Zjistila, že během přípravy kardiostimulátorů došlo k tisícům chyb v knihovnách třetích stran, které mohou zapříčinit problémy při aktualizacích zabezpečení softwaru na těchto citlivých zařízeních.

Všichni sledovaní programátoři navíc používali zastaralý software se známými druhy zranitelností. Mnoho z nich pracovalo ještě v operačním systému Windows XP, který již není podporován a nevydávají se pro něj bezpečnostní záplaty. Firma také odhalila, že programátoři kardiostimulátorů nijak neověřují při přístupu k zařízení svoji totožnost, a stejně tak se chovají i lékaři.

Přístup do programovacího softwaru tak není chráněn žádným přihlašovacím jménem a heslem. Každý programátor kardiostimulátorů tak může kdykoli přeprogramovat výrobek od stejného výrobce.

Použité kardiostimulátory lze koupit na eBay. S daty pacientů

Všechny zkoumané kardiostimulátory také neměly zašifrované souborové systémy u snímatelných médií. Společnost White Scope rovněž zaznamenala nedostatek kryptografických podpisů u firmware kardiostimulátoru.

Zařízení by tak mohl kdokoli aktualizovat pomocí vlastního firmwaru. Výčet chyb tím ale zdaleka nekončí. Výzkumníci s hrůzou zjistili, že kardiostimulátory pro testování mohou volně nakoupit na eBay. Některé z nich byly použité a obsahovaly nezašifrované údaje o pacientech.

Architektura i technická implementace kardiostimulátorových systémů od různých výrobců jsou podle White Scope překvapivě podobné. „Máme podezření, že mezi výrobci kardiostimulátorů dochází k určité vzájemné spolupráci.

Vzhledem k podobnosti systémů doufáme, že výrobci spolupracují i na inovativních návrzích v oblasti kybernetické bezpečnosti a budou se snažit získávat zkušenosti od uživatelů kardiostimulátorů,“ uvedla firma v tiskovém prohlášení.

Na dálku je lze zneužít k vraždě pacienta

Kardiostimulátory nejsou pod drobnohledem kvůli nedostatečné kybernetické ochraně poprvé. V roce 2012 bezpečnostní expert Barnaby Jack ze společnosti IOActive prokázal, že některé kardiostimulátory od několika výrobců mohou být řízeny na dálku a prostřednictvím notebooku u nich může útočník vyvolat 830voltový šok, což by vedlo k úmrtí pacienta.

Jack tehdy poznamenal, že by následkem nemusela být smrt jednoho člověka, ale dokonce „masová vražda“.

„U tak citlivých zařízení, jako je kardiostimulátor, bychom očekávali nejvyšší úroveň zabezpečení před kybernetickými útoky. Tady nejde o zašifrování dat na počítači, ale o přímé ohrožení životů pacientů,“ zdůrazňuje Václav Zubr, bezpečnostní expert společnosti ESET.