В недалеком будущем киберзлоумышленники смогут атаковать импланты для управления памятью, чтобы красть, контролировать или модифицировать воспоминания людей. От этих возможных событий нас отделяют десятилетия, однако базовая технология управления памятью существует уже сегодня в форме устройств для глубокой стимуляции мозга. И, как показало совместное исследование «Лаборатории Касперского» и группы функциональной нейрохирургии Оксфордского университета, эта новая сфера высокотехнологичной медицины уже уязвима к киберугрозам из-за особенностей работы самих стимулирующих устройств и используемого на них программного обеспечения.
Имплантируемые генераторы импульсов, известные также как нейростимуляторы, посылают электрические сигналы в определенные зоны мозга. Они применяются для облегчения некоторых симптомов таких заболеваний, как обсессивно-компульсивное расстройство, эссенциальный тремор, большое депрессивное расстройство и болезнь Паркинсона. Последние версии подобных имплантов управляются с помощью специального ПО, установленного на профессиональных планшетах и смартфонах врачей и пациентов. Передача данных между имплантом и цифровым устройством осуществляется по Bluetooth-каналу.
Объединив результаты практического и теоретического анализа, исследователи из «Лаборатории Касперского» и группы функциональной нейрохирургии Оксфордского университета выявили как уже имеющиеся, так и потенциальные риски.
Незащищенная инфраструктура с выходом в интернет.
Эксперты нашли одну серьезную уязвимость и несколько ошибок в конфигурации в онлайн-платформе для управления, которая популярна среди хирургов. Теоретически с ее помощью злоумышленники могут получить доступ к важным данным и лечебным процедурам.
Небезопасная или незашифрованная передача данных между имплантом, программным обеспечением и сетью может обернуться вредоносным проникновением в имплант или даже группу имплантов, подключенных к одной инфраструктуре. Манипуляции злоумышленников с устройством могут причинить пациенту физический дискомфорт, не говоря уже о краже частной и глубоко конфиденциальной информации.
Импланты сконструированы таким образом, что в приоритете оказывается безопасность жизни пациента, а не защищенность устройства от киберугроз. Например, врач должен иметь возможность контролировать нейростимулятор в экстренных случаях, в том числе удаленно. Это обстоятельство исключает использование сложного пароля, который не был бы широко распространен среди медицинского персонала. Кроме того, по умолчанию такие импланты должны быть снабжены специальным ПО для удаленного администрирования – бэкдором.
Небезопасное поведение медицинского персонала.
Исследователи обнаружили, что на устройствах, содержащих критически важное для жизни пациентов ПО, стояли заводские пароли. Кроме того, на планшетах и смартфонах были установлены другие программы и приложения, а сами они использовались для интернет-серфинга.
Эксперты уверены, что обратить внимание на эти проблемы и продумать способы их решения важно уже сейчас, ведь в дальнейшем появление более сложных нейростимуляторов и прогресс в понимании того, как человеческий мозг создает и хранит воспоминания, будет способствовать развитию новых технологий. А вместе с ними появятся и новые векторы кибератак.
По оценкам ученых, приблизительно через пять лет они смогут в электронном виде записывать сигналы мозга, участвующие в создании воспоминаний, и это позволит им расширять и даже «переписывать» события из памяти человека. Через десять лет на рынке может появиться первый коммерческий имплант для улучшения памяти, а через 20 технологии могут продвинуться так далеко, что воспоминания можно будет практически полностью контролировать.
«Обнаруженные нами уязвимости имеют большое значение, поскольку сегодняшние технологии станут фундаментом для будущих разработок, – подчеркнул Дмитрий Галов, вирусный аналитик «Лаборатории Касперского». -- Мы еще не видели ни одной реальной атаки на нейростимуляторы, но в теории их слабые места могут быть легко использованы злоумышленниками. Именно поэтому так важно объединить усилия специалистов по здравоохранению, экспертов по кибербезопасности и производителей устройств для исследования потенциальных рисков и способов их минимизации».
Лори Пайкрофт, исследователь из группы функциональной нейрохирургии Оксфордского университета, отметил: «Базовая технология для управления воспоминаниями существует уже сегодня, и появление своего рода протезов для памяти – лишь вопрос времени. Совместное исследование возможных рисков и уязвимостей сейчас, когда технология еще относительно нова, сбережет нам немало сил, времени и нервов в будущем».