Исследователи Sandia National Laboratories определили уязвимость и уведомили разработчиков программного обеспечения, которые выпустили патч для устранения проблемы. Проблема также была исправлена в последней версии программного обеспечения.
Хотя об атаках этой уязвимости не известно, Национальный институт стандартов и технологий недавно описал ее в записке для разработчиков программного обеспечения, исследователей геномики и сетевых администраторов.
Открытие показывает, что защита геномной информации подразумевает нечто большее, чем просто безопасное хранение генетической информации человека. Кибербезопасность компьютерных систем, анализирующих генетические данные, также имеет решающее значение, сказал Кори Хадсон, исследователь биоинформатики из Sandia, который помог раскрыть проблему.
Персонализированная медицина – процесс использования генетической информации пациента для руководства лечением – включает два этапа: секвенирование всего генетического содержимого клеток пациента и сравнение этой последовательности со стандартизованным геномом человека.
С помощью этого сравнения врачи выявляют конкретные генетические изменения у пациента, связанные с заболеванием.
Секвенирование генома начинается с разрезания и репликации генетической информации человека на миллионы маленьких кусочков.
Затем машина считывает каждую часть множество раз и преобразует изображения частей в последовательности строительных блоков, обычно представленные буквами A, T, C и G. Наконец, программное обеспечение собирает эти последовательности и сопоставляет каждый фрагмент с его местом в стандартизированной последовательности генома человека. Одна программа сопоставления, широко используемая исследователями персонализированной геномики, называется выравнивателем Берроуза-Уиллера (BWA).
Исследователи Sandia, изучающие кибербезопасность этой программы, обнаружили слабое место, когда программа импортирует стандартизированный геном с государственных серверов. Стандартизированная последовательность генома перемещалась по незащищенным каналам, что создавало возможность для общей кибератаки, называемой "человек посередине"."
В этой атаке злоумышленник или хакер могут перехватить стандартную последовательность генома и затем передать ее пользователю BWA вместе с вредоносной программой, которая изменяет генетическую информацию, полученную в результате секвенирования. Затем вредоносная программа может изменить необработанные генетические данные пациента во время картирования генома, сделав окончательный анализ неверным, о чем никто не узнает. На практике это означает, что врачи могут прописать лекарство на основе генетического анализа, который, если бы у них была правильная информация, они бы знали, что он неэффективен или токсичен для пациента.
Лаборатории судебной экспертизы и компании, занимающиеся секвенированием генома, которые также используют это программное обеспечение для картирования, также были временно уязвимы для злонамеренного изменения результатов таким же образом. По словам Хадсона, эта уязвимость не повлияла на информацию из генетических тестов, направленных непосредственно на потребителя, потому что в этих тестах используется другой метод секвенирования, чем при секвенировании всего генома.
Безопасность киберслейтов
Чтобы найти эту уязвимость, Хадсон и его коллеги по кибербезопасности из Университета Иллинойса в Урбана-Шампейн использовали платформу Emulytics, разработанную Sandia, для моделирования процесса картирования генома.
Во-первых, они импортировали генетическую информацию, смоделированную так, чтобы она напоминала ту, которая поступает из секвенатора. Затем у них было два сервера, которые отправляли информацию в Emulytics. Один предоставлял стандартную последовательность генома, а другой действовал как перехватчик "человек посередине". Исследователи сопоставили результаты секвенирования и сравнили результаты с атакой и без нее, чтобы увидеть, как атака изменила окончательную последовательность.
«Как только мы обнаружили, что эта атака может изменить генетическую информацию пациента, мы последовали ответственному раскрытию», – сказал Хадсон. Исследователи связались с разработчиками с открытым исходным кодом, которые затем выпустили патч для решения проблемы.
Они также связались с государственными учреждениями, в том числе с экспертами по кибербезопасности в U.S. Группа готовности к компьютерным чрезвычайным ситуациям, чтобы они могли более широко распространять информацию об этой проблеме.
Исследование, финансируемое программой исследований и разработок Sandia, продолжает тестирование другого программного обеспечения для картирования генома на наличие слабых мест.
Различия между каждой программой означают, что исследователи могут найти похожую, но не идентичную проблему в других программах, сказал Хадсон.
Наряду с установкой последней версии BWA, Хадсон и его коллеги рекомендуют другие стратегии «кибергигиены» для защиты геномной информации, включая передачу данных по зашифрованным каналам и использование программного обеспечения, которое защищает данные секвенирования от изменений. Они также побуждают исследователей в области безопасности, которые регулярно анализируют программное обеспечение с открытым исходным кодом на наличие слабых мест, обращать внимание на программы геномики.
По словам Хадсона, такая практика распространена в системах промышленного управления в энергосистеме и программном обеспечении, используемом в критически важной инфраструктуре, но это будет новая область для безопасности геномики.
«Наша цель – сделать системы более безопасными для людей, которые их используют, помогая разрабатывать передовые методы», – сказал он.