Van pacemakers tot smartwatches, we worden steeds meer een cybernetische soort. Daarom kunnen recente krantenkoppen over kwetsbaarheden in geïmplanteerde medische apparaten alarmbellen doen rinkelen. Kan de pacemaker van je grootvader echt worden gehackt en, zo ja, wat is het reële risico?
Het is een actuele vraag. Ja, er zijn belangrijke veranderingen in de medische technologie op komst - implanteerbare apparaten kunnen nu draadloos communiceren, en het komende medische Internet of Things (IoT) brengt verschillende draagbare apparaten met zich mee om zorgverleners en patiënten meer verbonden te houden. Maar een grote fabrikant van medische apparatuur heeft de krantenkoppen gehaald met niet één, maar twee kritieke beveiligingsproblemen.
Kwetsbaarheden wijzen op hackrisico's
Afgelopen maart waarschuwde het Department of Homeland Security dat hackers konden draadloos toegang krijgen tot geïmplanteerde pacemakers van Medtronic . Toen, slechts drie maanden later, Medtronic riep vrijwillig enkele van zijn insulinepompen terug om soortgelijke redenen.
Op het eerste gezicht is dit beangstigend, maar het is misschien niet zo erg als het klinkt. Hackers hebben geen toegang tot geïmplanteerde pacemakers vanaf een afgelegen terminal op honderden kilometers afstand en kunnen geen grootschalige aanvallen uitvoeren. Om een van deze pacemakers te hacken, moet de aanval worden uitgevoerd in de directe fysieke nabijheid van het slachtoffer (binnen Bluetooth-bereik), en alleen wanneer het apparaat verbinding maakt met internet om gegevens te verzenden en ontvangen.
Hoewel het onwaarschijnlijk is, is het risico reëel. Medtronic heeft het communicatieprotocol van het apparaat zo ontworpen dat er geen authenticatie nodig is en dat de gegevens niet versleuteld zijn. Dus iedereen die voldoende gemotiveerd is, kan de gegevens in het implantaat wijzigen, waardoor het gedrag ervan op een gevaarlijke of zelfs fatale manier kan worden gewijzigd.
Net als de pacemakers kunnen de teruggeroepen insulinepompen draadloos verbinding maken met gerelateerde apparatuur, zoals een meetapparaat, dat bepaalt hoeveel insuline er wordt gepompt. Deze familie van insulinepompen heeft ook geen ingebouwde beveiliging, dus het bedrijf vervangt ze door een meer cyberbewust model.
De industrie speelt een inhaalslag
Op het eerste gezicht lijkt het erop dat Medtronic het affichekind is voor onwetende en gevaarlijke beveiliging (het bedrijf reageerde niet op ons verzoek om commentaar op dit verhaal), maar het is verre van alleen.
"De staat van cyberbeveiliging in medische apparatuur is over het algemeen slecht", zegt Ted Shorter, Chief Technology Officer bij IoT-beveiligingsbedrijf Keyfactor.
Alaap Shah, een advocaat die gespecialiseerd is in privacy, cyberbeveiliging en regelgeving in de gezondheidszorg bij Epstein Becker Green, legt uit: "Fabrikanten hebben in het verleden geen producten ontwikkeld met het oog op veiligheid."
In het verleden moest u immers een operatie uitvoeren om met een pacemaker te knoeien. De hele branche probeert technologie in te halen en de beveiligingsimplicaties te begrijpen. Een snel evoluerend ecosysteem - zoals het eerder genoemde medische IoT - legt nieuwe veiligheidsbelastingen op een branche die daar nog nooit over heeft hoeven nadenken.
"We bereiken een keerpunt in de groei van connectiviteits- en beveiligingsproblemen", zei Steve Povolny, hoofdonderzoeker van McAfee.
Hoewel de medische industrie kwetsbaarheden kent, is er nooit een medisch apparaat in het wild gehackt.
"Ik ken geen misbruikte kwetsbaarheden", zei Shorter.
Waarom niet?
"Criminelen hebben gewoon niet de motivatie om een pacemaker te hacken", legt Povolny uit. "Er is een grotere ROI voor medische servers, waar ze patiëntendossiers kunnen gijzelen met ransomware. Daarom gaan ze achter die ruimte aan: lage complexiteit, hoog rendement. "
Waarom zou je immers investeren in complexe, zeer technische manipulatie van medische apparatuur, terwijl de IT-afdelingen van ziekenhuizen traditioneel zo slecht beschermd zijn en zo goed uitbetalen? Alleen al in 2017 16 ziekenhuizen werden verlamd door ransomwareaanvallen . En als u een server uitschakelt, is er geen aanklacht wegens moord als u wordt betrapt. Het hacken van een functionerend, geïmplanteerd medisch apparaat is echter een heel andere zaak.
