Szerző: Gálffy Csaba

2017. augusztus 7. 09:30

Triviálisan törhető tomográfokat találtak

A digitalizáció árnyoldalaira ad kiváló példát a Siemens-féle orvosi képalkotó rendszerek új biztonsági problémája.

Riasztást adott ki az amerikai ICS-CERT (Industrial Control Systems - Computer Emergency Response Team) hatóság, amely a Siemens gyártmányú orvosi képalkotó rendszerek hibáira figyelmeztet. Az Egyesült Államok Belbiztonsági Minisztériuma alá tartozó ICS-CERT szerint négy olyan sebezhetőség található meg egyes rendszerekben, amelyekre már nyilvánosan elérhető támadókód (exploit) áll rendelkezésre.

"Alacsony képességű támadó is ki tudja használni ezeket a sebezhetőségeket" - hangzik az ICS-CERT figyelmeztetése. A Siemens saját hatáskörben még július 26-án elismerte a hibákat és a 10-es CVSS veszélyességi skálán rendkívül magas, 9,8-as pontszámot adott ezekre - egyenként. Az érintett orvosi eszközök között a Siemens CT, PET és SPECT gépei, illetve a képalkotási rendszerek egyéb, Windows 7-et futtató elemei is szerepelnek.

Érdekes, hogy a négy sebezhetőség közül egyik sem a Siemens szoftverében található. Az egyik a Windows beépített webszerverében van, ez lehetővé teszi, hogy megfelelően formázott HTTP-kéréssel a támadó távoli kódfuttatást érjen el. A másik három sebezhetőség a gépek karbantartására használt, távoli elérést kínáló megoldásban, a HP Client Automation rendszerben található, ezek mindenike egyenként is távoli kódfuttatást tesz lehetővé.

(illusztráció)

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

A javítás kiadásáig az ICS-CERT azt ajánlja a kórházaknak és egészségügyi intézményeknek, hogy minimalizálják a gépek hálózati kitettségét és győződjenek meg arról, hogy azok az internetről nem érhetőek el. További biztonsági lépésként ajánlott az összes orvosi eszközt tűzfal mögé helyezni és elszigetelni az irodai-üzleti hálózattól. Az külön problémát jelent, hogy az eszközöknek sokszor távoli elérésre van szükségük, erre az ICS-CERT szerint érdemes VPN-t használni - ami biztonságosabb, mint magát a gépet kitenni az internetre, viszont saját sebezhetőségeit hozza a mixbe és ezt is folyamatosan frissíteni kell.

Egészségügy és IT-biztonság - igazán kemény dió

A digitalizáció és az "ipar 4.0" kiváló hívószavak, a fenti példa azonban kiválóan illusztrálja az új világ árnyoldalát. Elemi elvárás ugyanis a felhasználó szervezet oldaláról, hogy vásárlás után ezek a céleszközök évekig-évtizedekig stabilan és megbízhatóan szolgáljanak, a létező legkevesebb ráfordítás mellett - értsd: szakszerű IT-csapat felügyelete nélkül. Ezzel persze a szállítók is tisztában vannak, ezért e rendszerekhez általában távoli felügyelet társul, a gépek mellé eladott szolgáltatási csomag sokszor egyben kezeli a különböző fizikai fogyóeszközöket és az informatikai szolgáltatásokat. Ez azonban köszönő viszonyban sincs a digitalizáció realitásaival. A fenti rendszerek például Windows 7-es operációs rendszert futtatnak, amelynek beágyazott verziója is csak 2020-ig (a POSReady 7 pedig 2021-ig) támogatott - ennél az eszközök hasznos élettartama lényegesen hosszabb.

a címlapról