Medisinsk utstyr kan hackes

Pacemakere og implanterte hjertestartere tilkobles internett – med sikkerhetshull som i verste fall kan ta livet av brukeren.

Denne uken holdt jeg foredrag på Lerchendalkonferansen om min motivasjon for å forske på cybersikkerheten i min egen personlige kritiske infrastruktur, en pacemaker som genererer hvert eneste hjerteslag som hjertet mitt gjør. Se video av presentasjonen min her:

Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene. Når alle dingser kobles på internett, blir vi mer sårbare for hacking. Dette er ikke bare en trussel mot informasjonssikkerhet og personvern, men også mot liv og helse.

Problemstillingen er hyperaktuell i helsesektoren. Livskritisk medisinsk utstyr og systemer som inneholder sensitiv pasientinfo, kobles i økende grad opp mot internett. Målet er effektivisering og bedre behandling. Men da må brukerne kunne stole på utstyret og IT-systemene.

Det siste året er flere sykehus utenlands blitt rammet av kryptovirus. Disse skadelige programmene har satt datasystemer for håndtering av pasientinformasjon ut av spill i en slik grad at avdelinger måtte stenges ned og pasienter avvises.

Også utstyr som brukes til behandling, kan hackes. Dagens pacemakere og implanterte hjertestartere har trådløs kommunikasjon og kan kobles på internett. I fjor ble produsenten St. Jude Medical sterkt kritisert av sikkerhetsforskere som hadde funnet sårbarheter i utstyr for hjemmeoppfølging av pacemakerpasienter. Den amerikanske tilsynsmyndigheten FDA har gransket saken og bekreftet 9. januar i år at sårbarhetene eksisterte.

Her er noen av pacemakerne som vi forsker på. Foto: Marie Moe

Her er noen av pacemakerne som vi forsker på ved SINTEF. Foto: Marie Moe

Så langt har ingen pasient kommet til skade på grunn av hacking. Dette er strengt tatt ren flaks.

Amerikanske sikkerhetsforskere publiserte i august i fjor en rapport som viste at den trådløse ruteren som står hjemme hos brukeren og kommuniserer med pacemakeren, hadde sikkerhetshull. Disse kunne åpne for at en hacker via internett kunne logge seg på og sende kommandoer til implantatet.

I verste fall kunne noen ha utnyttet dette til å tømme batteriet på pacemakeren. Alternativt kunne de endre programmeringen slik at hjerterytmen hos brukeren ikke fikk nødvendig stimulering, med dødelig utfall som en mulighet.

Historien er ikke enestående.

Konsulenter som gikk gjennom IT-sikkerheten på flere amerikanske sykehus, avdekket at snokere hadde kommet seg inn på sykehusnettet via usikrede MR-maskiner, røntgenapparat og strålebehandlingsapparat. Fellestrekket var at dette utstyret hadde utdaterte operativsystem.

Angripere kunne dermed utnytte kjente sårbarheter til å få fotfeste i nettverket og derfra få tilgang til systemer med sensitiv informasjon.

Det spesielle med St. Jude-saken var at forskerne i oppstartbedriften MedSec som fant sårbarhetene, gikk utradisjonelt frem – for å tjene penger på funnet. De slo seg sammen med investorselskapet Muddy Waters og profiterte på børshandel ved å shorte aksjene i St. Jude Medical før de publiserte rapporten om sårbarhetene.

Påstandene ble avvist av St. Jude Medical, som har saksøkt forskerne og investorene. Utfallet av rettstvisten er ikke kjent enda. Men amerikanske myndigheter bekreftet altså nylig at sårbarhetene eksisterte. Samtidig publiserte St. Jude Medical sikkerhetsoppdateringer som tettet noen av de mest kritiske sikkerhetshullene.

Fremgangsmåten til MedSec har skapt debatt. Vanligvis vil en ansvarlig sikkerhetsforsker prøve å gå i dialog med utstyrsprodusenten og gi denne tid til å fikse sårbarheter før de offentliggjøres. Forskeren kan også velge direkte kontakt med tilsynsmyndighetene, som vil gå i dialog med produsenten.

Her tok det hele fem måneder fra sårbarhetene ble gjort offentlig kjent, til produsenten innrømte problemet. Først da kom en sikkerhetsoppdatering og informasjon til pasienter og helsepersonell om hvordan disse skulle sikre seg. Imens levde hundretusenvis av pasienter i uvisshet, med motstridende informasjon og skremmende nyhetsoverskrifter.

Situasjonen var ekstra ille for rundt 400 000 brukere som i den samme perioden også ble rammet av en helt urelatert tilbaketrekking av implanterte hjertestartere som hadde blitt produsert med en innebygd feil i batteriet. To personer døde som konsekvens av at batteriet plutselig gikk tomt for strøm på grunn av denne feilen. Brukere med disse implantatene ble rådet til å alltid ha den trådløse ruteren for hjemmeovervåking skrudd på, da denne ville sende ut et varsel om batterinivået plutselig ble farlig lavt. Noe som stridet imot rådet fra MedSec og Muddy Waters om å skru av den samme ruteren på grunn av hacking-faren.

Amerikanske myndigheter har nå publisert retningslinjer for hvordan produsenter av medisinsk utstyr skal håndtere cybertrusler. Europa har krav om rapportering av uønskede hendelser med medisinsk utstyr, knyttet eksempelvis til brukerfeil og tekniske feil. Men europeiske retningslinjer for rapportering av sårbarheter eller hendelser relatert til cybersikkerhet, finnes ennå ikke. Dessverre.