В медицине информационную безопасность требуется обеспечить ради защиты жизни пациентов. Джей Рэдклифф, исследователь из компании Rapid7, страдающий сахарным диабетом, обнаружил проблемы безопасности в инсулиновой помпе OneTouch Ping, выпущенной компанией Animas. Производитель уже оповестил об этом пользователей этого устройcтва.
Недоработки связаны с тем, что информация, которой помпа обменивается с глюкометром по радиосвязи, передается без шифрования.
Брешь позволяет атакующим прослушивать трафик, выясняя показания глюкометра и дозировку инсулина. Можно также отправлять помпе сфальсифицированные данные с измененной дозировкой, которые прибор примет за реальные; есть вероятность таким способом спровоцировать гипокликемический шок. Еще одна возможная атака — перехват команд, которые злоумышленник может впоследствии воспроизводить, тем самым заставляя помпу выдавать инсулин в произвольное время.
Связь между глюкометром и помпой сохраняется на расстоянии до 10 м, но теоретически атакующий может увеличить радиус, если воспользуется усиливающей аппаратурой.
Исследователь заранее предупредил Animas и помог в устранении недоработок, но так происходит не всегда. Недавно компания MedSec, обнаружившая брешь безопасности в кардиостимуляторах St. Jude Medical, продала эти сведения инвестиционной фирме, играющей на понижение акций, после чего та опубликовала полученную информацию.