MEDHJERTETPÅINTERNETT-SIKKERHETIMINPERSONLIGEKRITISKEINFRASTRUKTURMarieMoe,SINTEFIKT

@MarieGMoe @SINTEF_Infosec

Minpersonligekritiskeinfrastruktur

3

Kanvistolepåteknologien?

Pacemaker

Nyestegenerasjonpacemaker

Ienganskenærfremtid?

https://www.youtube.com/watch?v=ZiQJIpd2n8k

Fremtidenernå

Pacemaker/ICD Programmer

Homemonitoringunit

CellularorTelephoneNetwork Webportal

InductivenearfieldcommunicationMICS/

ISM

POTS/SMS

Kommunikasjonsgrensesnitt

Hva kan gå galt?Sårbarheteripacemakeren?

Sårbarheter Iaksesspunktet?

Kan vistolepåmobilnettet?

Er leverandørensservere/skytjenestesikret?

Sårbarheter iwebportalen?Menneskelige feil?

Mulige konsekvenser

Personvernsproblematikk

Batteritømming

Endring avkritiskefunksjoner

Dødstrusler ogutpressing

Mord sombeskrevetiTV-serier/krimbøker…

HVORFOR HACKERJEGMITTEGETHJERTE?

TRAPPASOMHOLDTPÅÅTAKNEKKENMEG

DEBUGGINGAVMEG

13

Dagens Næringsliv Magasinet ,9.januar 2016

NÅRTILLITENBRYTES...

19

20

• Fikk”root”påMerlin@home

• Angrepsompåståså”kræsje”pacemakeren

• Batterislukings-angrep

• Referanser:• http://www.muddywatersresearch.com/research/stj/mw-is-short-stj/

• https://vimeo.com/180593205

MedSec resultater

21

22http://ns.umich.edu/new/releases/24153-holes-found-in-report-on-st-jude-medical-device-security

23

ETISKE BETRAKTNINGER

HvasierTwitter?

Hvordanreagererpasientene?

Thebad"news"waspromotedbyashort-sellerofthecompaniesstock.Thatbringsseriouscredibilityissues,inmyopinion.EdBolton,pasientmedimplantertICD

Allelectronicsarevulnerabletoday.I'mgladit'sbeingtalkedaboutandnotkeptsecret.Nowalltheyneedtodoisfixtheproblemandmoveon.PasientmedimplantertICD

Itmakesmecuriouslyscared,butatthesametimemakesmewonderhowtrueitactuallyis.Ifit'sagimmickorfearmongering,itpissesmeoff.PasientmedimplantertICDfraSt.Jude

InCollaborationWith

Hippocratic OathCyberSafetyCapabilitiesWhatisyourreadyposturetowardfailure?

⚕ CyberSafetybyDesign– Anticipateandavoidfailure⚕ Third-PartyCollaboration– Engagewillingalliestoavoidfailure⚕ EvidenceCapture– Observeandlearnfromfailure⚕ ResilienceandContainment– Preventcascadingfailure⚕ CyberSafetyUpdates– Correctfailureconditionsonceknown

PolicyMakers

Insurers&Payers

StandardsOrganizations

GovernmentAgencies

For Connected Medical Devices

⚕Patients Healthcare

ProvidersPhysicians&CareGivers

DeviceMakers

SecurityResearchers

https://www.iamthecavalry.org/oath

• Medisinsk utstyr medåpenkildekode

• Kryptografi tilpasset medisinsk utstyr

• Personalareanetworkmonitoring

• Jammingprotection

• Forensicsevidencecapture

VITRENGERMERFORSKNING!

wocintechchat.com

Noen referanser

Pacemakere:• KevinFuetal:• Pacemakersandimplantablecardiacdefibrillators:Softwareradioattacksandzero-powerdefenses

(2008)

• MitigatingEMIsignalinjectionattacksagainstanalogsensors(2013)

• BarnabyJack

Annet medisinsk utstyr:• Hardkodede passord og “medicaldevicehoneypots”(ScottErven)

• Medisinpumper (BillyRios,JeremyRichards)

• Insulinpumper (JayRadcliffe)

Takktil Éireann Leverett (@blackswanburst)

TonyNaggs (@xa329)

Terje Frøysa

GunnarAlendal (@gradoisageek)

HugoCampos(@HugoOC)

ScottErven (@scotterven)

Alexandre Dulaunoy (@adulau)

ClausCramon Houmann (@ClausHoumann)

JoshuaCorman (@joshcorman)

BeauWoods(@beauwoods)

Spørsmål?marie.moe @sintef.no

www.infosec.sintef.no

www.iamthecavalry.org

@MarieGMoe @SINTEF_Infosec