Philips uređaj za kardiograf. Apsolutna medicinska oprema
Philips je poznat po proizvodnji vrhunskih i učinkovitih kardiografskih uređaja PageWriter. Nakon nedavnog otkrića ranjivosti cyber sigurnosti na svojim uređajima koje napadačima omogućuju da promijene postavke uređaja kako bi utjecale na dijagnozu, Philips se oglasio rekavši u ICS-CERT-u savjetodavni da ne namjerava istraživati ove ranjivosti do ljeta 2019.
Kardiografski uređaji Philips PageWriter primaju signale putem senzora pričvršćenih na tijelo i koriste te podatke za stvaranje EKG uzoraka i dijagrama s kojima se liječnik zatim može savjetovati kako bi zaključio dijagnozu. Ovaj proces ne bi smio imati smetnji sam po sebi kako bi se osigurala cjelovitost poduzetih mjerenja i prikazanih grafikona, ali čini se da manipulatori mogu ručno utjecati na te podatke.
Ranjivosti postoje u Philipsovim modelima PageWriter TC10, TC20, TC30, TC50 i TC70. Ranjivosti proizlaze iz činjenice da se ulazne informacije mogu ručno unijeti i tvrdo kodirati u sučelje što rezultira nepravilnim unosom jer sustav uređaja ne provjerava niti filtrira niti jedan uneseni podatak. To znači da su rezultati uređaja izravno povezani s onim što korisnici u njih stavljaju ručno, što omogućuje nepravilnu i neučinkovitu dijagnozu. Nedostatak sanacije podataka izravno doprinosi mogućnosti prelijevanja međuspremnika i ranjivostima niza formata.
Uz ovu mogućnost pogreške u korištenju podataka, mogućnost umetanja podataka u sučelje omogućuje i teško kodiranje vjerodajnica. To znači da svaki napadač koji zna lozinku uređaja i koji je fizički pri ruci može izmijeniti postavke uređaja uzrokujući nepravilnu dijagnozu pomoću uređaja.
Unatoč odluci tvrtke da se ove ranjivosti neće baviti do ljeta sljedeće godine, objavljeno je savjetništvo nudi nekoliko savjeta za ublažavanje tih ranjivosti. Glavne smjernice za to vrte se oko fizičke sigurnosti uređaja: osiguravanje da zlonamjerni napadači ne mogu fizički pristupiti uređaju ili manipulirati njime. Uz to, klinikama se savjetuje da u svojim sustavima pokrenu zaštitu komponenata, ograničavajući i regulirajući ono što se može pristupiti na uređajima.
