September 2030, på St. Olavs Hospital, Trondheim. En sykepleier overvåker hydreringsnivået til en pasient på et nettbrett, sammen med andre viktige data som hjerterytme, oksygenmetning og blodsukker. Hun rapporterer så til ansvarlig lege som etter en rask titt gir råd om en litt modifisert behandling. Dette valget er gjort direkte basert på anbefalingene fra applikasjonen. 250 kilometer unna mottar den overvåkede pasienten et varsel på smartklokken sin som indikerer en oppdatering av behandlingen hennes, sammen med motivasjonen for å gjøre det.
Internet of Medical things (IoMT) er nettverket av medisinsk utstyr som er koblet sammen via internett. Det muliggjør denne nye typen sykehus, «tilkoblet og hjemme», som bør bli den nye normalen i årene som kommer for ikke bare å frigjøre presset på sykehusene, men også for å gi pasientene bedre og mer behagelig behandling. Denne endringen kunne allerede sees under COVID-19-krisen. Evnen medisinsk utstyr har til å kommunisere er ikke ny, og blir en grunnleggende funksjonalitet i nyere modeller, enten det er en tilkoblet klokke eller implantert medisinsk utstyr som en pacemaker eller en insulinpumpe. Det er ubestridelig at de nye teknologiene forbedrer pasientenes liv og generelt kvaliteten på helsetjenester, men hva med sikkerheten deres?
Det er ubestridelig at de nye teknologiene forbedrer pasientenes liv og generelt kvaliteten på helsetjenester, men hva med sikkerheten deres?
I den amerikanske serien «Homeland» fjernhacker en terrorist visepresidentens pacemaker, sjokkerer ham og dreper ham. Skremmende, ikke sant? Legene ble spurt om gjennomførbarheten av et slikt angrep og sa at det ikke er mulig i det virkelige liv. År med forskning på emnet tyder imidlertid på noe annet. Allerede i 2008 beskrev forskere et angrep på en pacemaker. Ved å bruke programvaredefinerte radioenheter (SDR) reverserte de kommunikasjonsprotokollen som ble brukt mellom pacemakeren og programmereren [1]. De brukte deretter denne kunnskapen til å utvikle flere angrep, inkludert muligheten til å hente ut pasientens personopplysninger. Mer bekymringsverdig var det at de var i stand til å endre pacemakerens innstillinger (inkludert terapier) og utløse et sjokk (i tilfelle av en defibrillator), som potensielt drepte pasienten. Nyere forskning fra 2016 på de siste generasjonene av pacemakere ser ut til å vise at disse sårbarhetene fortsatt eksisterer: forskere klarte å redusere batterilevetiden til en pacemaker drastisk ved å blokkere den i «avhørsmodus» (en modus der den kan kommunisere med en programmerer, som krever mer energi) [2].
SINTEF har sett på dette temaet de siste tre årene. Konkret har vi analysert økosystemet til en av de viktigste produsentene av pacemakere på markedet. Vi fikk tak i de tre siste generasjonene av telekardiologienheten for å sammenligne utviklingen av deres sikkerhet over tid. Resultatene våre viser at generelt sett har sikkerheten til medisinsk utstyr forbedret seg, selv om produsentene fortsatt henger etter og ikke er i stand til å implementere visse grunnleggende sikkerhetstiltak [3].
Seks egenskaper for sikre enheter
Å designe sikkert medisinsk utstyr er vanskelig av flere grunner. For å utvikle en sikker enhet, må en produsent oppfylle følgende seks egenskaper: konfidensialitet, integritet, tilgjengelighet, ikke-avvisning, autorisasjon og autentisering. Når det gjelder en pacemaker, må disse egenskapene være gyldige ikke bare under «normal» driftsmodus, men også i «nødmodus». I «normal» modus er det rimelig å tro at vi kan kontrollere enhetene som kobles til pacemakeren og implementere strenge sikkerhetstiltak (pacemakeren kan for eksempel ganske enkelt ignorere enhver tilkoblingsforespørsel). Tvert imot, i «nødmodus», selv om det fortsatt er nødvendig å respektere de nevnte egenskapene, er det viktig at pacemakeren er tilgjengelig, for eksempel hvis pasienten må gjennom en operasjon i utlandet og pacemakeren må deaktiveres. Å ha en slik modus betyr å implementere en «bakdør», som strider mot alle sikkerhetsprinsipper. En annen utfordring for produsenter er mangelen på ressurser til enhetene (i form av minnekapasitet eller batterilevetid, for eksempel). Den begrensede tilgjengelige datakraften gjør det svært vanskelig å implementere «sterke» kryptografialgoritmer.
Bør vi konkludere med at tilkoblet medisinsk utstyr ikke er sikkert og ikke bør brukes? Nei. Mulighetene som tilbys av tilkoblet medisinsk utstyr forbedrer kvaliteten på behandlingen og rett og slett livskvaliteten til pasientene. Men som denne artikkelen viser, er det avgjørende å ikke sette vognen foran hesten og å sørge for at vi utvikler enheter som oppfyller dagens og morgendagens sikkerhetsbehov.
Nytt EU-prosjekt om medisinsk utstyr og sikkerhet
I vårt nye EU-prosjekt, NEMECYS, vil vi se på sikkerheten til medisinsk utstyr som helhet. I dette prosjektet utvikler vi proporsjonale risikovurderingsverktøy som vil balansere cybersikkerhetsrisiko med kliniske gevinster for å sikre at riktig mengde cybersikkerhet brukes i hver situasjon. Dette er unikt ved at det er den første tilnærmingen vi kjenner til som balanserer både cybersikkerhetsrisiko og klinisk nytte. Vår dynamiske sanntids risikovurdering vil utvide eksisterende dynamisk risikovurderingsarbeid innen cybersikkerhet til å inkludere registrering av hendelser knyttet til medisinske situasjoner og pasientbehandlingsrisiko. Dette vil gi utøvere forhåndsvarsler om endringer i situasjoner fra et cybersikkerhetsperspektiv og anbefalinger om hvordan de kan justere cybersikkerheten på riktig måte. Vi vil også tilby halv-automatiserte verktøy og teknikker for cybersikkerhetsvurdering som retter seg mot hele livssyklusen til medisinsk utstyr. Disse verktøyene vil bygges inn i verktøykasser, som vil samle et «komplett» sett med metoder og verktøy på ett sted, noe som gjør det enklere for utøvere å lage og vedlikeholde risikovurderinger for tilkoblet medisinsk utstyr.
Referanser
- Halperin, D., Heydt-Benjamin, T. S., Ransford, B., Clark, S. S., Defend, B., Morgan, W., Fu, K., Kohno, T., and Maisel, W. H. (2008). Pacemakers and implantable cardiac defibrillators: Software radio attacks and zero- power defenses. In 2008 IEEE Symposium on Security and Privacy (sp 2008), pages 129–142. IEEE.
- Marin, E., Singelée, D., Garcia, F. D., Chothia, T., Willems, R., and Preneel, B. (2016). On the (in) security of the latest generation implantable cardiac defibril- lators and how to secure them. In Proceedings of the 32nd annual conference on computer security applica- tions, pages 226–236.
- Bour, G., Moe, M.E.G. and Borgaonkar, R., 2022. Experimental Security Analysis of Connected Pacemakers. In BIODEVICES (pp. 35-45).
Mer informasjon
- #SINTEFblog: Security Testing of the Pacemaker Ecosystem
- guillaumebour.fr – Security testing of the pacemaker ecosystem – Part 1
0 kommentarer på “Hvor sikre er våre IoMT-enheter?”