Nett i hjertet -...
Transcript of Nett i hjertet -...
DN Magasinet | 9. januar 2016
16 |
– Det er en grunn til at USAs visepresident Dick Cheney fikk fjernet den trådløse enheten i den implanterte hjertestarteren sin, sier Sin-tef-forsker og sikkerhetsekspert Marie Moe.
Cheneys kardiolog fryktet et attentatfor-søk gjennom hacking av enheten. Da Moe selv fikk operert inn en pacemaker, oppdaget hun at den hadde egenskaper ingen hadde fortalt henne om.
Marie Moe er godt vant med uforutsigbare hendelser, som plutselige nettangrep mot norske banker eller spionasje mot norske olje- og gasselskaper. Hun visste hva hun skulle gjøre hvis det ble meldt om sårbarhet i norske kraftsentralers kontrollsystemer. Moe var en landets fremste eksperter på hendelseshånd-tering, informasjonssikkerhet og nettverks-sikkerhet. Hun ledet de hemmelige tjenes-tenes operasjonssenter Norcert, som følger datatrafikken inn og ut av Norge i sanntid.
Trusselen som rammet henne en helt van-lig novembermorgen for fire år siden, var hun ikke like godt forberedt på.
Esken. Moe var alene i leiligheten, klar til å gå på jobb på operasjonssentralen på Akershus festning. Hun skulle bare ta seg et glass appel-sinjuice først. Plutselig kollapset hun. Da hun våknet opp igjen, lå hun på gulvet omgitt av glasskår. Moe ante ikke hvor lenge hun hadde ligget bevisstløs på gulvet og dro til legevak-ten for å utelukke hjernerystelse. Det viste seg at hjertet ikke banket jevnt. Hun led av hjerte-arytmi – uregelmessig hjerterytme. Om ikke tilstanden ble behandlet umiddelbart, risiker-te hun livet.
En uke senere ble hun operert. I en liten lomme under huden like ved kravebenet fikk hun installert en pacemaker – et lite, batteri-drevet apparat som gjennom elektroder i blodårene sørger for at hjertet slår med riktig hastighet.
– Det gikk opp for meg ganske fort at pace-makeren er en maskin med kode. Den kan programmeres, sier Marie Moe.
Hun tenkte umiddelbart på skjulte svak-
heter, sårbarheter i kildekoden, mulige pro-grammeringsfeil som kunne føre til at appa-ratet ikke fungerte som det skulle.
– Men jeg hadde ikke noe valg. Jeg måtte ha den, sier Moe.
Nå fikk hun installert software i kroppen som hun ikke kunne verifisere, tilsynelaten-de uten anledning til å «patche» eventuelle sikkerhetshull.
En enkel operasjon, så var problemet løst, og hun følte hun seg bra. Men komplikasjoner skulle oppstå.
Google og Ebay. Helsepersonellet var ikke vant til å forholde seg til krypteringsprotokol-ler, trådløse aksesspunkter og implemente-ring – dagligdagse temaer for Marie Moe, som hadde doktorgrad i informasjonssikkerhet fra NTNU og mastergrad i matematikk med spe-sialisering innen kryptografi. De forsto ikke hva hun snakket om.
– De hadde ikke fått slike spørsmål før. De hadde aldri tenkt på det, forteller hun.
Da Moe googlet saken, oppdaget hun at det ikke fantes så mye sikkerhetsforskning på medisinsk utstyr generelt – og pacemakere spesielt. Hun logget seg inn på Ebay, cashet ut et titall tusenlapper og bestilte brukt pacema-kerutstyr. Så fant hun frem til den tekniske manualen for sin egen pacemaker.
– Jeg er jo forsker. Jeg ville gjerne finne ut mer.
De første undersøkelsene gjorde henne litt urolig. Hun oppdaget at pacemakeren inne-holdt en ekstra, trådløs kommunikasjonska-nal. Den gjorde det mulig å koble hjertet hen-nes til internett.
– Jeg så at den hadde to trådløse grensesnitt. Det var jeg ikke klar over.
To uker etter operasjonen dro hun på jobb-reise til London. I trappen opp fra under-grunnsstasjonen på Covent Garden kollap-set hun. Legen koblet henne til et lite apparat som plasseres på huden og kan kommunisere med pacemakeren, en såkalt programmerer. Innstillingene på skjermen samsvarte ikke
med innstillingene på Moes pacemaker. Man klarte ikke å finne årsaken.
– Hvis kroppen din trenger oksygen og plut-selig ikke får det, er det en veldig ubehagelig følelse, sier hun.
Det viste seg at pacemakeren var innstilt på altfor lav makspuls. Da Moe nådde maks-grensen på 160 slag i minuttet, halverte den automatisk antallet hjerteslag.
– Det tok nærmere tre måneder å finne svaret, sier Moe.
Mistankene hennes om tekniske svakheter viste seg å stemme.
