Alarm! Moord by medical device...

12/12/16 om 18:41 - Bijgewerkt om 18:41

We hadden ook voor een andere titel kunnen kiezen, zoals 'pacemaker valt internet aan...' Toegegeven, zo hard loopt een en ander (nog) niet van stapel, maar de dreiging is reëel. Echt!

Alarm! Moord by medical device...

© -

Ja, met deze titel willen we de aandacht van de lezer trekken... zodat hij ook de volgende verontrustende berichten onder de ogen krijgt:

- De Mirai malware legde in september ll. de site van een security expert plat met een massale 'denial of service' aanval, en in oktober een rist commerciële diensten als Amazon, Twitter, Spotify en anderen. De malware heeft hiervoor de controle over duizenden 'Internet of Things' toestellen, zoals genetwerkte camera's, overgenomen, dankzij misbruik van 'ingebakken' paswoorden. De Mirai softwarecode werd online gepubliceerd, zodat nog meer aanvallen worden verwacht. In zijn 'alert' (TA16-288A) stelt de US-CERT (het Amerikaanse computerhulpteam) uitdrukkelijk: "Ken de mogelijkheden van medische toestellen bestemd voor huisgebruik. Als het toestel data verzendt of op afstand kan worden bediend, kan het allicht worden besmet."

- Eind augustus ll. publiceert investeringsmaatschappij Muddy Waters Capital LLC een rapport dat de implanteerbare harttoestellen van St Jude Medical Inc. verwijt kwetsbaar te zijn voor cyberaanvallen. (Zie kadertje)

- Begin oktober ll. zendt Animas (Johnson & Johnson) een brief naar de gebruikers van hun 'OneTouch Ping' insulinepomp, met de waarschuwing dat deze toestellen mogelijks kunnen worden beïnvloed door derden wegens niet-versleuteld radioverkeer. Hoewel een en ander "gespecialiseerde kennis vereist" en "het gevaar klein is", onder meer omdat "het toestel niet aan het internet is gekoppeld", worden toch aanwijzingen gegeven om het gebruik van de pomp veiliger te maken. Normalerwijze is het radiobereik ca. 10m, maar volgens experten zou zelfs vanop 1 à 2km instructies voor meer insuline kunnen worden gegeven. De levensbedreigende gevolgen van een teveel aan insuline liggen voor de hand.

Kortom, in de voorbije maanden werd meermaals gewezen op de kwetsbaarheid van medische toestellen, inclusief implanteerbare devices, voor aanvallen en misbruik van buitenaf. Daarbij moet worden gedacht aan een breed spectrum van toestellen: genetwerkte/geconnecteerde medische apparatuur in hospitalen, zorgcentra en bij patiënten thuis, implanteerbare en draagbare medische toestellen, en zelfs niet-medische apparaten ('wearables') die vaak een vorm van monitoring bieden.

Niet nieuw...

Wie eventueel verrast zou zijn door deze gevaren, moeten we teleurstellen. Al meer dan acht jaar wordt hiervoor door experts gewaarschuwd, met in die tijd al een rist voorvallen.

Concreet dienen zich twee types problemen aan: het doorsturen van foute gegevens en het invoeren van valse instructies. In het eerste geval kan een monitorende arts/verpleger verkeerde therapeutische conclusies trekken (met gevaarlijke reacties), of kan een ziektebeeld worden vertekend (met eveneens gevolgen voor de behandeling). In het tweede geval kunnen gevaarlijke (systeemcrash/malfunctie), en zelfs dodelijke instructies (overdosissen) worden ingevoerd. Daarnaast is er tevens het gevaar van diefstal van gegevens, wat de privacy van een patiënt schade kan berokkenen. En in de mate dat alle medische apparatuur (zelfs draagbare...) vandaag computers zijn, kunnen ze dus allicht ook in aanvallen (op het internet) worden ingezet, wat mogelijks de goede werking van die apparatuur kan verstoren (met dan weer alle gevolgen van dien).

Encryptie

Ook de security-voorzieningen zijn niet nieuw, zoals Thomas Kallstenius, vp Research & Technology bij iMinds opsomt. "Als toestellen data uitwisselen, is encryptie een vorm van bescherming, zij het niet de totale oplossing." Immers, er moet worden opgelet voor datalekken (of input) langs andere kanalen dan de gebruikersinterface of netwerk. "Ook moet er aandacht zijn voor sterke authenticatie, inclusief multi-factor authenticatie." Dat is belangrijk om de bonafide van derden over (publieke of telefonie) netwerken aan te tonen (o.a. bij het uitwisselen van gegevens, of installeren van patches, etc.). "Naast een authenticatie met elementen die je 'kent' [wachtwoord], 'hebt' [token] en 'bent' [o.a. vingerafdruk], kan ook een 'context based' element, zoals 'hoe dicht ben je', worden aangewend." Dat laatste kan onder meer helpen om eerstehulpverleners toegang te verschaffen tot opgeslagen gegevens.

