ראשי » מדע ומחשבים » מחשבים » טכנולוגיה

ארה"ב: פרצת תוכנה תאפשר להאקרים להשתלט על קוצבי לב

יצרנית המכשירים שיגרה השבוע עדכון תוכנה. מומחים מזהירים: לא כל הבעיות שהתגלו נפתרו

המחלקה לביטחון המולדת בארה"ב הודיעה ביום שלישי על פרצת אבטחת סייבר יוצאת דופן במכשירים של יצרן אמריקני המיועדים להשתלה בלב, שלדבריה תוכל לאפשר לפצחנים (האקרים) להשתלט מרחוק על קוצבי לב או דפיברילטורים.
 
המידע על פרצת האבטחה, שזוהתה בדו"חות של חוקרים מחברת 'מד-סק' לפני כמה חודשים, פורסם באופן רשמי לציבור לאחר שהיצרנית, חברת 'סנט-ג'וד מדיקל', שיגרה לשוק את עדכון התוכנה הנחוץ נגד המתקפות. 'מד-סק' היא חברת מחקר לאבטחת סייבר המתמקדת בתעשייה הרפואית.

דף הייעוץ הממשלתי אמר שבחודשים הקרובים יישלחו עדכוני התוכנה לחולים שיש להם משדר בביתם, וזאת כל עוד המכשירים מחוברים לחשמל ולרשת של החברה. המשדרים משגרים מידע הקשור בפעילות המכשיר והלב למומחי רפואה.

החקירה הפדרלית בעניין החלה באוגוסט. מעבדות 'אבוט' של חברת 'סנט-ג'וד' הודיעו שהן לא מכירות מקרי מוות או פציעות כתוצאה מהבעיה. מנהל התרופות והמזון בארה"ב ציין אף הוא שאין בידיו עדויות לפגיעות בחולים. בינתיים, מנכ"לית 'מד-סק' ג'סטין בון כתבה בטוויטר שתיקוני התוכנה של 'סנט-ג'וד' לא התייחסו לכל הבעיות במכשיר.

המכשירים של 'סנט-ג'וד' מיועדים ללוקים בקצב לב לא סדיר שעלול לגרום להתקף לב או לדום לב. המכשירים נשתלים מתחת לעור בית החזה, וקוצבים אלקטרונית את פעימות הלב או שולחים לעברו מכת חשמל כדי להשיבו לקצב סדיר כשמתגלות תבניות לבביות מסוכנות. משדרי 'מרלין' של החברה שולחים אותות אלקטרוניים המפרטים את תפקודו של המכשיר לאתר שבו הרופא של המטופל יכול לבחון את המידע. לכן אפשר לפרוץ למכשיר.

הבדיקה של מנהל התרופות והמזון עוד נמשכת, ציינה דוברת הסוכנות אנג'לה סטרק. החקירה אישרה את קיום הפגמים במשדרים הביתיים, שפוטנציאלית יכולים לפרוץ אליהם כדי לרוקן במהירות בטרייה במכשיר, לפגום בקיצוב הלב או אפילו לשלוח מכות חשמל מסוכנות ללבו של אדם.

 
סטרק התייחסה לטענות בדבר הפגם במוצר, ואמרה כי עדכון התוכנה של 'סנט-ג'וד' "מתייחס לפרצות שהן הסיכון הגדול ביותר לחולים". לדבריה, החברה משתדלת להתמודד במהירות עם הפרצות הנותרות. היא הוסיפה שכל מכשיר קרדיולוגי חדש שמוגש לבדיקת מנהל התרופות והמזון ושכולל את המשדר הפגום לא יאושר לשימוש לפני עדכון תוכנה.

'סנט-ג'וד' פרסמה פרטים על הבעיה לאחר שהתמזגה עם מעבדות 'אבוט'. החברה הכחישה בעבר את הממצאים שלפיהם אפשר לפרוץ למכשיריה, והגישה תביעה נגד 'מד-סק' וחברת המחקר הרפואית 'מאדי ווטרס', בטענה שניסו לעוות את השוק ולגרוף רווח מחשיפת פגמים במוצרים.
החשיפה על יכולתם הפוטנציאלית של פצחנים לשלוט מרחוק בלבו של אדם ולהשפיע עליו, שפכה אור על הבעיות הדוחקות באבטחת סייבר בעולם המרושת של ימינו. דף הייעוץ גם הדגיש את הדילמה של חוקרי אבטחה, שעשויים לחוש מחויבות להודיע לציבור על סכנות אפשריות אף שאינם רוצים לעורר בהלה מיותרת.
 

"החולה הממוצע לא יהיה מטרה למתנקשים", אמר מתיו גרין, פרופסור למדעי המחשב באוניסרסיטת ג'ונס הופקיס. חברת 'מאדי ווטרס' שכרה את שירותיו של פרופ' גרין כדי לסייע לה לאמת את ממצאי 'מד-סק' לאחר ש'סנט-ג'וד' הגישה נגדה תביעה.

"בשלב הזה מתקפה היא אפשרית קלושה, אבל תהיה לה השפעה ניכרת", הוא הוסיף. "כנראה זו נקודת התורפה הכי משמעותית שאי פעם ראיתי". לדברי גרין, פרצות רבות וחמורות יותר שזיהתה 'מד-סק' במכשירים עצמם לא תוקנו, אבך התוכנה החדשה תהפוך את המערכות הביתיות לבטוחות מעט יותר.

מנהל התרופות והמזון דחק ביצרנים לעדכן את מוצריהם, את התוכניות ואת אמצעי האבטחה שלהם מאז 2013 לפחות. עם זאת, הקווים המנחים שפרסמה הסוכנות בשנה שעברה אינם מחייבים. המנהל אינו בוחן את הרוב המכריע של עדכוני אבטחת הסייבר למכשירים רפואיים, וזאת במסגרת החוקים שלו, שנועדו לאפשר זרימה מהירה יותר של עדכונים לאמצעי טיפול רפואיים.

ב-2015 פרסם המנהל שתי התראות אבטחה נפרדות לבית חולים על משאבות תרופות שייצרה 'הוספירה', שכיום נמצאת בבעלותה של חברת 'פייזר'. בהתראה השנייה הורו המפקחים לבתי החולים להספיק להשתמש במכשיר האינפוזיה 'סימביק' של החברה, לאחר שהיא אישרה שאפשר לחדור אליו מרחוק, וכך לאפשר לגורם חיצוני לתכנן מחדש את משאבות התרופות.
 
המכשירים משמשים להזרקה אטית של מזון ותרופות נגד כאב וזיהום, ולרוב מתוכנתים דרך רשת אלחוטית של בתי חולים. לא דווחו פגיעות בקרב החולים בעקבות הפרצה, אבל הסוכנות הממשלתית דחקה במשתמשים "להתחיל לעבור למכשירי אינפוזיה חילופיים מוקדם ככל האפשר". 'הסופירה' הפסיקה את ייצור המשאבות מסיבות אחרות עוד לפני ההכרזה של המנהל.

היכנסו לעמוד הפייסבוק החדש של nrg