Hlavní navigace

V mobilních rentgenových přístrojích Philips byla nalezena zranitelnost

Sdílet

Petr 19. 12. 2019
Philips Veradius Unity

V mobilních rentgenových přístrojích firmy Philips (tzv. C-ramena) typu Veradius Unity, Pulsera a Endura byla nalezena zranitelnost. Konkrétně se jedná o zabudovaný router, který obsahuje neuspokojivě zabezpečený software používající nedostatečné šifrování. 

Podrobnosti zatím nejsou zveřejněny, ale zneužití může teoreticky znamenat ohrožení citlivých dat pacientů, která jsou přenášena bezdrátově. Zranitelnosti byl přidělen kód CVE-2019–18263, zprávu vydalo Ministerstvo vnitřní bezpečnosti Spojených států amerických.

Přístroje Veradius Unity, PulseraEndura se v českých nemocnicích používají (viz odkazy). Chyba se ale netýká všech přístrojů, jde jen o určité konfigurace přístrojů vyrobených v určitém období. Podrobnosti viz stránky ICS-CERT.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 20. 12. 2019 11:17

    Miroslav Šilhavý

    Problémy jako u Therac-25 se najdou všude, viz Boeing 737 Max. Nepochybuju, že i u farmaceutických firem jsou podobné problémy při vývoji, chyby v laboratořích, měřeních, ...

    Požadovat 100% jistotu je neúčelné. Zastavil by se vývoj vpřed. Proto se zavádějí následné kontrolní mechanismy a také proto existují mechanismy, jak se na průšvih přijde relativně zavčas. Pro popáleného člověka to těžko bude vysvětlení, ale je potřeba si uvědomit, že on, i pacienti před ním dostali šanci na léčbu. Na alergii na penicilin taky zemřely zástupy pacientů, ale nepochybujeme, že nám antibiotika zajistila daleko lepší přežití.

    Digitální doba přinesla nové výzvy. Postupy kontroly jakosti práce v laboratořích, práce lékařů atd. se vyvíjí už několik set let. Nuly a jedničky krotíme pár desetiletí. Bez pochyby bude nutné zavést metody kontroly práce, vypracovat metodiky a naučit se je rozšiřovat (v laboratořích dnes taky platí jiné postupy, než před padesáti lety). Bude k tomu asi patřit i to, že na takovém projektu nemůže pracovat programátor-nýmand, že nad ním bude muset být někdo ještě zkušenější atd.

    Dále vidíme trend ve spojování hotových řešení do jednoho. To je případ integrovaného routeru, který výrobce převezme, ale už nepřevezme odpovědnost za jeho software - prostě důvěřuje dodavateli.

    A nakonec přijdou místní ajťáci (viz analogie s benešovskou nemocnicí), kteří zařízení zcela nekriticky zapojí do sítě a důvěřují taky.

    Sakra, od prvního programátora, až pro ajťáka v nemocnici, všichni pracují v prostředí srovnatelné s laboratoří. Jde o životy. Nechtěl bych, aby mi blízký zemřel jen kvůli hloupým chybám a sociální lenosti (to je odpovědnost někoho jiného...). Kdy už si to někdo začne opravdu uvědomovat.

  • 20. 12. 2019 13:24

    K>

    Jo, a proto jsou soudy, ktere rozoduji, zda slo o zanedbani, nebo o nehodu. Kdyz se na jerabu pretrhne lano, ktere se pravidelne kontrolovalo, tak to je nehoda. Kdyz se pretrhne lano, ktere nekdo nechal zrezivet a bylo mu to jedno, sup s nim do vezeni.

    Bude se benesovska nemocnice resit soudne?

  • 20. 12. 2019 14:00

    Miroslav Šilhavý

    U nedbalosti je potřeba posuzovat subjektivní stránku činu - tedy vztah podezřelého k tématu.
    Pokud pracovník věděl, že je potřeba lano určité pevnosti, ale rozhodl tam dát jiné - pak je to vědomá nedbalost.
    Pokud pracovník nevěděl, že lano je poškozené, ale měl ho ráno zkontrolovat, pak je to nevědomá nedbalost.

    U IT se nedbalost posuzuje extrémně špatně, neexistují žádné minimální normy, se kterými by se mělo poměřovat. Není žádná povinnost, aby programátor uměl programovat. Není povinnost, aby jeho práci někdo zkontroloval a otestoval. V této situaci se obávám, že po právní stránce nelze hovořit o nedbalosti, i když lidsky to tak cítíme.

    Psal jsem to už jinde, v IT oboru budou muset vzniknout profesní komory a postupně vznikat normy. Bude to složité, bude se muset začít od úplné nuly. Jinak budou přibývat případy, kdy IT "nedbalost" bude stát zdraví, životy a majetek.

  • 20. 12. 2019 12:55

    Miroslav Šilhavý

    Namátkou mě napadá, proč tam může být:
    1. přístroj je sestaven z více autonomních celků; každý z nich má vlastní rozhraní,
    2. obsluha má svoji obrazovku a je potřeba zajistit i uživatelské napojení (odeslání snímků),
    3. bezpečnost (ve světle problému zní směšně)