Beau Woods: “Hacking kan redde liv”

Beau Woods kommer til Trondheim for å holde sluttinnlegget på årets “Sikkerhet og Sårbarhet”.

Beau Woods er Cyber Safety Innovation Fellow i tenkesmien Atlantic Council, og en av medgründerne i grasrotorganisasjonen “I Am The Cavalry”.

I forbindelse med dette har vi gjort et lite intervju for å høre mer om hvorfor han mener hacking kan bidra til å redde liv.

Det er fortsatt noen ledige plasser på konferansen, som foregår i fornemme omgivelser på nyåpnede Britannia hotel 7.-8. mai, påmelding her.

Hacking på operasjonsstua

For to uker siden var jeg så heldig å få delta på et banebrytende eksperiment, en simulering av hvordan hacking av medisinsk utstyr ville håndteres klinisk på sykehusets akuttmottak. Simuleringen foregikk på CyberMed Summit ved University of Arizona i Phoenix, og ble ledet av Jeff Tully og Christian Dameff, to leger som også er stolte over å kalle seg “hackere”. Det ble en seanse preget av høy puls og blodig alvor (bokstavelig talt), og det var ikke bare på grunn av hetebølgen at både de som deltok og vi som så på ble rimelig svette.

“Pasienten” overlevde heldigvis, etter en hasteoperasjon for å koble fra den hackede pacemakeren. Foto: Marie Moe

Simuleringen foregikk på operasjonsstuer som brukes i opplæring av medisinstudenter, med profesjonelt helsepersonell, pasientskuespillere og tre erfarne leger som “prøvekaniner”. Teamet på operasjonsstua var drillet i hacking-scenariene, men for å gjøre det hele mest mulig realistisk var ikke legene som ledet teamet blitt informert om at pasienten som ble trillet inn på akuttmottaket hadde blitt utsatt for hacking.

Simuleringen ble filmet av ABC News, og nyhetssaken kan sees online her.

Foredrag om pacemakerhacking

Artikkelforfatteren Marie Moe, med en pacemaker lik den hun har implantert i sin egen kropp i hånden

Det er nå nesten nøyaktig ett år siden jeg holdt det første foredraget om sikkerhet i min personlige kritiske infrastruktur, en implantert pacemaker som genererer hvert eneste hjerteslag og holder meg i live. Jeg ble invitert av hack.lu som en “keynote” foredragsholder for å snakke om hvordan det var for en sikkerhetsforsker å leve med hardware og software inne i kroppen, og samtidig være klar over alle sikkerhetsutfordringene dette kan medføre.

Sikkerhet i det medisinske IoT

Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene. Når alle våre ”dingser” kobles på nett øker angrepsflaten og våre verdier blir sårbare for hacking. Dette utgjør ikke bare en trussel mot informasjonssikkerhet og personvern, også menneskers liv og helse trues når dingser som kan påvirke fysiske systemer i økende grad kobles opp mot Internett.

Faksimile fra Dagens Nærlingsliv Magasinet 08.01.16 - Foto: Maxim Sergienko
Faksimile fra Dagens Næringsliv Magasinet 08.01.16 – Foto: Maxim Sergienko

Dette er en veldig aktuell problemstilling for helsesektoren, hvor livskritiske systemer og systemer som inneholder sensitiv pasientinfo i økende grad kobles opp mot Internett. Den siste uken har det vært flere nyhetsoppslag om sykehus som har blitt hardt rammet av løsepengevirus og måttet betale kriminelle for å få tilgang til sine kritiske systemer for håndtering av pasientinformasjon.

Med hjertet på Internett – Hacking av medisinske implantat

For fire år siden kom jeg til meg selv liggende på gulvet uten å huske at jeg besvimte og falt. Det viste seg at det var hjertet mitt som hadde tatt seg en liten pause. 8-10 sekunder uten puls er nok til at man mister bevisstheten. Hjertet mitt startet å slå igjen av seg selv, men med en veldig lav og uregelmessig puls. hack.lu logo

Heldigvis var det en enkel løsning på dette problemet, en pacemaker som overvåker hvert hjerteslag og som sender et lite elektrisk signal direkte til hjertet via en elektrode i tilfelle det ikke slår av seg selv.

