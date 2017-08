Ранее мы уже рассказывали о том, что кардиостимуляторы и кардиодефибрилляторы компании St. Jude Medical содержит многочисленные уязвимости, которые могут представлять опасность для здоровья и жизни пациентов. Такие заявления еще в 2016 году сделали специалисты компании MedSec и представители инвестиционной фирмы Muddy Waters Capital. Хотя вначале представители St. Jude Medical рьяно опровергали эту информацию и даже называли доклад исследователей ложью, в итоге выяснилось, что уязвимости в оборудовании St. Jude Medical настоящие и действительно могут представлять опасность.

Дело в том, что этим резонансным скандалом заинтересовалось Управление по контролю за продуктами и лекарствами США (Food and Drug Administration, FDA), которое инициировало расследование случившегося. В итоге независимые эксперты подтвердили выводы MedSec.

Но инцидент по-прежнему далек от завершения. Так, на этой неделе представители Управления по контролю за продуктами и лекарствами, а также специалисты US-CERT выпустили официальные предупреждения, согласно которым ряд имплантируемых устройств Abbott подлежит отзыву из-за тех самых проблем с безопасностью. Уязвимости содержат модели Accent, Anthem, Accent MRI, Accent ST, Assurity и Allure. Заменить устройства конечно невозможно, ведь кардиостимуляторы установлены в груди своих владельцев, поэтому теперь почти полмиллиона пациентов должны будут обратиться к врачам для обновления ПО. Кстати, неизвестно, сколько пациентов с уязвимыми кардиостимуляторами находятся за пределами США.

Разработчики бывшей St. Jude Medical окончательно устранили проблемы у своих устройствах в январе 2017 года, а 23 августа 2017 года патчи получили официальное одобрение FDA. Теперь разработчики Abbott подготовили подробные инструкции для пациентов и для врачей. Согласно данным компании, обновление занимает всего три минуты, и в худшем случае устройство может лишь откатиться к предыдущей версии прошивки (вероятность 0,161%), или будут потеряны диагностические данные (вероятность 0,023%). Шанс того, что кардиостимулятор совсем откажет после обновления, ничтожно мал — всего 0,003%.

Представители Abbott, US-CERT и FDA уверяют, что реальных атак на кардиостимуляторы еще не фиксировали ни разу. Также официальные лица успокаивают пациентов тем, что уязвимости скорее носят теоретический характер.

Но с такой точкой зрения согласны далеко не все. К примеру, известный ИБ-эксперт и профессор университета Джона Хопкинса, Мэттью Грин (Matt Green) пишет у себя в твиттере, что сейчас все уповают на то, что мы живем в реальном мире, а не сериале про шпионов, и люди полагают, что не найдется психопатов, которые действительно решатся на подобные атаки. Но, по словам Грина, почему-то все игнорируют тот факт, что атаки на кардиостимуляторы и другие медицинские устройства в самом скором будущем могут стать настоящей золотой жилой для вымогателей и шантажистов, которые могут атаковать не только самих пациентов, но и производителей. «Атакующим неважно, кому они могут навредить, если в итоге они получат свою прибыль (путь даже небольшую)», — пишет Грин.

Now one hopes nobody would ever be enough of a psychopath to do this. But to threaten to do this to extort money? Sure.

— Matthew Green (@matthew_d_green) August 30, 2017