Дэниел Крамер и Кевин Фу выяснили, что число случаев заражения техники в больницах вредоносными программами растет

В медицинской аппаратуре часто используются стандартные персональные компьютеры и беспроводные соединения, делающие приборы уязвимыми для вредоносных программ. Нередко медтехника нуждается в загрузке обновлений ПО для устранения брешей безопасности. Однако, как показало недавно опубликованное исследование, отслеживание таких уязвимостей практически не ведется.

Доклад подготовлен специалистами медицинского центра Beth Israel Deaconess при Гарвардской медицинской школе и факультета компьютерной науки Массачусетского университета в Амхерсте. Частично исследование финансировалось Национальным научным фондом США.

Авторы обработали информацию из ряда федеральных баз данных по неполадкам в медицинских приборах и их изъятиям из продажи. Были проанализированы сведения за несколько лет о том, как производители медицинского оборудования и их основные заказчики — больницы публикуют сведения в подобных базах. Докладчики приходят к выводу, что в США недостаточно освещаются проблемы с безопасностью и нарушениями конфиденциальности личных данных в программном обеспечении медицинских приборов.

Между тем, как утверждают исследователи, известно, что растет число случаев заражения техники в больницах вредоносными программами — медицинские приборы даже иногда присоединяются к ботнетам.

«Паниковать, конечно, не стоит, — полагает Кевин Фу, преподаватель компьютерных наук Массачусетского университета в Амхерсте, один из соавторов доклада. — Однако упомянутые инциденты все же имеют место».

Медики и ИТ-специалисты могут пользоваться открытой информацией из трех основных баз данных по изъятиям медицинских приборов и предупреждениям об опасности: публичная база Управления по контролю за пищевыми продуктами и медикаментами (FDA); реестр откликов производителей и пользователей о работе с аппаратурой (MAUDE), в который медики могут сообщать об инцидентах; отчеты FDA об изъятиях и предупреждениях об опасности изделий. Однако, как выяснили исследователи, в этих базах вообще не ведется учет проблем с информационной безопасностью и конфиденциальностью.

«Федеральные базы сильно отличаются от баз некоторых поставщиков по объему сведений об инцидентах с безопасностью и конфиденциальностью», — говорится в докладе.

Анализ показал, что весьма часто аппаратура изымается из продаж в связи с необходимостью обновления ПО, однако, как правило, инциденты с безопасностью, предшествовавшие подобным изъятиям, в базах не указываются.

Пообщавшись с работниками клиник и больниц, исследователи пришли к выводу, что об инцидентах не сообщается из боязни ответственности. По мнению авторов, чтобы повысить осведомленность о проблемах с информационной безопасностью, медицине нужен закон о «безопасной гавани» (safe harbor), позволяющий избежать ответственности при условии соблюдения стандартов. Подобные законы есть в других отраслях, например в авиации.

В базе MAUDE не упоминаются инциденты с информационной безопасностью, хотя перечислено около тысячи обнаруженных пользователями проблем с аппаратурой, утверждается в исследовании. Для проверки один из авторов 19 июля 2011 года подал в базу доклад о программной уязвимости в автоматизированном дефибрилляторе, и оказалось, что к 19 января 2012-го сообщение еще не было обработано — оно появилось в базе только в апреле.

В исследовании отмечается, что на сегодня случаи серьезных целенаправленных компьютерных атак на медицинскую аппаратуру неизвестны. Однако было немало случаев заражения вирусами компьютеров, управляющих медицинской техникой, в результате чего приборы иногда даже становились участниками ботнетов, распространяющих спам. Вину за это докладчики возлагают на производителей.

«Типичные источники заражения — Интернет или USB-накопители, причем, как ни парадоксально, инфицируются в том числе и приборы, на которых производители регулярно обновляют ПО, — говорится в докладе. — В одном случае только что купленный аппарат уже был заражен вирусом. Все вредоносные программы представляли собой распространенные компьютерные вирусы, а не специально созданные для медицинских устройств».

В отличие от упомянутых трех баз еще одна содержит сведения о заражениях компьютерными вирусами больничной техники. Эту базу ведет управление безопасности министерства по делам ветеранов. В ней собирается статистика заражений вредоносными программами по 156 медицинским центрам. «Согласно данной базе, за период с января 2009 года по декабрь 2011-го получены сведения о 142 несвязанных случаях заражения компьютерными вирусами, — сообщается в докладе. — Эти инциденты затронули 207 медицинских приборов, применявшихся в отделениях онкологии, рентгенологии, гастроэнтерологии, офтальмологии, кардиологии, пульмонологии, стоматологии, аптеке и др.».

Каковы же были последствия? «Обычно результатом становилось прерывание медицинского обслуживания в связи с компьютерными сбоями. В одном, вопиющем, случае в результате вирусного заражения компьютера в лаборатории катетеризации сердца даже пришлось перевести пациентов в другую больницу».

В заключение авторы доклада делают вывод, что властям США стоит пересмотреть стратегию сбора и распространения информации о безопасности медтехники и что ее производителям необходимо по-новому оценить важность аспекта информационной безопасности и соблюдения конфиденциальности личных данных.