки у цій технології. На неї можна вплинути як через комп’ютерну мережу клініки, яка має безпосередній доступ до пристроїв пацієнтів, так і “вручну” - змінивши електромагнітне поле навколо стимулятора. Якщо останній спосіб можна знівелювати, посиливши захист «коробки» пристрою, то посилення захисту від спроб проникань через інший комп’ютер – лише, як кажуть, в процесі.

Між іншим, вже були випадки, коли бази даних лікарень ставали ціллю успішної кібератаки. Згадаймо лише травневий випадок з вірусом-здирником Wanna Cry, коли постраждали десятки лікарень, зокрема в Великобританії. Вочевидь, саме тому компанія Abbott і вирішила оновити в пристроях програмне забезпечення.

Можливо також, що причина заміни програмного забезпечення набагато простіша. В січні 2017 року компанія St. Jude Medical була приєднана до Abbott. В ході цієї стандартної бізнес-оборудки поширювалися новини про неякісне програмне забезпечення St. Jude Medical, нібито захист даних пацієнтів у ньому є недостатньо надійним. Чи не був це банальний “злив компромату”, щоб знизити вартість акцій – наразі невідомо. А нові власники вирішили не ризикувати, тому замінюють існуюче програмне забезпечення на власне, в якому вони впевнені.

St. Jude Medical - американська компанія-виробник медичних приладів
St. Jude Medical - американська компанія-виробник медичних приладів

Над захистом в США працюють усі служби і компанії — але злагодженості їм бракує

Загалом, політика компанії Abbott щодо людей — носіїв кардіостимуляторів St. Jude Medical – добре продумана. Кожний клієнт клініки має закріпленого за собою лікаря і особистий кабінет на сайті merlin.net. За допомогою цього сервісу можна керувати кардіостимулятором — навіть запрограмовувати потрібну частоту імпульсів. І робити це можна не виходячи з дому.

Досі точно невідомо, хто ж саме є ініціатором “відкликання” кардіостимуляторів. Чи це управління по контролю за ліками, чи ж це сама компанія Abbott? В прес-релізі компанії зазначається, що це вони ініціювали зміни - вони є плановими і саме Abbott рекомендувала Управлінню по контролю відкликати кардіостимулятори.

В прес-релізі компанії Abbott написано, що основне, що планують зробити — встановити програмне оновлення, що показуватиме рівень заряду батареї кардіостимулятора. І до чого ж тут загрози кібератак? Погодьтесь, це виглядає як мінімум дивно та нелогічно, якщо не мати на увазі те, що потенційних кібертерористів зовсім не обов’язково інформувати про свої плани.

Українські медики налаштовані оптимістично — пацієнтам хвилюватись не варто

В Україні кардіостимулятори компанії St. Jude Medical носить ледь не кожен третій пацієнт, якому такий прилад був імплантований. Завідувач лабораторією Інституту кардіології імені М. Д. Стражеска Олександр Лизогуб не здивував нас і вас, розповівши, що “найпопулярніші кардіостимулятори ті, які найдешевші”. І далі: “З 2010-го року Україна зазвичай закуповує продукти компаній St. Jude Medical та Medtronic. Наразі жодної інформації від компанії St. Jude Medical стосовно відкликання кардіостимуляторів не надходило.”

Кардіостимулятор компанії St. Jude Medical
Кардіостимулятор компанії St. Jude Medical

Ми не можемо порахувати скільки в Україні кардіостимуляторів торгової марки St. Jude Medical, які нас цікавлять — випущені в другій половині 2016 року. Для загального уявлення: в Україні 300 тисяч людей потребують встановлення кардіостимулятору. Вартість найдешевших зразків – близько 2 тис. доларів. Тобто загальні обсяги цього ринку – в районі 3 мільярдів. Цифра більш ніж солідна…

“В продуктах компанії St. Jude Medical встановлене абсолютно безпроблемне програмне забезпечення. Воно міняється лише комп’ютерами, через які кардіостимулятори програмуються, а не в самих приладах. Їхня програма “зашита” на виробництві і вона не оновлюється. Їх можна підлаштовувати, міняти задані показники, але зміна або оновлення програмного забезпечення саме на них неможлива. А програмне забезпечення міняється періодично всіма виробниками — St. Jude Medical (попри купівлю цієї фірми компанією Abbott, торгова марка залишилась та сама), і Medtronic в тому числі.” - зазначає спеціаліст.

Щодо дефектного програмного забезпечення кардіостимуляторів Олександр Лизогуб переконує: “компанії, що постачають своє медобладнання в Україну — добросовісні. Якщо ми бачили, що кардіостимулятор «не штатний», то нам його без проблем, безкоштовно виробники завжди замінювали.”

Можливо, зараз відповідні структури нашого МОЗ мали б звернутись до компанії-виробника кардіостимуляторів, аби з’ясувати, чи потребують оновлень, “перепрошивок” і всього подібного прилади, поставлені в Україну.

Микола Романюк, Київ

Розширений пошукПриховати розширений пошук
За період:
-