Kaspersky Lab pomáhá zabezpečit bionické technologie pro tělesně hendikepované

Odborníci z Kaspersky Lab zabývající se experimentální cloudovou infrastrukturou pro bionické protézy končetin identifikovali v těchto technologiích několik dříve neznámých bezpečnostních hrozeb. Ty umožňují třetím stranám přístup, manipulaci, a dokonce krádež či vymazání soukromých dat uživatelů. Svá zjištění odborníci sdílí s ruským startupem Motorica, který se zaměřuje na vývoj technologií pro výrobu bionických protéz horních končetin. Společným cílem je minimalizovat rizika spojená s chytrými protetickými pomůckami.

Do oblasti internetu věcí (IoT) už nespadají pouze chytré hodinky anebo propojené domácí spotřebiče, ale především vyspělé, komplexní a čím dál automatizovanější ekosystémy. K nim v tomto ohledu patří také zabezpečení zdravotnických kybertechnologií. Ty se do budoucna mohou proměnit z ryze podpůrných zařízení v mainstreamovou záležitost, která uživatelům umožní rozšiřovat možnosti lidského těla kybernetickými vymoženostmi. Proto je důležité minimalizovat potenciální bezpečnostní rizika ze strany kyberzločinců, a to jejich včasným rozpoznáním ve stávajících produktech a podpůrné infrastruktuře.

Specializovaný tým ICS CERT z Kaspersky Lab ve spolupráci se společností Motorica testoval kyberbezpečnostní software pro digitální protézy rukou vyvinuté právě ruským startupem. Řešení funguje jako vzdálený cloudový systém, který monitoruje status registrovaných biomechanických zařízení. Ostatním vývojářům zároveň přináší soubor nástrojů schopných analyzovat technický stav přístrojů, jako jsou například chytré invalidní vozíky nebo umělé končetiny.

Primární výzkum odhalil řadu bezpečnostních hrozeb. Mezi ně se řadí nezabezpečené internetové připojení, chybné operace na účtech nebo nedostatečné validační prvky. Při běžném provozu protéza ruky přenáší data do cloudového systému. Kvůli bezpečnostním chybám útočníci následně mohou:

• Získat přístup k informacím uloženým v cloudu o všech připojených účtech (včetně přístupových údajů a hesel – v podobě prostého textu – od jednotlivých protetických přístrojů a jejich administrátorů).
• Měnit, přidávat nebo mazat tyto informace.
• Přidávat či odstraňovat běžné a zvláštní uživatele (se správcovskými právy).

"Motorica představuje ve všech ohledech progresivní firmu se zájmem zlepšit životy fyzicky hendikepovaných. Výsledky naší společné analýzy jasně dokládají, že zabezpečení nových technologií musí jít od samého začátku ruku v ruce s jejich vývojem. Pokud se do spolupráce s bezpečnostními odborníky zapojí i další výrobci protetických pomůcek, můžeme se společně detailněji zaměřit na bezpečnostní rizika zařízení a systémů. Lze tak dospět do fáze, kdy se kybernetické zabezpečení stane pro bioniku zcela přirozenou a nepostradatelnou součástí vývoje a výzkumu," uvedl Vladimir Daschenko, bezpečnostní odborník týmu ICS CERT Kaspersky Lab.

"Nové technologie nám nabízejí zcela netušené možnosti přístupu k bionickým pomůckám. Nyní je ovšem zásadní, aby jejich vývojáři začali intenzivněji spolupracovat s kyberbezpečnostními firmami. Tímto způsobem zamezíme byť jen teoretickým útokům na lidské tělo," poznamenal Ilja Chekh, výkonný ředitel společnosti Motorica.

Pro zajištění ochrany bionických pomůcek jejich vývojářům doporučujeme:

• Pravidelně kontrolujte stávající analýzy rizik a klasifikace zranitelností pro relevantní webové a IoT technologie. Spolehlivým zdrojem odborných informací je například OWASP IoT Project.
• Zaveďte bezpečnou práci se softwarem na základě jeho daného životního cyklu. Při vyhodnocování stávajících bezpečnostních standardů postupujte systematicky – pomůže vám v tom OWASP OpenSAMM.
• Nastavte postup pro získávání informací a dat ohledně možných hrozeb a zranitelností pro zajištění adekvátní a včasné reakce na všechny mimořádné události.
• Pravidelně aktualizujte jednotlivé operační systémy, aplikace, softwary a bezpečnostní řešení.
• Implementujte kyberbezpečnostní řešení určené pro analýzu síťového provozu a schopné detekovat a zastavit síťové útoky – na rozhraní firemní a OT sítě.
• Používejte bezpečnostní řešení, které je schopné detekovat síťové anomálie díky strojovému učení (machine learning anomaly detection – MLAD). To odhalí včas odchylky v chování IoT zařízení.