Moorden en hacken van medische apparatuur
Toch nam voormalig vicepresident Dick Cheney in 2012 geen enkel risico. Toen dokters zijn oudere pacemaker verving door een nieuw, draadloos model, schakelden ze de draadloze functies uit om hacking te voorkomen. Gedeeltelijk geïnspireerd door een plot uit het tv-programma 'Homeland', Zei Cheney's dokter , "Het leek me een slecht idee voor de vice-president van de Verenigde Staten om een apparaat te hebben dat misschien iemand zou kunnen ... hacken."
Cheney's saga suggereert een enge toekomst waarin individuen op afstand worden aangevallen via medische apparaten die hun gezondheid reguleren. Maar Povolny denkt niet dat we op het punt staan in een sciencefictionwereld te leven waarin terroristen mensen op afstand zappen door met implantaten te knoeien.
"Zelden zien we interesse in het aanvallen van individuen," zei Povolny, verwijzend naar de ontmoedigende complexiteit van de hack.
Maar dat betekent niet dat het niet kan gebeuren. Het is waarschijnlijk slechts een kwestie van tijd totdat iemand het slachtoffer wordt van een echte hack in Mission Impossible-stijl. Alpine Security heeft een lijst opgesteld van vijf soorten apparaten die het meest kwetsbaar zijn. Bovenaan de lijst staat de eerbiedwaardige pacemaker, die de snit maakte zonder de recente Medtronic-terugroepactie, in plaats daarvan verwijzend naar de 2017 terugroepactie van 465.000 geïmplanteerde pacemakers door fabrikant Abbott . Het bedrijf moest de firmware van deze apparaten bijwerken om beveiligingslekken te dichten die gemakkelijk de dood van de patiënt konden veroorzaken.
Andere apparaten waar Alpine zich zorgen over maakt, zijn onder meer implanteerbare cardioverter-defibrillatoren (die vergelijkbaar zijn met pacemakers), medicijninfusiepompen en zelfs MRI-systemen, die noch bloeddoorlatend noch implanteerbaar zijn. De boodschap hier is dat de medische IT-industrie veel werk op hun bord heeft om allerlei soorten apparaten te beveiligen, inclusief grote legacy hardware die in ziekenhuizen wordt blootgesteld.
Hoe veilig zijn we?
Gelukkig lijken analisten en experts het erover eens te zijn dat de cybersecurity-houding van de gemeenschap van fabrikanten van medische apparatuur de afgelopen jaren gestaag is verbeterd. Dit is gedeeltelijk te wijten aan de richtlijnen die de FDA in 2014 publiceerde , samen met taakgroepen van verschillende instanties die zich uitstrekken over meerdere sectoren van de federale overheid.
Povolny wordt bijvoorbeeld aangemoedigd dat de FDA samenwerkt met fabrikanten om de testtijdlijnen voor apparaatupdates te stroomlijnen. "Het is nodig om testapparatuur zo in evenwicht te brengen dat we niemand pijn doen, maar het duurt niet zo lang dat we aanvallers een zeer lange startbaan geven om onderzoek te doen naar en aanvallen op bekende kwetsbaarheden te implementeren."
Volgens Anura Fernando, Chief Innovation Architect of Medical Systems Interoperability & Security van UL, is het verbeteren van de beveiliging van medische apparatuur momenteel een prioriteit bij de overheid. “De FDA bereidt nieuwe en verbeterde richtlijnen voor. De Coördinatieraad voor de gezondheidszorg heeft onlangs het Gezamenlijk Beveiligingsplan uitgebracht. Standards Development Organisaties evolueren standaarden en creëren nieuwe waar nodig. DHS blijft hun CERT-programma's en andere beschermingsplannen voor kritieke infrastructuur uitbreiden, en de gezondheidszorggemeenschap breidt zich uit en werkt samen met anderen om de cyberbeveiligingshouding voortdurend te verbeteren om gelijke tred te houden met het veranderende dreigingslandschap. "
Misschien is het geruststellend dat er zoveel acroniemen bij betrokken zijn, maar er is nog een lange weg te gaan.
"Hoewel sommige ziekenhuizen een zeer volwassen cyberveiligheidshouding hebben, zijn er nog steeds veel die moeite hebben om te begrijpen hoe ze zelfs met elementaire cyberbeveiligingshygiëne moeten omgaan", klaagde Fernando.
Dus, is er iets dat jij, je grootvader of een patiënt met een draagbaar of geïmplanteerd medisch apparaat kan doen? Het antwoord is een beetje ontmoedigend.
"Helaas ligt de verantwoordelijkheid bij de fabrikanten en de medische gemeenschap", zei Povolny. "We hebben meer beveiligde apparaten nodig en een correcte implementatie van beveiligingsprotocollen."
Er is echter één uitzondering. Als u een apparaat van consumentenkwaliteit gebruikt, zoals een smartwatch, raadt Povolny u aan om een goede veiligheidshygiëne te hanteren. "Wijzig het standaardwachtwoord, pas beveiligingsupdates toe en zorg ervoor dat het niet de hele tijd met internet is verbonden als dat niet nodig is."
