Проблема информационной безопасности использования "Интернета вещей".
Умные медицинские изделия, являясь устройствами "Интернета вещей", подвержены общесистемным правовым проблемам "Интернета вещей". Одной из них является проблема информационной безопасности.
Информационную безопасность можно определить как сохранение конфиденциальности, целостности и доступности информации <5>. В части 1 ст. 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" три указанных элемента раскрыты как обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации (целостность), соблюдение конфиденциальности информации ограниченного доступа (конфиденциальность) и как реализация права на доступ к информации (доступность).
<5> Согласно ГОСТ Р ИСО/МЭК 27000-2012. Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и технология.
Воздействие на информационную безопасность медицинского изделия может не только привести к вмешательству в частную жизнь, но и нанести физический ущерб. Например, в результате несанкционированного воздействия на информационную систему устройство может и вовсе прекратить работу.
Одной из самых опасных угроз информационной безопасности является киберпреступность. При этом киберпреступность с использованием устройств "Интернета вещей" впервые проявилась в 2008 г. <6> и достигла своего апогея в 2016 г., когда печально известным ботнетом <7> Mirai были атакованы роутеры компании Deutche Telekom <8>, в результате чего были заражены почти 1 млн устройств. Однако кибератаки затронули не только крупные компании, но и обычных граждан. В апреле 2014 г. стало известно о взломе "Радионяни", посредством которого злоумышленник в прямом смысле накричал на десятимесячного младенца <9>.
<6> Кусков В. Ловушки "интернета вещей" // Secure List. 2017. 19 июня. URL: https://securelist.ru/honeypots-and-the-internet-of-things/30874/ (дата обращения: 14.12.2018); Angrishi K. Turning Internet of Things (IoT) into Internet of Vulnerabilities (IoV): IoT Botnets. URL: https://arxiv.org/pdf/1702.03681.pdf (дата обращения: 14.12.2018); Janus M. Heads of the Hydra. Malware for Network Devices: Secure List. URL: https://securelist.com/heads-of-the-hydra-malware-for-network-devices/36396/ (дата обращения: 23.12.2018).
<7> Ботнет - совокупность программного обеспечения, состоящего из вирусов, брандмауэров, программ для удаленного управления компьютерами, инструментов для скрытия операционной системы.
<8> Нефедова М. Ботнет на базе Mirai атаковал Deutsche Telekom и заразил почти миллион устройств // Хакер. 2016. 29 ноября. URL: https://xakep.ru/2016/11/29/mirai-new-attack-vector/ (дата обращения: 14.12.2018).
<9> Man Hacks Monitor, Screams at Baby Girl // NBC News. 28 Apt. 2014. URL: https://www.nbcnews.com/tech/security/man-hacks-monitor-screams-baby-girl-n91546 (дата обращения: 14.12.2018).
Реальные случаи взлома именно медицинских устройств "Интернета вещей" злоумышленниками случались неоднократно <10>. Однако до сих пор можно с уверенностью говорить, что производители устройств "Интернета вещей" все еще ставят вопрос информационной безопасности не на первое место. Все это происходит в условиях, когда российское законодательство системно не регулирует вопросы информационной безопасности. Есть отдельные нормативные правовые акты, регламентирующие необходимость обеспечения информационной безопасности, например применительно к Интернету, но не к "Интернету вещей" <11>.
<10> TRAPX reveals 2016 healthcare breaches increased 63 percent year-over-year; medical device hijacks and ransomware on the rise. URL: https://trapx.com/trapx-reveals-2016-healthcare-breaches-increased-63-percent-year-over-year-medical-device-hijacks-and-ransomware-on-the-rise/ (дата обращения: 23.12.2018).
<11> См., например: Постановление Правительства РФ от 26 июня 1995 г. N 608 "О сертификации средств защиты информации"; Приказ ФСТЭК России от 14 марта 2014 г. N 31 "Об утверждении Требований к обеспечению защиты информации...".