30.05.2017, 08:37
Nie da się w nowoczesnej medycynie obejść od urządzeń bazujących na technologii IT...tej codziennej i prostej z pozoru, jak i tej niezwykle zaawansowanej wykorzystywanej do głębokiej analizy, ratowania i podtrzymywania życia. Każdy pewnie się z tym zetknął, ale nie każdy uświadamia sobie, jak bardzo wrażliwym i podatnym na niebezpieczeństwo aspektem naszego życia mamy do czynienia tym przypadku. Co jakiś czas podnoszą się głosy ekspertów, które wskazują potencjalne zagrożenia...które próbują to zagadnienie usystematyzować i wprowadzić jakieś ujednolicone procedury bezpieczeństwa...co jakiś czas pojawiają się też niestety doniesienia prasowe o konkretnych przykładach naruszeń bezpieczeństwa takiej infrastruktury, a co za tym idzie naszego ludzkiego życia. I wtedy pojawiają się pytania, wątpliwości i nieokreślony lęk "z tyłu głowy"...
Pisaliśmy i na naszym forum o tym w tych wątkach m.in
Nie wiem, czy powyższe przypadki były powodem analiz, ale faktem jest, że w ostatnich dniach został opublikowany przez firmę WhiteScope raport pt. "Security Evaluation of the Implantable Cardiac Device Ecosystem Architecture and Implementation Interdependencies", w z którego nie mniej nie więcej a dowiadujemy się o odkryciu ponad 8 tysięcy podatności w urządzeniach medycznych związanych z kardiologią. Laboratorium przeanalizowało urządzenia 4 głównych producentów urządzeń kardiologicznych działających w podobnej architekturze i posługujących się szerokim zakres różnorodnych technologii - fizyczne urządzenia i ich uwierzytelnianie, komunikacja między nimi, protokoły przesyłu informacji między nimi. Pod uwagę brano 4 kategorie urządzeń;
- niezależne urządzenia czyli np. defibrylatory, rozruszniki
- urządzenia monitorujące i programujące niezależne urządzenia
- domowe urządzenia monitorujące pracę serca i urządzeń wspomagających
- zewnętrzna infrastruktura sieciowa do transmisji danych i wsparcia pacjenta
W raporcie jest mowa o różnych aspektach podatności (sprzętowe i programowe), a najbardziej spektakularny wynik dotyczy luk odkrytych w oprogramowaniu firm trzecich, co ilustruje tabelka poniżej
Koniec raportu to "światełko w tunelu" i stworzona przez autorów lista pytań i działań, na które należy "przepracować", by sprawdzić poziom ryzyka naszych rozwiązań.
Temat stał się już medialny, o czym świadczy pierwotne źródło informacji
Pisaliśmy i na naszym forum o tym w tych wątkach m.in
[Aby zobaczyć linki, zarejestruj się tutaj]
,[Aby zobaczyć linki, zarejestruj się tutaj]
,[Aby zobaczyć linki, zarejestruj się tutaj]
,[Aby zobaczyć linki, zarejestruj się tutaj]
,[Aby zobaczyć linki, zarejestruj się tutaj]
...a n a dodatek życie przyniosło ostatnio[Aby zobaczyć linki, zarejestruj się tutaj]
, który jest konsekwencją zmasowanej infekcji szyfrującego szkodnika WannaCry...i chyba faktycznie pozostaje tylko siąść i płakać...Nie wiem, czy powyższe przypadki były powodem analiz, ale faktem jest, że w ostatnich dniach został opublikowany przez firmę WhiteScope raport pt. "Security Evaluation of the Implantable Cardiac Device Ecosystem Architecture and Implementation Interdependencies", w z którego nie mniej nie więcej a dowiadujemy się o odkryciu ponad 8 tysięcy podatności w urządzeniach medycznych związanych z kardiologią. Laboratorium przeanalizowało urządzenia 4 głównych producentów urządzeń kardiologicznych działających w podobnej architekturze i posługujących się szerokim zakres różnorodnych technologii - fizyczne urządzenia i ich uwierzytelnianie, komunikacja między nimi, protokoły przesyłu informacji między nimi. Pod uwagę brano 4 kategorie urządzeń;
- niezależne urządzenia czyli np. defibrylatory, rozruszniki
- urządzenia monitorujące i programujące niezależne urządzenia
- domowe urządzenia monitorujące pracę serca i urządzeń wspomagających
- zewnętrzna infrastruktura sieciowa do transmisji danych i wsparcia pacjenta
W raporcie jest mowa o różnych aspektach podatności (sprzętowe i programowe), a najbardziej spektakularny wynik dotyczy luk odkrytych w oprogramowaniu firm trzecich, co ilustruje tabelka poniżej
Koniec raportu to "światełko w tunelu" i stworzona przez autorów lista pytań i działań, na które należy "przepracować", by sprawdzić poziom ryzyka naszych rozwiązań.
Temat stał się już medialny, o czym świadczy pierwotne źródło informacji
[Aby zobaczyć linki, zarejestruj się tutaj]
Całość raportu (PDF) natomiast dostępna jest poniżej[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
