Szerző: Gálffy Csaba

2017. augusztus 07. 09:30:00

Triviálisan törhető tomográfokat találtak

A digitalizáció árnyoldalaira ad kiváló példát a Siemens-féle orvosi képalkotó rendszerek új biztonsági problémája.

Riasztást adott ki az amerikai ICS-CERT (Industrial Control Systems - Computer Emergency Response Team) hatóság, amely a Siemens gyártmányú orvosi képalkotó rendszerek hibáira figyelmeztet. Az Egyesült Államok Belbiztonsági Minisztériuma alá tartozó ICS-CERT szerint négy olyan sebezhetőség található meg egyes rendszerekben, amelyekre már nyilvánosan elérhető támadókód (exploit) áll rendelkezésre.

"Alacsony képességű támadó is ki tudja használni ezeket a sebezhetőségeket" - hangzik az ICS-CERT figyelmeztetése. A Siemens saját hatáskörben még július 26-án elismerte a hibákat és a 10-es CVSS veszélyességi skálán rendkívül magas, 9,8-as pontszámot adott ezekre - egyenként. Az érintett orvosi eszközök között a Siemens CT, PET és SPECT gépei, illetve a képalkotási rendszerek egyéb, Windows 7-et futtató elemei is szerepelnek.

Érdekes, hogy a négy sebezhetőség közül egyik sem a Siemens szoftverében található. Az egyik a Windows beépített webszerverében van, ez lehetővé teszi, hogy megfelelően formázott HTTP-kéréssel a támadó távoli kódfuttatást érjen el. A másik három sebezhetőség a gépek karbantartására használt, távoli elérést kínáló megoldásban, a HP Client Automation rendszerben található, ezek mindenike egyenként is távoli kódfuttatást tesz lehetővé.

(illusztráció)

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

A javítás kiadásáig az ICS-CERT azt ajánlja a kórházaknak és egészségügyi intézményeknek, hogy minimalizálják a gépek hálózati kitettségét és győződjenek meg arról, hogy azok az internetről nem érhetőek el. További biztonsági lépésként ajánlott az összes orvosi eszközt tűzfal mögé helyezni és elszigetelni az irodai-üzleti hálózattól. Az külön problémát jelent, hogy az eszközöknek sokszor távoli elérésre van szükségük, erre az ICS-CERT szerint érdemes VPN-t használni - ami biztonságosabb, mint magát a gépet kitenni az internetre, viszont saját sebezhetőségeit hozza a mixbe és ezt is folyamatosan frissíteni kell.

Egészségügy és IT-biztonság - igazán kemény dió

A digitalizáció és az "ipar 4.0" kiváló hívószavak, a fenti példa azonban kiválóan illusztrálja az új világ árnyoldalát. Elemi elvárás ugyanis a felhasználó szervezet oldaláról, hogy vásárlás után ezek a céleszközök évekig-évtizedekig stabilan és megbízhatóan szolgáljanak, a létező legkevesebb ráfordítás mellett - értsd: szakszerű IT-csapat felügyelete nélkül. Ezzel persze a szállítók is tisztában vannak, ezért e rendszerekhez általában távoli felügyelet társul, a gépek mellé eladott szolgáltatási csomag sokszor egyben kezeli a különböző fizikai fogyóeszközöket és az informatikai szolgáltatásokat. Ez azonban köszönő viszonyban sincs a digitalizáció realitásaival. A fenti rendszerek például Windows 7-es operációs rendszert futtatnak, amelynek beágyazott verziója is csak 2020-ig (a POSReady 7 pedig 2021-ig) támogatott - ennél az eszközök hasznos élettartama lényegesen hosszabb.

a címlapról