11

Firma ostrzega: można zhackować pompę insulinową. Wchodzimy w nowy rozdział zagrożeń

Ta informacja nie jest dla mnie wielkim zaskoczeniem, spodziewałem się, że podobnych doniesień będzie przybywać: korporacja Johnson & Johnson uświadomiła użytkowników pomp insulinowych Animas OneTouch Ping, że sprzęt może być zhackowany. Producent podkreśla, że ryzyko nie jest duże, że większym niebezpieczeństwem nadal jest choroba, ale fakt jest taki, iż ktoś może zdalnie wstrzyknąć choremu insulinę. A jak wiadomo, w nadmiarze wszystko jest szkodliwe. Może to urządzenie okaże się wypadkiem przy pracy - bardziej stawiałbym jednak na to, że zderzymy się ze znacznie większym problemem.

Pompa insulinowa większości z nas nie jest potrzebna, ale spora grupa ludzi świetnie kojarzy ten sprzęt i uznaje go za ważny element swojego życia. Właśnie ich uwagę mogły przyciągnąć doniesienia z ubiegłego tygodnia, korporacja Johnson & Johnson informowała w mailach, że ten sprzęt można zhackować. Wielka firma musiała zdecydować się na taki krok – wcześniej grupa speców od bezpieczeństwa z Rapid 7 pochwaliła się swoim odkryciem i nie można było udawać, że nic się nie dzieje. Na czym polegało owe odkrycie?

Sprzęt, o którym mowa, noszony jest pod ubraniem, z jego pomocą dokonuje się wstrzykiwania insuliny i można to zrobić zdalnie – pacjent ma pilot, którym wydaje polecenia urządzeniu. Problem polega na tym, że komunikacja między tymi komponentami nie jest szyfrowana. W efekcie pompa insulinowa może się stać celem ataku. Nie dokona się tego z drugiego końca świata, produkt nie jest podłączony do Internetu – wystarczy jednak stać 8-10 metrów od chorego i można mu zaaplikować dawkę insuliny, której nie potrzebuje. Wystarczy odpowiedni sprzęt i pewne umiejętności.

Duży problem? Zależy, jak na to spojrzymy. Z punktu widzenia chorego ryzyko takiego „ataku” jest pewnie niewielkie – ktoś musiałby działać w naprawdę złej wierze, groźniejsza pozostaje choroba, z którą się zmaga. Z punktu widzenia firmy to sygnał, że trzeba się brać do pracy – im szybciej zostanie usunięty błąd, tym mniejsze ryzyko kłopotów. Jednocześnie trzeba wziąć pod uwagę te elementy przy tworzeniu kolejnych urządzeń. Wspomniana pompa insulinowa została wprowadzona na rynek w 2008, zaprojektowano ją jeszcze wcześniej – możliwe, że znikomy odsetek ludzi myślał wówczas w korporacji o tym, że istnieje jakieś ryzyko. Ale dzisiaj staje się ono bardzo realne.

Pisaliśmy już o hackowaniu inteligentnych domów, fabryk czy szpitali – ten ostatni przypadek wydaje się szczególnie niebezpieczny, więc o sprawach tego typu robi się głośno (chyba, że placówce uda się utrzymać sprawę w ścisłej tajemnicy – na dobrą skalę, nie wiemy, jaka jest skala problemu). Kilka miesięcy temu o jednym z takich przypadków pisał Tomasz:

Ulokowany w Hollywood szpital Presbyterian Medical Center został zmuszony do wpłacenia 40 bitcoinów (ok 17 tys. dol.) jako okupu za odblokowanie zainfekowanych komputerów. Placówka padła ofiarą ataku typu ransomware. W rezultacie jej działanie zostało całkowicie sparaliżowane – utracono dostęp do m.in. sprzętu medycznego, a także systemu plików. Atak przeprowadzono 5 lutego, a całą sprawę rozwiązano 10 dni później. Dyrekcja szpitala przyznała, że było to najszybsze i najbardziej efektywne rozwiązanie. Początkowo sprawcy żądali 3,6 mln dolarów, ale wskutek negocjacji udało się tę kwotę obniżyć.[źródło]

Przejmowanie kontroli nad sprzętem medycznym, bazami danych czy infrastrukturą w szpitalu brzmi niczym scenariusz filmu, ale to nie musi być jedynie rzeczywistość wykreowana w Hollywood. Teraz na celowniku mogą się także znaleźć chorzy, którzy korzystają ze specjalistycznej aparatury w domu. A w przyszłości problem może być jeszcze większy – hackerzy zaatakują elektronikę wszczepioną w ciało pacjenta: do jego serca, mózgu czy układu oddechowego. Implanty, które postrzegane są jako przyszłość medycyny, niewielkie roboty, które mają w dużym stopniu pomagać lekarzom, mogą się stać „bronią” hackerów. Po co? Można udzielić różnych odpowiedzi: dla okupu, z zemsty, na zlecenie albo po prostu dla chorej zabawy.

To pokazuje, jak ważne będą zabezpieczenia stosowane przez producentów, jak pożądani mogą być specjaliści z tej dziedziny. Można być przy tym pewnym, że zgłoszą się po nich nie tylko przedstawiciele branży medycznej – równie głośną sprawą było zhackowanie samochodu i późniejszy komunikat FBI, który ostrzegał przed taką możliwością. Gdyby komuś udało się zhackować jednocześnie samochód i pompę insulinową chorego, mógłby dokonać zbrodni, której nie powstydziliby się autorzy kryminałów w swoich dziełach. Zadanie polega teraz na tym, by do takich sytuacji nie dopuścić.