Управление США по надзору в сфере пищевых продуктов и лекарственных средств США (FDA) направило предупреждение в адрес компании Abbott Laboratories, указывая на недостаточное обеспечение безопасности использования уязвимого устройства Merlin@home.
Регулятор пообещал предпринять меры, в том числе штрафы и судебный запрет на осуществление деятельности, в отношении учреждения, если оно не закроет уязвимости в кардиоустройстве.
Передатчик Merlin@home – радиопередатчик, разработанный компанией St. Jude Medical, которая была поглощена Abbott в январе. Устройство позволяет удаленно отслеживать показания вживленного в тело пациента дефибрилятора.
Уязвимости в устройствах Merlin и других продуктах St. Jude Medical были обнародованы в скандальном отчете, подготовленном исследовательской компанией MedSec Holdings при поддержке хеджевого фонда Muddy Waters. Публикация информации об уязвимостях позволила MedSec сыграть на понижение и нажиться на резком снижении курса акций St. Jude. Тогда Muddy Waters предсказывала, что в результате публикации отчета оборот St. Jude Medical упадет вдвое, а отыгрывание позиций займет до двух лет.
Отчет Muddy Waters/MedSec указал на ряд уязвимостей в устройствах Merlin@home, благодаря которым потенциальных злоумышленник способен вмешаться в процесс передачи данных между имплантом и передатчиком. Хотя после этого Abbott и St. Jude Medical запатчили некоторые из уязвимостей в Merlin@home, MedSec раскритиковал обновление, назвав его неполным. Также Muddy Waters раскрыли дополнительную информацию о брешах в самих имплантах, которые дают возможность спровоцировать сердечный приступ у пациента или раньше времени истощить батарею устройства.
«Как говорится в письме, компания не отреагировала надлежащим образом на рекомендации экспертов по информационной безопасности, сделанные еще в 2014 году, и сегодня устройства St Jude Medical не соответствуют требованиям FDA, — рассказал глава MedSec Джастин Боун (Justine Bone). — Уязвимости в имплантах, о которых мы сообщали, так и не были закрыты, и теперь FDA требует от производителя принять меры. Мы призываем Abbott в кратчайшее время разобраться с этими серьезными проблемами».
В своем письме FDA подчеркнуло, что Abbott не провела расследование первопричин проблемы и не предприняла никаких мер, чтобы исключить повторение подобных проблем в будущем.
«Компания не подтвердила факт проведения мероприятий, направленных на исправление недостатков в оборудовании, не оценила эффект этих мероприятий и их влияние на работу устройства, — говорится в письме FDA. – Мы рассмотрели ваш ответ и не нашли его адекватным. Компания предоставила обобщенную информацию о датах проведения некоторых мероприятий, но в вашем ответе нет подтверждений проведения системных мероприятий, направленных на обеспечение безопасности устройств».
FDA в своем письме раскритиковало не только принципы решения проблем кибербезопасности в Abbott Laboratories; регулятор также обратил внимание на проблему возможного преждевременного истощения литий-ионных аккумуляторов в имплантируемых устройствах.
Abbott Laboratories не ответило предметно на запрос комментария от Threatpost, ограничившись официальным заявлением:
«Для компании Abbott здоровье пациентов – наивысший приоритет. Мы всегда ответственно относились к качеству и безопасности продукции, что доказано долгими годами работы. Abbott приобрела компани. St. Jude Medical в январе 2017 года; проверка FDA в отношении учреждения Sylmar, ранее принадлежавшего St. Jude Medical, началась 7 февраля; мы предоставили ответ на 483 запроса регулятора 13 марта, описав предпринимаемые нами меры. Мы серьезно относимся к таким вопросам, поэтому мы внимательно изучим предупреждение FDA и должным образом отреагируем на рекомендации».
9 января St. Jude Medical выкатила патч для устройств Merlin@home, который должен был закрыть все уязвимости, о которых рассказали MedSec и Muddy Waters. Но руководство MedSec и Muddy Waters раскритиковали патч, заявив, что он не решает ряд более серьезных проблем: например, в устройстве содержится бэкдор, который потенциально открывает возможность удаленного управления имплантом. В подкасте от 19 января, Боун подтвердил, что патч решает только проблему MitM-атак, возможных из-за уязвимости коммуникационного протокола между передатчиком и инфраструктурой St. Jude.
«Патч, подготовленный St. Jude Medical, не решает проблему имплантов, — сказал Боун. – К сожалению, некоторые эксперты, далекие от мира кибербезопасности, не вникли в вопрос и решили, что St. Jude Medical решила проблему своих устройств этим патчем, но это абсолютно не так».
Источник: Threatpost | Новости информационной безопасности
