— Иоганн, вам срочный пакет из канцелярии императора. Просят разобраться как можно быстрее и доложить лично императору.
— Да… Давненько у нас не было таких пакетов. Давайте его сюда.
Прошло пять минут.
— Срочно ко мне руководителей подразделений. СРОЧНО!
— Господа, как вы знаете, в империи любой гражданин империи может обратиться напрямую к императору, если считает, что дело касается имперской безопасности. Так вот. В канцелярию прошло письмо от Жозе Фернандеса. Он специалист по информационной безопасности и занимается изучением безопасности медицинского оборудования производства компании H. В частности, он проводил исследования системы управления инфузионными помпами этой фирмы, 400 тыс. которых установлено в больницах по всему миру.
Более года назад он сообщил в департамент здравоохранения, департамент внутренней безопасности и управление по санитарному надзору за качеством пищевых продуктов и медикаментов о ряде уязвимостей в системе управления инфузионной помпой производства H. Баги были не слишком значительные, например, позволяли постороннему лицу в дистанционном режиме увеличить максимально возможный лимит для введения лекарств.
Спустя более 400 дней производитель так и не удосужился выпустить ни единого патча.
В апреле этого года другой независимый исследователь огласил некоторые из этих уязвимостей широкой публике, после чего поднялся переполох.
Более того, уязвимости были найдены и в другом оборудовании
Среди уязвимостей — возможность подделки списка лекарств для инфузионной помпы; неавторизованный доступ к интерфейсу коммуникационного модуля с рутовым доступом; идентичные зашитые логин и пароль во всех устройствах; идентичные секретные ключи; идентичные сертификаты шифрования; множество устаревших программ (более 100 различных уязвимостей).
Если злоумышленник может заменить прошивку на устройстве (теоретически, у него есть такие права), то можно делать что угодно. В частности, хакеру впервые удалось в дистанционном режиме увеличить дозировку лекарства, которое получает больной через инфузионную помпу, вплоть до смертельной дозировки. Удалённый доступ к помпе возможен из любого места внутри больничной локальной сети или через Интернет, если злоумышленнику удастся войти в больничную локальную сеть.
— Шеф, но это практически лицензия на убийство!
— Все верно, Рита! Вот поэтому у нас создается сверхсекретный проект и возглавите его скорее всего вы с Марком. Вы можете отбирать себе любых людей из состава нашего департамента, а также студентов выпускных курсов Академии. Если же вы знаете кого-то из выпускников, кто сейчас работает в других местах (неважно, это государственные или частные компании), пишите и они будут по приказу императора призваны на службу. Цель проекта — тестирование на проникновение во всех госпиталях и клиниках. Естественно, о проведенном тестировании вы докладываете мне лично. Будем наводить порядок.
— А какие у нас полномочия?
— Любые! Приказ императора уже готовится, и я жду, когда его привезут. Пора наводить порядок!
— А что будет с компанией H?
— Думаю, что руководство компании горько жалеет о том, что не прислушалось к проблеме по-хорошему. Проверкой медицинского оборудования (и не только этой компании) займется Карл. Я предлагаю подключить к вашей группе как консультанта г-на Фернандеса. Но, Карл, учти, старший в группе ты. Жду доклады еженедельно! Дело на контроле императора.
Думаете это фантастика? Увы, нет. Проблемы с помпами обнаружены еще в 2015 г. Исправили ли их? Неизвестно!
