Аппарат УЗИ как объект критической инфраструктуры

Аппарат УЗИ как объект критической инфраструктуры

В чатиках о безопасности КИИ время от времени всплывает один и тот же вопрос: чем руководствоваться при определении угроз объектам критической инфраструктуры и нужно ли использовать для этого банк данных угроз и уязвимостей ФСТЭК? Поясню, почему именно при категорировании основной инструмент моделирования угроз - это здравый смысл. И сделать это проще всего на примере медицинского оборудования: как работает аппарат УЗИ представляют все :)

Объектами критической информационной инфраструктуры являются информационные системы и сети, используемые в тринадцати сферах, в том числе - в сфере здравоохранения. Так как понятие "информационная система" определено очень расплывчато, с некоторой натяжкой объектом КИИ можно назвать и отдельно взятый аппарат УЗИ или компьютерный томограф. Если атака на такой объект может привести к последствиям, перечисленным в приложении к 127му постановлению Правительства (например - если в результате атаки может быть причинен ущерб жизни и здоровью людей), объект категорироется как значимый и должен защищаться в соответствии с требованиями ФСТЭК. Соответственно, при категорировании нужно определить актуальные для этого объекта угрозы и их последствия.

Некоторые интеграторы поступают предельно цинично. Аппарат УЗИ - фактически обычный виндовый компьютер с необычной периферией. Открываем перечень угроз и начинаем выбирать из него угрозы, актуальные для такого компьютера, например:

  • угроза внедрения вредоносного кода (УБИ.006);
  • угроза неправомерного ознакомления с защищаемой информацией (УБИ.067);
  • угроза подмены программного обеспечения (УБИ.188) и т.п.

Иp этого делается вывод, что атакующий способен получить полный контроль над аппаратом, подменять изображение, выдаваемое на экран и скриншоты, которые врач делает в процессе работы. Из этого делается вывод, что атакующий способен исказить информацию, которая нужна врачу для постановки диагноза, а значит потенциально способен заставить врача принять неверное решение и причинить тем самым вред здоровью пациента. Бинго, аппарат УЗИ становится значимым объектом наивысшей категории значимости.

Это хороший пример того, как нельзя моделировать угрозы. Исполнитель не разбирается в вопросах лечения ("что произойдет, если нарушитель взломает аппарат УЗИ"), и поэтому подменяет предмет исследования другим, в котором разбирается ("как можно взломать аппарат УЗИ"). При добросовестном же категорировании предметом исследования должен быть именно процесс лечения, и делать это должен не безопасник, а врач-лечебник или врач УЗИ-диагностики. Тогда и результат категорирования будет совсем другим.

Начнем с того, что в соответствии с порядком категорирования объектов КИИ исследуется процесс, нарушение которого моет привести к неприемлемым последствиям. Если мы изучаем вопрос о возможности причинения вреда здоровью пациента в результате неверного лечения, то и изучать нужно весь лечебный процесс, а не отдельный его кусочек. Как правило, УЗИ - лишь один из видов исследования, назначаемых больному в лечебном процессе, и неверные результаты, полученные на аппарате УЗИ, необязательно приведут к врачебной ошибке.

Но предположим, что УЗИ является единственным исследованием, на основании которого ставится диагноз и назначается лечение. Можно ли так атаковать аппарат УЗИ, чтобы заставить лечащего врача ошибиться, навязав ему ложную информацию? OK, упростим задачу нарушителя, приняв в качестве аксиомы, что он:

  • уже контролирует ядро операционной системы аппарата;
  • каким-то образом организовал удаленный доступ к аппарату, например - подключив к нему GSM-модем.

"Ну вот мы и здесь. И что дальше?". Теоретически нарушитель может модифицировать изображение, которое получается при обработке сигнала, поступающего с датчика, например - в процессе его вывода на экран или записи видео на внутренний накопитель аппарата. Дело за малым, осталось суметь этой возможностью воспользоваться. Итак, врач подносит к тушке пациента датчик, и мы видим первый кадр перехваченного изображения (только без циферок - их пририсовали авторы учебника по УЗИ-диагностике).

А дальше проведем мысленный эксперимент:

  1. Прошу поднять руки тех, кто опознал, какой именно орган исследует врач.
  2. А теперь тех, кто придумал, какой фрагмент изображения нужно изменить и как именно, чтобы обмануть врача.
  3. А теперь тех, кто еще и успел сделать это за те две миллисекунды, через которые аппарат выдаст нам следующий кадр.

УЗИ-диагностика - это исследование в режиме реального времени. Врач знает, какой именно орган он исследует и что именно он должен рассмотреть. Он подносит датчик к нужному месту на теле пациента и знает, что он ожидает увидеть на экране. Он произвольно перемещает датчик в окрестностях исследуемой точки, пока не увидит на изображении то, что ожидает увидеть. Увидев, он описывает увиденное словами в протоколе исследования, переходит к исследованию следующего участка, который нужно рассмотреть и описать, и процедура повторяется. Результатом исследования является написанный врачом протокол. В ходе исследования можно делать скриншоты и запись видео, но стандарты проведения исследования этого не требуют. Лечащие врачи используют только протоколы исследования.

Нарушитель не знает, какой именно орган собирается исследовать врач. Он не знает, как будет перемещаться датчик по телу пациента и какой именно фрагмент изображения "зацепит" внимание врача. Ну и модифицировать изображение в режиме реального времени да еще и так, чтобы картинка измененная выглядела правдоподобно - это из области чудес. Если бы нарушитель мог получить готовое видео исследования - другое дело, можно было бы индивидуально для такого видео подготовить качественную модификацию. Но к моменту, когда будет сформирован видеофайл, основные результаты исследования уже будут получены и описаны, и не заметить фальсификацию будет невозможно.

И что мы видим в результате анализа угроз? Что атака на аппарат УЗИ возможно, но к негативным последствиям лдя жизни и здоровья пациента она привести не может. А раз так, то и значимым объектом КИИ аппарат УЗИ не является. А мораль этой истории проста: категорировать объекты КИИ должны специалисты. И специалистами в этом процессе - ни разу не безопасники.

Alt text