Комментарии 8
Для тех кто работает с медоборудованием это не новость уже лет с десять как. И не только GE этим грешит, но и остальные крупные компании. Для старых, но вполне себе ещё используемых мед. систем, пароли можно найти на просторах сети или даже за пару секунд подобрать по словарю, ибо там совсем простые вещи вроде 'operator'. Вот только по очевидным причинам рабочие станции всяких томографов обычно не подключаются к интернету и толку от этих знаний для злоумышленников нет. Если уж на то пошло, на многих старых аппаратах МРТ/КТ от другого не менее именитого производителя до сих пор стоит XP. Пускать её в интернет — равносильно выстрелу себе в ногу и без всяких утекших паролей. В мед. технике из-за сложностей сертификации прогресс идёт небыстро. Потому и железо и софт там вяло догоняют основной рынок.
Только непонятна тогда часть статьи про то для чего эти пароли. Алгоритм получается — звоним в поддержку подключаем во внешнюю сеть и поддержка что-то там делает? А с учётом того что поддержка, судя по новости, может смотреть и править историю пациента то тогда вообще возникает вопрос что там с врачебной тайной.
А вот лабораторное оборудование очень часто торчит в интернете с устаревшей ОС, в лучшем случае это Windows 7, и с паролями по умолчанию, порой состоящими из одной цифры. Причина этого в глючном и устаревшем ПО, требующем частых танцев с бубном. Порой возникает ощущение, что чем дороже железо, тем хуже ПО к нему, часто бывает так, что софт к какому-нибудь анализатору был разработан ещё во времена Windows 9x и поддерживает последующие версии с помощью шаткого нагромождения костылей. Например у меня на одной из систем стоит ПО, восходящее к середине 70х, но оно со временем отполировано так, что его можно смело ставить на АЭС или отправлять в дальний космос. Видимо, всё дело в сертификации, длительной и дорогостоящей, приводящей к появлению и укоренению замшелого легаси. Пользователям же при работе часто приходится обходить баги, кстати, на том же Therac-25 была возможна безаварийная работа, но только в стиле сапёра, который как известно, ошибается только один раз.
Насчёт паролей — очень часто ставят пароль из одного знака (догадаетесь какого) и настоятельно не рекомендуют его менять во избежание проблем. То же самое с антивирусами, их часто нельзя ставить по тем же причинам, плюс отключенные механизмы самозащиты ОС, ведь дорогостоящему глюкотрону надо исполнять данные :). В итоге оказывается, что торчащий во внешку в режиме 24/7 несчастный анализатор в ЦРБ состоит в нескольких ботнетах, спамит, ддосит, майнит и ещё умудряется выделять ресурсы на свою основную деятельность. Но бесконечно это продолжаться не может, рано или поздно вирусная нагрузка приводит к падению системы.
За 10 дней аппарат выдал 25 пациентам сверхвысокую дозу радиации, три человека погибли
То есть, в таких серьезных вещах нет независимой аварийной защиты?
Если говорить упрощенно, то сути нужен датчик и реле, отключающее аппарат при превышении уровня.
Более того, в самых серьезных системах защиты могут и дублироваться на случай отказа самой защиты.
В Therac-20 имелись аппаратные блокировки, делавшие поведение устройства безопасным, несмотря на имевшиеся глюки ПО, которое было сочтено безопасным, отработавшим столько-то часов и применено в следующей модели Therac-25, на которой от аппаратных блокировок было решено отказаться, что позволило имевшимся багам вылезти.
Подробнее
Получается, что в канадской государственной организации «Atomic Energy of Canada Limited» работали такие же раздолбаи как на ЧАЭС.
Не знал что такое пренебрежение защитой на уровне времен Первой Мировой войны сохранялось во всех странах вплоть до последней декады XX века.
Давайте мухи и котлеты отдельно. На ЧАЭС работал некомпетентный персонал, в ходе эксперимента отключали защиту.
На ошибках американцев с тримайлз айланд учится не стали, там тоже персонал не знал как оно на самом деле работает.
А случае с therac-25 ошибка разработчиков, а не оператора. Это хуже. С другой стороны их разработка CANDU считается самой безопасной в мире
в самых серьезных системах защиты могут и дублироваться на случай отказа самой защиты.
Любой отказ защиты должен приводить к невозможности запуска оборудования.
General Electric оставила пароль по умолчанию в медицинских аппаратах радиотерапии