В конце августа 2016 года исследователи стартапа MedSec и представители инвестиционной фирмы Muddy Waters Capital выступили со смелым заявлением: якобы медицинское оборудование компании St. Jude Medical содержит многочисленные уязвимости и представляет опасность для пациентов.
Тогда исследователи и инвесторы представили совместный аналитический отчет, который содержал мало конкретных данных о найденных уязвимостях, но все равно спровоцировал стремительное падение акций St. Jude Medical.
Представители St. Jude Medical, в свою очередь, ответили на совместный доклад двух компаний развернутым опровержением. Компания подчеркивала, что многие обвинения MedSec и Muddy Waters попросту невозможно проверить, а другие обвинения и вовсе были названы ложью. К примеру, в докладе исследователи заявляют, что удаленная атака на кардиооборудование возможна с расстояния пятнадцати метров, и отмечают, что расстояние, на котором можно получить доступ к девайсу, крайне желательно сократить. Представители St. Jude Medical сообщают, что эти заявления ложны, так как доступ к прибору можно получить лишь на расстоянии, не превышающем два метра,
В итоге St. Jude Medical подала на MedSec и Muddy Waters в суд, и разбирательство продолжается до сих пор. Представители St. Jude Medical обвинили исследователей и инвесторов в том, что те преследовали финансовую выгоду, намеренно опубликовав доклад и спровоцировав падение стоимости акций компаний. Напомню, что сами MedSec и Muddy Waters не отрицали своей финансовой выгоды, но также заявляли, что если бы они обратились к разработчику уязвимых устройств напрямую, то представители St. Jude Medical просто «замели бы проблему под ковер», а исследователи MedSec хотели привлечь внимание к происходящему.
Но оставим за скобками правовые и финансовые аспекты. Куда более интересен тот факт, что уязвимости в оборудовании St. Jude Medical оказались настоящими и весьма опасными. Данным инцидентом еще осенью прошлого года заинтересовалось Управление по контролю за продуктами и лекарствами США (Food and Drug Administration, FDA), которое инициировало расследование случившегося. В октябре 2016 года независимые исследователи подтвердили выводы исследователей MedSec, то есть обнаружили уязвимости в медицинском оборудовании производителя. Представители FDA сообщили, что до эксплуатации проблем злоумышленниками дело, к счастью, не дошло, однако они не стали приуменьшать важность проблемы:
«Эксплуатация данных уязвимостей позволяет неавторизованному пользователю получить удаленный доступ к имплантированному пациенту RF-кадиоустройству, подменив передатчик Merlin@home. Такой передатчик Merlin@home может использоваться для модификации программных команд имплантированного устройства, что может привести к истощению заряда его батареи, а также к установлению некорректного сердечного ритма или некорректной подаче разряда», — гласит отчет FDA.
В начале января 2017 года St. Jude Medical завершила сделку с Abbott Laboratories, запланированную еще в прошлом году, и практически сразу после этого компания сообщила о выпуске обновлений для серии устройств Merlin, которые работают с кардиостимуляторами и кардиодефибрилляторами компании. Согласно официальному пресс-релизу St. Jude Medical, с выходом обновлений были устранены «незначительные проблемы с кибербезопасностью».
На выпуск патчей уже отреагировали представители MedSec и Muddy Waters, которые, как ни странно, по-прежнему недовольны действиями St. Jude Medical:
«Сначала St. Jude яро отрицали тот факт, что их медицинские устройства страдают от уязвимостей и подали на нас в суд, а теперь St. Jude выпустили заявление, которое, по сути, подтверждает правоту исследования, ранее опубликованного MedSec и Muddy Waters.
Это признание назревало давно, а тот факт, что оно было сделано спустя считанные дни после продажи St. Jude компании Abbott Laboratories, лишний раз убеждает нас в том, что компания ставит свои прибыли выше пациентов. Также это убеждает нас в том, что если бы мы не заявили об этих [проблемах] публично, в St. Jude не стали бы исправлять уязвимости.
Как бы то ни было, не похоже, чтобы анонсированные исправления решали другие, куда более серьезные проблемы, включая наличие универсального кода, который может помочь хакерам перехватить контроль над имплантатами».
Представители FDA пообещали продолжить оценку деятельности St. Jude Medical, а также высказались о безопасности подобных медицинских приборов в целом. По мнению FDA «плюсы для здоровья пациентов, которые несет использование таких приборов, перевешивают риски, связанные с кибербезопасностью».
В Москве прошла ежегодная конференция «ВАТЕРЛИНИЯ», организованная компанией «Информзащита». В центре внимания оказались вопросы киберустойчивости, защиты критически важных процессов и подходы, которые помогают компаниям сохранять работоспособность даже в условиях растущего числа киберугроз.
В деловой программе обсуждали не столько отдельные средства защиты, сколько их совместную работу.
Эксперты говорили о безопасной разработке, мониторинге инцидентов, автоматизации процессов SOC и MSSP, а также о том, как анализ сетевого трафика помогает выявлять угрозы ещё до того, как они перерастут в серьёзный инцидент.
Отдельное внимание уделили требованиям приказа ФСТЭК № 117, вопросам сетевой безопасности и практическому опыту импортозамещения межсетевых экранов нового поколения (NGFW). Участники также обсуждали, как переводить регуляторные требования в реальные технические меры и обосновывать инвестиции в информационную безопасность с точки зрения бизнес-рисков.
Во время конференции «Информзащита» и Security Vision подписали соглашение о технологическом партнёрстве. Компании планируют совместно развивать проекты, связанные с автоматизацией процессов информационной безопасности и сервисными моделями SOC.
По словам генерального директора «Информзащиты» Михаила Визгина, сегодня проблемы компаний чаще связаны не с отсутствием средств защиты, а с тем, что они работают разрозненно. Поэтому всё больше внимания уделяется интеграции ИБ-контролей в процессы разработки, автоматизации обработки инцидентов и более глубокому анализу сетевой активности.
Конференция собрала около 200 участников — руководителей, специалистов по ИБ и ИТ, технических экспертов и представителей бизнеса. Помимо докладов, гости смогли обсудить практические вопросы с экспертами и познакомиться с решениями партнёров мероприятия.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
