Hackování kardiostimulátorů může zabít pacienty. Výrobce to neřeší

21. 8. 2018

Zdravotnické pomůcky mohou být také terčem útoku hackerů. Například kardiostimulátory nebo inzulínové pumpy. Bezpečnostní expert Billy Rios varuje, že nabouráním softwaru je možné pacienty usmrtit.

Odborník na kybernetickou bezpečnost Billy Rios, jenž založil firmu Whitescope, se zaměřuje na bezpečnostní nedostatky výrobků připojených k internetu. Jeho firma dlouhodobě upozorňuje výrobce kardiostimulátorů, že své výrobky dostatečně nechrání před neoprávněným vniknutím a možností software upravit.

Na dotaz redaktora BBC, zda je možné někoho zabít, Rios odpověděl, že zcela určitě. Jeho firma ukázala, že je možné proniknout do počítačového terminálu, který se používá k programování kardiostimulátorů nebo inzulínových pump.

Podle něj se na dálku dá vypnout kardiostimulátor v těle pacienta. Lékaři ani nepoznají, že software může být třetí stranou manipulován. V tomto konkrétním případě šlo v výrobky irské firmy Medtronic.

Na problémy upozorňují rok a půl

Pracovníci firmy Whitescope výrobce informovali už v lednu 2017 o zranitelnosti těchto výrobků, na kterých závisí život jejich uživatelů. Firma pro BBC reagovala, že takové riziko je nízké. K aktualizaci firemního softwaru zatím nedošlo. „Nejedná se o nějakou videohru, kde zfalšujete celkové skóre. Jedná se o bezpečnost pacientů,“ zdůraznil pro ArsTechnica Rios.

Také proto svá zjištění medializoval na veletrhu o internetové bezpečnosti Black Hat v Las Vegas. S kolegou Jonathanem Buttsem ukázali, jak je možné manipulovat kardiostimulátory i inzulínové pumpy. Nejedná se o první případ, kdy došlo k bezpečnostním problémům u výrobce kardiostimulátorů.

Loni musela firma St. Jude Medical změnit firemní software u 745 tisíc kardiostimulátorů po celém světě. Hrozilo, že by internetoví útočníci změnili četnost impulzů nebo data o stavu baterie. Pacientům bylo doporučeno, aby navštívili své lékaře, kteří jim software u přístrojů aktualizují.