Som sikkerhetsforsker er jeg selvfølgelig opptatt av mulighetene for hacking av denne for meg livskritiske maskinen, noe jeg har blitt invitert til å holde et keynote foredrag om på konferansen hack.lu i Luxembourg.

Tillit och tilltro i framtidens Internet

Det Internet som vi har vuxit upp med har tidigare mestadels bestått av sammankopplade datorer och människor men blir nu mer och mer mobilt och genom Internet kommer ett stort antal maskiner och objekt kopplas ihop. Mängden data som skickas över nätet kommer explodera och Internet i sitt nuvarande fom kommer varken möjlighet att hantera dessa datamängder eller tillhandahålla den säkerhet, pålitlighet och robusthet som kommer krävas.

– Vil spore pasienter med ultralydsender

Innendørs posisjonering på et sykehus, presentert av en produsent av slike systemer (montasje fra sonitor.com)
Innendørs posisjonering på et sykehus, presentert av en produsent av slike systemer (montasje fra sonitor.com)

Teknisk Ukeblad (tu.no) og forskning.no kunne før helgen presentere et av helseinformatikkprosjektene hvor SINTEF er partner (CoOperation Support Throught Transparency). En av forskningsaktivitetene som omtales her, tar sikte på å registrere hvor både pasienter og sykehusansatte (og utstyr) befinner seg til enhver tid. Hensikten er likevel ikke å overvåke – men derimot å kunne gi den enkelte ansatte et relevant utsnitt av hva som skjer – uten at noen må taste all denne informasjonen inn på en PC manuelt. Ved hjelp av et slikt verktøy skal de ansatte forhåpentligvis kunne koordinere sin egen arbeidshverdag bedre – et system som selv kan forstå hva som skjer, og på denne måten bringe slik informasjon nærmere brukerne. Problemet er bare at slik informasjon kan være sensitiv, siden det dreier seg om helseaktiviteter tilknyttet ekte pasienter.

Tilgangskontroll for elektroniske informasjonstavler

Vi har tidligere på denne bloggen skrevet om arbeidet vårt i COSTT-prosjektet med der store skjermer brukes for å gi bedre koordineringsstøtte på sykehus. Målet vårt er å finne gode løsninger som gjør at de ansatte får den informasjonen de trenger samtidig som personvernet til pasientene blir ivaretatt.

Denne uken drar Inger Anne Tøndel til NordSec-konferansen for å presentere forslag til hvordan man kan gjøre tilgangskontroll for denne typen systemer. Artikkelens tittel er: “Visualization Control for Event-Based Public Display Systems used in a Hospital Setting”

Pasientinformasjon “på veggen” – balansegang mellom informasjonsbehov og personvern

Som del av prosjektet CO-operation Support Through Transparency deltok Erlend Andreas Gjære med innlegg på HelsIT-konferansen som ble arrangert i Trondheim 27.-29. september. Innlegget var del av workshopen “Hendelsesorienterte arkitekturer og systemer for helsetjenesten”, der informasjonssikkerhet utgjør en viktig del av forskningsarbeidet.

Helseinformasjon på storskjerm for koordineringsstøtte på sykehus

I COSTT-prosjektet jobber vi på SINTEF sammen med forskere fra blant annet NTNU om å tilby bedre koordineringsstøtte for helsepersonell knyttet til operasjonsavdelinger på sykehus. Ideen er å bruke store vegghengte skjermer til å vise statusinformasjon slik at de ansatte lettere skal få oversikt over det som foregår og de endringer som oppstår. Slik kan de lettere tilpasse og planlegge sin egen arbeidsdag. Personvern er viktig når man håndterer helseopplysninger, selv om man bare deler informasjon om status på undersøkelser. Vi jobber med løsninger for dette, og har nå i august publisert og presentert to artikler om temaet.