Algemeen moet er steeds aandacht worden besteed aan het 'knoeivrij' (tamper resistant) maken van het hele systeem, vanaf het patiënt-toestel (ingeplant, draagbaar,...) tot het centraal verwerkingssysteem. "Daarbij is van uiterst belang het opstellen van 'threat models', zeg maar het bestuderen van de aanvalswijzen tegen het geheel en de onderdelen. En hoe het ontwerp die aanvalswijzen aanpakt." Security moet dan ook een fundamenteel onderdeel van het ontwerp uitmaken ('by design'). En de nieuwe Europese privacy-wetgeving (GDPR) zal daar bovenop ook nog 'privacy by design' eisen (ook hier voor het hele systeem, vanaf het patiënt-onderdeel tot het centraal systeem).

Voorts moeten heel wat toestellen - zowel medische (zeker de ingeplante) apparatuur als niet-medische 'wearables' - ononderbroken functioneren ('24/7'). "Je kan ze vaak niet zomaar stoppen. Het systeem moet dan ook in staat zijn om aanvallen, of anomalieën, te onderkennen en daar gepast op te reageren, om verkeerde beslissingen te voorkomen. Dat zal zeker aan belang winnen, naarmate er ook meer 'closed loop systemen' komen, die op basis van data zelf actie nemen. Dergelijke toestellen zullen zeer zeker medisch gevalideerd moeten worden."

En de toekomst is aan een steeds grotere variëteit van dergelijke 'slimme' systemen, zoals inslikbare 'slimme pillen', hersen- en diepe hartimplantaten, onderhuidse biosensoren en nog heel wat meer, naast de bestaande insulinepompen, hartdevices, neurostimulatoren en cochleair implantaten.

Aandacht, aandacht, aandacht!

Vanzelfsprekend moet worden vermeden al te alarmistisch 'wolf' te roepen, want het probleem neemt vandaag geen 'apocalyptische' omvang aan. Of preciezer: nog niet. Vergelijk de toestand met deze in de jaren tachtig van de vorige eeuw, wanneer virussen en malware op huiscomputers en pc's ook nog geen groot probleem vormden. Wat vandaag wel even anders is... Wachten tot het probleem de spuigaten uitloopt, mag geen optie zijn, zeker wat toestellen en devices betreft met 'leven of dood'-verantwoordelijkheid.

Concreet moet van bij de aanvang van een aanschafprocedure steeds uitdrukkelijk de leverancier/producent worden bevraagd naar de (cyber)security-kwaliteiten van zijn product (naast de functionele en safety-kwaliteiten). Dit niet doen, moet worden beschouwd als een grove nalatigheid. Anderzijds is het logisch zich op dit punt te laten bijstaan door experten, indien nodig. Je kan best het selectieproces inzake (cyber)security goed documenteren (en dat is meer dan een blad papier waarop een leverancier een 'hokje' heeft 'aangetikt'). Vraag de leverancier/producent om zijn security ontwerpproces te verduidelijken aan de hand van relevante documentatie. Besef dat wie verantwoordelijk is voor de eindkeuze, allicht later ook verantwoordelijk kan worden gesteld bij eventuele problemen. Zorg ervoor dat je kan aantonen als 'goede huisvader' de nodige inspanningen te hebben geleverd!

Uiteindelijk mag het niet de bedoeling zijn om ziekenhuizen, zorginstellingen en verleners van medische zorgen afkerig te maken van de voordelen die de steeds krachtiger medische toestellen en devices - ook implanteerbare - bieden. Immers, "cybersecurity risico's van medische toestellen moeten worden afgewogen tegen de vaak levensreddende voordelen van deze toestellen," aldus Dr. Kevin Fu, wereldwijd erkend forensisch security expert inzake medische apparatuur, "Wat ziekenhuizen nodig hebben is meer cybersecurity, niet meer angst."

Leg de leverancier/producent op de rooster

Mogelijke vragen:

- Hoe werd/wordt er aandacht besteed aan (cyber)security tijdens de ontwikkeling van het product? Van bij de aanvang ('security by design')? Gedocumenteerd? Is er een overzicht van mogelijke aanvalswijzen ('threat model') en hoe daartegen wordt beschermd? Hoe werd de code getoetst inzake security?

- Is privacy voorzien 'by design'? Met navenante securityvoorzieningen?

- Hoe worden data en instructiestromen beveiligd? Versleuteld ('encryptie')?

- Hoe wordt de toegang tot het toestel beveiligd (aanpasbare wachtwoorden)? Hoe solied is de authenticatie van derden (bij het invoeren van nieuwe instructies, 'patches', etc.), zeker als de toestellen/devices toegankelijk zijn over een netwerk (internet)?