Det er nå nesten nøyaktig ett år siden jeg holdt det første foredraget om sikkerhet i min personlige kritiske infrastruktur, en implantert pacemaker som genererer hvert eneste hjerteslag og holder meg i live. Jeg ble invitert av hack.lu som en “keynote” foredragsholder for å snakke om hvordan det var for en sikkerhetsforsker å leve med hardware og software inne i kroppen, og samtidig være klar over alle sikkerhetsutfordringene dette kan medføre.
Da jeg forberedte dette foredraget tenkte jeg over hva som skulle være hovedbudskapet mitt og kom frem til at jeg ville utfordre og inspirere alle sikkerhetsforskerene/hackerene i salen til å se nærmere på sikkerhet i produkter som kan påvirke menneskeliv. Det var lite eksisterende forskning på området og jeg så behovet for å påvirke produsentene til å prioritere arbeidet med cybersikkerhet. Pacemakeren min har innebygd funksjonalitet for å sende informasjon over Internett. Vi blir mer sårbare når alt skal kobles på nett, og som sikkerhetsforsker er jeg bekymret for at vi tar i bruk teknologi raskere enn vår evne til å sikre infrastrukturen.
Mens jeg jobbet med å forberede presentasjonen så slo det meg plutselig at jeg selv kunne gjøre noe med dette, og jeg bestemte meg for å starte et prosjekt for å finne ut av sikkerheten i min egen pacemaker.
Jeg fikk etterhvert med meg flere sikkerhetsforskere som donerte av fritiden sin til å hjelpe meg med hacking-prosjektet. Prosjektet startet som et hobbyprosjekt, men etter en stund fikk jeg intern finansiering fra SINTEF for å også kunne jobbe med dette i arbeidstiden. Akkurat nå jobber jeg med en prosjektbeskrivelse av et større forskningsprosjekt med flere partnere, slik at vi forhåpentligvis kan bygge opp et større forskningsmiljø innen sikkerhet i medisinsk utstyr nasjonalt. Ta gjerne kontakt med meg om du ønsker å samarbeide og bidra til et slikt prosjekt!
Foredraget som jeg holdt for et år siden har blitt løpende oppdatert etter hvert som vi har jobbet med hackingen, men vi er enda ikke kommet til det punktet hvor alle tekniske detaljer kan presenteres. Av etiske grunner følger vi en “coordinated vulnerability disclosure” prosess, noe som betyr at vi ikke kommer til å publisere resultater før dette er håndtert i samarbeid med produsenten. Selv uten avsløringer av “exploits” eller “zero days” har foredraget slått veldig godt an, både innen sikkerhetsmiljøet og for et mer generelt publikum. Jeg har så langt holdt 24 offentlige foredrag innen tematikken og mottatt veldig mange forespørsler om å snakke om dette rundt omkring i verden.
Programmet er ganske tett fremover, jeg skal holde et innlegg på konferansen 4SICS i Stockholm 26. oktober, jeg deltar med foredrag på TDC i Trondheim 31. oktober, og jeg skal snakke på EHiN Future Health i Oslo den 15. november.
Om du ikke har fått med deg foredraget mitt enda, ikke skal delta på noen av disse konferansene, og synes dette høres spennende ut, så kan du ta en titt på dette opptaket fra TEDx Vicenza: