Americký Úřad pro kontrolu potravin a léčiv (U.S. Food and Drug Administration, FDA) vydal zprávu o svolávání 465 000 kardiostimulátorů firmy Abbott, dříve St. Jude Medical, kvůli bezpečnostní chybě firmwaru, která zpřístupňuje konfiguraci přístroje neautorizovanému útočníkovi. Než si prohlédneme podrobnosti tohoto případu, pojďme si uvést nějaké souvislosti.
Bezpečnost kardiostimulátorů dříve
Dokud byly kardiostimulátory víceméně offline a jediným komunikačním kanálem zařízení byl radiofrekvenční signál na krátkou vzdálenost, autorizace přístupu příliš nechyběla. Lékař vždy přiloží sondu příslušného výrobce na hrudník pacienta a může prohlížet záznamy na kardiostimulátoru a případně provádět úpravy. Nyní s vývojem techniky lze takovou komunikaci provést i na větší vzdálenost okolo 10 metrů a navíc ke kardiostimulátorům se již přidávají i jakési domácí základny, které mohou činnost kardiostimulátoru monitorovat neustále a data odesílat někam na internet (na speciální portál daného výrobce nebo přímo lékaři). Čili přibývá kardiostimulátorů, které jsou již víceméně online.
Americký Government Accountability Office již ve své zprávě z roku 2012 uvádí jako hrozby pro implantovaná medicínská zařízení jednak chyby ve firmwaru (způsobenou nesprávným návrhem, vývoje, integrací, nastavením či používáním), dále interferenci s elektromagnetickým zářením v prostředí (kam patří bezpečnostní rámy v obchodech a na letištích, detektory kovů, apod.), pak právě výše zmiňovaný neautorizovaný přístup k zařízení, a ještě malware a útok odepření služby Denial-of-Service (kdy nadměrnou komunikací s přístrojem se buď zpomalí nebo zastaví jeho činnost nebo se vyčerpá jeho baterie).
Zhruba v té době se tématem zabezpečení medicínských zařízení zabýval i známý white-hat hacker Barnaby Jack, který právě v roce 2012 také upozornil na možnost vzdáleného útoku na kardiostimulátory na konferenci BreakPoint v Melbourne. Barnaby Jack přinesl více světla do této problematiky, kterou se mnoho lidí v té době nezabývalo.
Zmíněný úřad GAO upozorňuje na klíčová zranitelná místa implantovaných zařízení, mezi které řadí omezenou kapacitu baterie (z výše uvedeného důvodu možnosti DoS útoku a vyčerpání zdroje), nutnost vzdáleného přístupu, nešifrovanou komunikaci (šifrování se výrobci brání kvůli složitosti implementace do zařízení s omezenými možnostmi výpočetní kapacity a větší zátěži na baterii, nicméně stále je diskutována možnost využití biologického šumu, další metody zabezpečení komunikace nebo bezpečnostní štít pro již implantované kardiostimulátory), nepřítomnost autorizačního procesu (o tom se bavíme!), závislost na starších technologiích (třeba starší operační systém či firmware) a obtížnost pravidelných aktualizací.
Útočník s neautorizovaným vzdáleným přístupem ke kardiostimulátoru jednak může číst citlivá data a jednak může také měnit nastavení a terapii (čímž může pacienta ohrozit na životě).
Nové postupy
Problém s kardiostimulátory také začal postupně prosakovat do odborné medicínské literatury: i ve zdravotnictví si začali všímat zranitelností a rizik, která implantovaná zařízení přináší. Třeba španělská studie z roku 2014 upozorňuje také na omezení, která implantovaná zařízení přináší, tj. omezená kapacita baterie, omezené úložiště dat a omezená výpočetní kapacita.
Stejná studie ukazuje i aktuální stav vývoje v oblasti zabezpečení implantovaných systémů. Zmiňuje, že starší typy kardiostimulátorů často žádné zabezpečení nemají. Nicméně novější typy již často implementují aspoň nějakou ochranu. Úplně nejzákladnější způsob detekce útoku je logování přístupů a změn (ať už jsou autorizované či nikoli). Tento přístup se však potýká s omezenou velikostí paměti kardiostimulátorů: ta se pohybuje v jednotkách MB a je plně využita pro medicínské účely. Často tak logování provádí externí domácí jednotka, která je s kardiostimulátorem spojena. Avšak to se týká opravdu jen těch nových pokročilých typů zařízení. Dalším zabezpečovacím prvkem je šifrování uložených dat a komunikace. To se však potýká jednak s nedostatkem výpočetní kapacity malých implantovaných přístrojů a dále s nedostatkem kapacity baterie. A samozřejmě důležité jsou také různé typy autorizace přístupů k zařízení, příp. k telemetrii kardiostimulátoru (ať už nutné heslo, biometrický údaj pacienta, apod.).
Důležitá je klinická závažnost a zhodnocení rizik
Kyberbezpečnostních incidentů kardiostimulárů si začínají všímat i pacienti a lékaři. Jak správně říká článek pro kardiology, žádné zařízení nebude nikdy stoprocentně bezpečné, nicméně důležitá je klinická závažnost potenciálních útoků. Pokud útok rychleji vybije zdroj nebo dočasně poškodí telemetrické či paměťové funkce kardiostimulátoru, pacientovi se pravděpodobně mnoho nestane a na pravidelné kontrole u lékaře se konfigurace upraví, případně se dá přístroj vyměnit (byť je to k zlosti). Problémem jsou život ohrožující útoky, těch je ale menšina a snad žádný známý „ostrý“ útok dosud pozorován nebyl.
Jak jsem již zmínil v diskusi k předchozímu článku, kdybych měl dnes dostat kardiostimulátor kvůli život ohrožující arytmii, tak si ho nechám implantovat, i když mám o jeho softwarové bezpečnosti pochybnosti. Pořád je to totiž nenahraditelný přístroj, který prokazatelně zachraňuje životy. A riziko hackerského útoku je u pacientů s kardiostimulátorem nepoměrně nižší, než velmi pravděpodobná smrt, kdyby ten přístroj implantovaný neměli.
Zpět k St. Jude Medical
Půl milionu kardiostimulátorů je nyní kvůli absenci autorizace přístupu k zařízení svoláváno k bezpečnostní aktualizaci firmwaru. Jde o jednoduchou proceduru u lékaře, není potřeba kvůli updatu vyměňovat celý přístroj. Pacienti se tedy budou muset dostavit ke svému kardiologovi, který jim prostřednictvím svého systému nahraje nový firmware. Ten by již měl obsahovat zabezpečení přístupu tak, aby při „přihlášení“ ke kardiostimulátoru a jeho správě bylo nutné poskytnout autorizační údaje.
Nebylo by správné předstírat, že se o problému s přístupem ke kardiostimulátorům nevědělo. Problémy konkrétně se St. Jude Medical se táhly dokonce již několik let. Firma nesprávně zavedla bezpečnostní politiku doporučenou již nálezem problémů v roce 2014. V srpnu 2016 se objevila informace o neopravených zranitelnostech v jejích kardiostimulátorech. A již v lednu 2017 o nich FDA vydala upozornění, které předznamenalo současný vývoj.
Je tedy vidět, že někteří výrobci otázku bezpečnosti podceňují, což se ale přestává vyplácet. Ani pacienti se již nezdráhají zajímat o zabezpečení svých implantovaných zařízení. A to je dobře.