Bezbednost bioničkih uređaja

Logitech MX ERGO

Stručnjaci kompanije Kaspersky Lab koji istražuju eksperimentalnu Cloud infrastrukturu za napredne bioničke proteze identifikovali su nekoliko prethodno nepoznatih bezbednosnih problema koji mogu omogućiti trećoj strani da pristupi, manipuliše, ukrade ili čak izbriše privatne podatke korisnika uređaja, pa čak i više od toga.

Nalazi su podeljeni sa proizvođačem Motorica, ruskom visokotehnološkom start-up kompanijom koji razvija bioničke proteze gornjih ekstremiteta kako bi pomogli osobama sa invaliditetom, omogućavajući im da se pozabave bezbednosnim pitanjima.

Internet stvari više nije samo vezan za pametne satove ili pametne kuće, već za napredne, složene, sve više automatizovane ekosisteme. To uključuje i umreženu sajber tehnologiju u sferi zdravstva. U budućnosti, takve tehnologije bi mogle da izgube status uređaja koji se koriste samo kao pomagala  i postanu uređaji široke upotrebe, namenjeni korinsicima koji žele da prošire mogućnosti običnog ljudskog tela kroz proces kibernetizacije. Stoga je važno da se svi bezbednosni rizici koje napadači mogu potencijalno iskoristiti svedu na najmanju meru, istraživanjem i rešavanjem bezbednosnih pitanja proizvoda koji su trenutno u upotrebi  i njihove prateće infrastrukture.

Analitičari kompanije Kaspersky Lab iz tima ICS CERT u saradnji sa kompanijom Motorica, preduzeli su procenu sajber bezbednosti testnog softverskog rešenja za digitalnu prostetičku ruku, koju je razvila ruska start-up kompanija. Ovo rešenje je daljinski cloud sistem, odnosno interfejs za praćenje statusa svih registrovanih biomehaničkih uređaja. Ono takođe omogućava i set alata za analizu tehničkog stanja uređaja kao što su pametna kolica, veštačke ruke i noge.

Početno istraživanje identifikovalo je nekoliko bezbednosnih problema, uključujući i nebezbednu http vezu, netačne operacije na nalogu i nedovoljnu validaciju unosa. Kada je u upotrebi, prostetička ruka prenosi podatke u Cloud sistem. Zahvaljujući ovim bezbednosnim propustima, napadač može:

·        Dobiti pristup informacijama o svim povezanim nalozima na Cloud sistemu (uključujući prijave i lozinke u otvorenom tekstu, za sve prostetičke uređaje i njihove administratore)

·        Upravljati takvim informacijama, dodavati ih ili ukljanjati

·        Dodavati ili brisati sopstvene regularne i privilegovane korisnike (sa administratorskim pravima).

„Motorica je visoko-tehnološka, pouzdana i društveno odgovorna kompanija, fokusirana na rešavanje izazova sa kojima se suočavaju osobe sa telesnim nedostacima. S obzirom da se naša kompanija priprema za rast, želeli smo da pomognemo da se osiguraju prave mere bezbednosti. Rezultati naše analize su dobar podsetnik da bezbednost treba da bude ugrađena u nove tehnologije od samog početka. Nadamo se da će i ostali proizvođači naprednih umreženih uređaja želeti da sarađuju sa bezbednosnom industrijom kako bi razumeli i rešili bezbednosne probleme uređaja i sistema i tretirali bezbednost uređaja kao integralni i suštinski deo razvoja “, rekao je Vladimir Daščenko (Vladimir Dashchenko), bezbednosni analitičar u kompaniji Kaspersky Lab, tim ICS CERT.

„Nove tehnologije uvode nas u novi svet u smislu bioničkih pomagala. Sada je od presudne važnosti da oni koji takve tehnologije razvijaju, počnu da sarađuju sa proizvođačima sajber-bezbednosnih rešenja. To će nam omogućiti da čak i teoretske slučajeve napada na ljudski organizam učinimo nemogućim ”, istakao je Ilija Ček (Ilya Chekh), izvršni direktor kompanije Motorica.

Kako bi održale bezbednost svojih uređaja, kompanijama savetujemo:

Proverite modele prijetnji i klasifikacije ranjivosti za relevantne veb-bazirane i IoT tehnologije, koje pružaju stručnjaci, kao što je OWASP IoT Project.

Uvedite bezbedne prakse razvoja softvera na osnovu odgovarajućeg veka trajanja. Za procenu postojećih bezbednosnih praksi softvera koristi se sistematski pristup, kao što je, na primer, OWASP OpenSAMM.
Uspostavite proceduru za dobijanje informacija o relevantnim pretnjama i ranjivostima kako bi ste osigurali pravilan i pravovremen odgovor na bilo koji incident.

Redovno ažurirajte operativne sisteme, softver za aplikacije i uređaje i bezbednosna rešenja.
Implementirajte sajber-bezbednosna rešenja dizajnirana za analizu mrežnog saobraćaja, otkrivanje i sprečavanje mrežnih napada – na granici mreže preduzeća i OT mreže.

Koristite zaštitna rešenja koja imaju tehnologiju detekcije anomalija pomoću mašinskog učenja (MLAD) da biste otkrili devijacije u ponašanju IoT uređaja – za rano otkrivanje napada, neuspeha ili oštećenja uređaja.
I, dok se bioničke tehnologije razvijaju, važno je istražiti koje vrste bezbednosnih problema one mogu sadržati, kako bi se ispravno rešili. Za bolje razumevanje toga šta nam budućnost može doneti, kompanija Kaspesky Lab hostuje veb stranicu Earth 2050 sa kolekcijom futurističkih prognoza.