Хакеры рассекретили «дыру» в кардиостимуляторах, чтобы заработать на обвале акций производителя

Безопасность Стратегия безопасности Бизнес Законодательство Инвестиции и M&A Интеграция
мобильная версия
, Текст: Валерия Шмырова
Сотрудники стартапа MedSec, который занимается информационной безопасностью, нашли уязвимости в кардиостимуляторах и дефибрилляторах производителя St. Jude Medical. Вместо того чтобы обратиться в саму компанию, они предложили главе крупной инвестиционной фирмы разыграть эту информацию на бирже. Инцидент вызвал дискуссию об этичности подобного исследования безопасности.

Хакеры предложили данные об уязвимостях биржевому игроку

Группа хакеров нашла способ взломать кардиостимуляторы и дефибрилляторы, которые выпускает крупный американский производитель медицинского оборудования St. Jude Medical. Вместо того чтобы сообщить компании об уязвимостях в ее продуктах, хакеры обратились к Карсону Блоку (Carson Block), главе инвестиционной фирмы Muddy Waters Capital, с беспрецедентным коммерческим предложением, которое поможет им вместе заработать.

Суть сделки между хакерами и Блоком

Взломщики работают на стартап MedSec, который специализируется на информационной безопасности медицинского оборудования. Они вызвались обнародовать подтвержденную информацию о том, что аппараты St. Jude Medical опасны для жизни пациентов. По плану хакеров, одновременно с этим Блок должен занять на бирже по отношению к компании «короткую позицию», то есть взять на себя обязательства по срочным сделкам при игре на понижение. Когда распространение компрометирующей информации ударит по репутации St. Jude Medical, и ее акции обвалятся, Блок сможет на этом заработать. Гонорар хакеров будет тем больше, чем сильнее упадут в цене акции.

Если бы акции St. Jude Medical остались на месте, убытки понесла бы только MedSec, которая потратила средства на исследования кардиостимуляторов и дефибрилляторов. Но этого не произошло – акции упали на 4,4% и стали торговаться по $77,5. На тот момент в обороте на бирже было 25 млн акций St. Jude Medical, таким образом при игре на понижение акций St. Jude Medical прибыль «медведей» могла превысить $80 млн.

После публикации данных о «дыре» в кардиостимуляторах и дефибрилляторах St. Jude Medical его акции обвалились

Незадолго до этого, в апреле 2016 г., американская химико-фармацевтическая корпорация Abbott Laboratories объявила, что выкупит St. Jude Medical за $25 млрд. Сделка должна состояться в конце 2016 г. Распространение данных об уязвимости кардиостимуляторов и дефибрилляторов может сорвать эти планы.

В интервью Bloomberg Карсон Блок заявил, что вдобавок к «короткой позиции» (игре на понижение) по отношению к St. Jude Medical он занял «длинную позицию» (играет на повышение) по отношению к Abbott Laboratories. Это должно застраховать его от неудачи при любом исходе дела.

Эксперт по информационной безопасности Джейкоб Олкотт (Jacob Olcott), вице-президент бостонской ИБ-компании BitSight Technologies полагает, что сделка должна привлечь внимание Комиссии по ценным бумагам и биржам США и вызвать какую-то реакцию с ее стороны.

Информационная безопасность в St. Jude Medical

По словам хакеров, уязвимость продуктов St. Jude Medical заключается в отсутствии шифрования и возможности подключаться к кардиостимуляторам и дефибрилляторам с неавторизованных устройств. MedSec утверждает, что кто угодно может подключиться к имплантам, вживленным в тела пациентов, и вызвать их фатальный сбой. О подобных угрозах говорят уже десять лет, но до сих пор риск, которому подвергаются сотни тысяч людей с имплантами St. Jude Medical, считался скорее теоретическим. Однако хакеры также скомпрометировали рентген-оборудование, анализаторы газов крови и другую технику в больницах и домах инвалидов, чтобы получить персональные данные пациентов. Ни MedSec, ни Muddy Waters пока не предают огласке ключевые технические подробности взлома.

Инцидент прокомментировала Кэндес Стил Флиппин (Candace Steele Flippin), вице-президент St. Jude Medical по внешним коммуникациям. Она заявила, что защита персональных данных является важнейшим приоритетом компании, и что St. Jude Medical осуществляет программу по тестированию информационной безопасности своего оборудования. В чем заключается программа, и какие изменения будут внесены в нее после происшествия, Флиппин не уточнила.

Обязательное условие этичного исследования безопасности – дать компании-производителю возможность ликвидировать уязвимости, прежде чем они станут широко известны массам потенциальных преступников. Но генеральный директор MedSec Джастин Боун (Justine Bone) заявил, что не может пойти этим путем, поскольку St. Jude Medical в прошлом игнорировала подобные предупреждения. Кроме того, существует вероятность, что компания будет преследовать хакеров в судебном порядке, чтобы заставить их молчать. MedSec и Muddy Waters ссылаются на данные расследования деятельности St. Jude Medical, предпринятого в 2014 г. Министерством внутренней безопасности США.

По словам Боуна, MedSec обратилась к Muddy Waters, поскольку у той уже есть опыт в привлечении крупных корпораций к ответственности. Боун считает, что St. Jude Medical могла бы уже многое сделать для обеспечения безопасности своих устройств – например, сменить ПО – но компания не предприняла никаких шагов.

Традиционные и нетрадиционные способы заработать на уязвимостях

Обратиться в инвестиционную фирму с предложением сделать деньги на обнаруженных уязвимостях – это очень нетривиальное решение для хакеров. Обычно они монетизируют найденные баги более избитым способом, обращаясь непосредственно к компании, которая производит скомпрометированное оборудование или ПО. Компания может заплатить им гонорар – так называемый bug bounty – а может и не заплатить. Но в любом случае она публично признает достижение хакеров, что создает им репутацию и в перспективе приводит к трудоустройству на перспективную вакансию. Впрочем, многие компании отказываются сотрудничать.

Еще один способ заработать на уязвимостях – продать код атаки на сером рынке какой-нибудь государственной структуре или кибероружейному дилеру. Такая сделка приносит до нескольких сотен тысяч долларов, и после нее использование атаки выходит из-под контроля хакера.

MedSec пошла по самому агрессивному пути, который некоторые разочарованные специалисты по информационной безопасности считают единственно верным. Компания считает, что только потеря значительных сумм заставит производителей техники обратить действительно серьезное внимание на кибер-защиту продуктов. При этом стартап сознательно нарушает базовые принципы этичного исследования безопасности, и делает это в сфере, где ставкой является человеческая жизнь.

О компании MedSec

MedSec была основана в 2015 г. Робертом Брайаном (Robert Bryan), бывшим портфельным менеджером инвестиционной консультации Metaval Capital, который также сотрудничал в этой сфере с компаниями Cyrus Capital и Goldman Sachs. MedSec базируется в Майами и предлагает услуги по тестированию и обеспечению безопасности медицинского оборудования. Искать баги в этой технике никогда не было прибыльным делом, поскольку результаты нельзя даже продать разработчикам антивирусов, но MedSec надеется изменить ситуацию сделкой с Muddy Waters.