Книга Цифровая гигиена. Том 2, страница 110 – Владимир Безмалый

– Да вот в том и проблема. Каждый защищается по-своему. Мы даем рекомендации исключительно государственным органам, а коммерсанты – каждый сам по себе. Это и внушает мне опасения.

– Вы что-то можете им рекомендовать?

– Думаю, да. Но на самом деле нам нужно принимать государственные стандарты. Вначале рекомендованные, а затем и обязательные к исполнению. Думаю, что первым здесь сможет выступить наш Имперский банк. Ведь его стандарты обязательны для всех банков империи, верно?

– Да. Вы правы. Идея весьма интересна.

– А потом на базе банковских стандартов можно делать вначале рекомендательные, а затем и обязательные стандарты.

– Да. Но как заставить коммерсантов им соответствовать?

– А вот здесь все просто. Во-первых, обязать всех сотрудников ИБ проходить в обязательном порядке курсы повышения квалификации с выдачей государственных дипломов. А у кого сотрудники не пройдут такие – наказывать! А во-вторых, давать определенные налоговые льготы тем, кто будет соответствовать принятым стандартам. А для этого использовать подготовленных аудиторов безопасности.

– Идея интересная. Безусловно, она нуждается в проработке. Как вы считаете, господин управляющий Имперского банка?

– Мы давно готовы. Нам бы еще самим немного подучиться.

– Иоганн, вы и Академия возьметесь учить банковских специалистов?

– Надо, значит возьмемся!

Вот так в империи была решена проблема стандартов. Со временем она распространилась на всю планету.

– Иоганн, вам срочный пакет из канцелярии императора. Просят разобраться как можно быстрее и доложить лично императору.

– Да… Давненько у нас не было таких пакетов. Давайте его сюда.

Прошло пять минут.

– Срочно ко мне руководителей подразделений. СРОЧНО!

– Господа, как вы знаете, в империи любой гражданин империи может обратиться напрямую к императору, если считает, что дело касается имперской безопасности. Так вот. В канцелярию прошло письмо от Жозе Фернандеса. Он специалист по информационной безопасности и занимается изучением безопасности медицинского оборудования производства компании H. В частности, он проводил исследования системы управления инфузионными помпами этой фирмы, 400 тыс. которых установлено в больницах по всему миру.

Более года назад он сообщил в департамент здравоохранения, департамент внутренней безопасности и управление по санитарному надзору за качеством пищевых продуктов и медикаментов о ряде уязвимостей в системе управления инфузионной помпой производства H. Баги были не слишком значительные, например, позволяли постороннему лицу в дистанционном режиме увеличить максимально возможный лимит для введения лекарств.

Спустя более 400 дней производитель так и не удосужился выпустить ни единого патча.

В апреле этого года другой независимый исследователь огласил некоторые из этих уязвимостей широкой публике, после чего поднялся переполох.

Более того, уязвимости были найдены и в другом оборудовании

Среди уязвимостей – возможность подделки списка лекарств для инфузионной помпы; неавторизованный доступ к интерфейсу коммуникационного модуля с рутовым доступом; идентичные зашитые логин и пароль во всех устройствах; идентичные секретные ключи; идентичные сертификаты шифрования; множество устаревших программ (более 100 различных уязвимостей).