Уязвимости ДНК-секвенаторов: утечка генетических данных
Портативные секвенаторы ДНК, широко используемые в научных исследованиях по всему миру, оказались под угрозой. Недавно обнаруженные критические уязвимости в безопасности этих устройств могут привести к утечке или несанкционированному изменению генетической информации без ведома пользователя.
Исследователи из Университета Флориды впервые выявили эти риски в устройствах от Oxford Nanopore Technologies, ведущего производителя портативных ДНК-секвенаторов. После уведомления исследователей, компания выпустила обновления программного обеспечения для устранения уязвимостей. Тем не менее, устаревшее ПО или небезопасные сетевые подключения по-прежнему могут оставлять устройства подверженными атакам.
«Никто в мире до нас не занимался вопросами безопасности этих устройств, что меня очень удивило», – отметила Кристина Буше, доктор философии, профессор компьютерных и информационных наук и инженерии в UF, эксперт в области биоинформатики и соавтор исследования. Вместе с коллегой Сарой Рампацци, также профессором UF и экспертом по кибербезопасности, и студентами, они протестировали секвенаторы Nanopore на наличие уязвимостей. Результаты исследования служат предупреждением научному сообществу: по мере роста популярности портативных ДНК-секвенаторов, возникают новые угрозы для геномных данных, требующие перехода к системам с принципом "безопасность по замыслу". Результаты опубликованы в журнале Nature Communications.
Исследователи обнаружили три уязвимости в портативном секвенаторе Oxford Nanopore MinION и его программном обеспечении. Две из них позволяют неавторизованному пользователю получить доступ к устройству и потенциально скопировать или изменить данные ДНК без ведома владельца. Третья уязвимость открывает возможность для атаки типа "отказ в обслуживании", которая может остановить процесс секвенирования, создавая видимость поломки устройства.
Агентство по кибербезопасности и защите инфраструктуры США подтвердило наличие этих уязвимостей в своем отчете от 21 октября. Отчет также содержит инструкции от Oxford Nanopore Technologies по обновлению секвенаторов. Устройства со старым программным обеспечением остаются уязвимыми, особенно при подключении к небезопасным сетям Wi-Fi или при использовании удаленного управления.
Благодаря невысокой стоимости (несколько тысяч долларов) и возможности работы в любом месте, эти компактные секвенаторы значительно упростили трудоемкий и дорогостоящий процесс секвенирования ДНК. Однако именно портативность создает риски: для работы секвенатора требуется подключение к компьютеру.
«Вы подключаете очень специализированное устройство к универсальному устройству, такому как ноутбук, который по умолчанию считается безопасным», – пояснила Рампацци. «Однако этот ноутбук может быть подключен к незащищенной сети или заражен вредоносным ПО, особенно если используется вне контролируемой среды».
Нанопоровые секвенаторы предназначены только для исследовательских целей, а не для клинической диагностики. Тем не менее, даже в рамках исследований, эти устройства могут использоваться для секвенирования ДНК человека.
Национальный институт стандартов и технологий США, занимающийся разработкой руководств по кибербезопасности и конфиденциальности геномных данных, только начинает учитывать исследовательские сценарии использования в своих последних проектах, что подчеркивает растущее внимание к проблеме и отсутствие четких стандартов.
Раскрытие ранее неизвестных уязвимостей стало возможным благодаря междисциплинарному сотрудничеству лабораторий Рампацци и Буше. Буше разрабатывает алгоритмы для анализа ДНК, а Рампацци изучает уязвимости в критически важных системах, от медицинских устройств до автономных автомобилей. Объединив свои знания, им удалось привлечь внимание сообщества к значительной угрозе конфиденциальности.
«В биоинформатике мы не сотрудничали с сообществом по безопасности так тесно, как, на мой взгляд, следовало бы», – добавила Буше.
Комментарии
Комментариев пока нет.