Eireann. Hun tok kontakt med den britiske hackeren og risikoforskeren Eireann Leve-rett, som hun kjente fra da han tipset norske myndigheter om mulige, kritiske svakheter i industrielle kontrollsystemer som lå åpent på nett. I motsetning til personlige datamaskiner som jevnt var blitt forbedret, var industrielle kontrollsystemer et sikkerhetsmessig jomfru-territorium med svake passord og minimal sikkerhetstenkning. Bevisstheten rundt sår-barhetene deres hadde økt noe da sentrifuger i Irans atomprogram ble angrepet, men fortsatt var mange kritiske anlegg usikrede på nett.
– Eireann var veldig interessert i kode som styrer nasjonal infrastruktur. Men her var det jo snakk om kode som styrer personlig infra-struktur, sier Moe.
Sammen med Leverett, som i tillegg til å være seniorforsker ved Cambridge-universi-tetet er sikkerhetskonsulent i selskapet Con-cinnity Risks, satte hun i gang et annerledes hackingprosjekt – en nøye kartlegging av sik-kerheten i medisinsk utstyr.
De medisinske hackerne. Pasienttypen som skaffer seg økt kunnskap, organiserer seg gjennom nettet og blir en maktfaktor, omtales ofte som «den informerte pasien-ten». En slik pasientgruppe lyktes i sommer å få amerikanske myndigheter til å endre The Digital Millenium Copyright Act (DMCA), en omstridt lov som bannlyser omgåelse av
Nett i hjertet
Da sikkerhetseksperten Marie Moe (37) fikk hjerteproblemer, oppdaget hun at det er mulig å hacke livskritiske, medisinske apparater som pacemakere, morfinpumper og insulinutstyr.
Tekst Osman Kibar Foto Maxim SergienkoHamburg
Teknologi
DN Magasinet | 9. januar 2016
| 17
Digital jakt. Marie Moes var forberedt på det meste da hun forsvarte Norges kritiske infrastruktur mot digitale trusler. Hun var ikke fullt så forberedt på å få installert software i kroppen som hun ikke kunne verifisere, når det som sto på spill, var intet mindre enn livet hennes.
DN Magasinet | 9. januar 2016
18 | Nett i hjertet
Industriell hacker. – Jeg var vant til å hacke industrielle systemer. Jeg visste ingenting om dette. Marie måtte lære meg hvordan hjertet fungerer, sier hacker og sikkerhetsekspert Eireann Leverett. De to ble kjent da han meldte fra om kritiske sikkerhetshull i norske systemer.
DN Magasinet | 9. januar 2016
| 19
sikkerhetsmekanismene som beskytter opphavsrettsbeskyttede verk. Lovendringen gjør det mulig å forske på og teste svakheter ved medisinske apparater, uten samtidig å begå digitale lovbrudd og bli saksøkt. Sikkerhetseksperter, hackere og informerte pasienter har dermed fått bedre kår for å få medisinsk hacking på dagsordenen internasjonalt.
En av dem er sikkerhetseksperten Jay Radcliffe, som var god på å hacke parkeringsautomater. Da han ble diabetespasient, demonstrerte han at det var mulig å ta kontroll over en insulinpumpe fra Medtronic og endre insulinmengden, med potensielt dødelig utfall. En annen er advokaten Karen M. Sandler, som har en hjertestarter, også fra Medtronic, men som forgjeves har prøvd å få tilgang til koden fra produsenten.
Medtronics kommunikasjonsdirektør Marianne Sparrevohn skriver i en epost at selskapets mål er å utvikle så trygge og sikre produkter som mulig.
Alle har så langt blitt avvist av produsentene av medisinteknisk utstyr. Flere av dem er tungt representert i Norge og brukes av norske sykehus.
Sikkerhetshull. Oppskriften på Marie Moes pacemaker er fremdeles en forretn i n g s h e m m e l i g h e t som produsenten holdt tett inntil brystet.
– Noen har sittet og skrevet koden som er inne i kroppen min. Dette er min personlige, kritiske infrastruktur. Jeg ønsker tilgang til den koden, som jeg er avhengig av for å leve, og til dataene den samler inn om meg, sier Moe.
Etter å ha begynt å se nærmere på pacemakeres svakheter, satt Marie Moe og Eireann Everett igjen med flere spørsmål enn svar. For eksempel: Ble informasjonen fra pacemakerne kryptert, eller ble den overført i klartekst, slik at den kunne fanges opp av utenforstående underveis? Den ekstra kommunikasjonskanalen inn i hjertet hennes gjorde det også mulig å hente ut informasjon.
Informasjonen de så etter, sto ikke engang i manualen. For den var proprietær – altså med lukket, hemmelig, copyrightbeskyttet kildekode. I sikkerhetsmiljøer anses åpen kildekode som mye sikrere, fordi veldig mange flere kan undersøke om koden inneholder svakheter eller feil.
– Det er viktig at man kan stole på den, gjennomfører tredjepartstesting og en systematisk undersøkelse av kildekoden, sier Moe.
Mange feil. At dataene går til en server hos produsenten, at helsepersonellet kan logge seg inn på en nettside, hente ut informasjon og overvåke pasientene bedre, virker i utgangspunktet som en god idé. For en sikkerhetsfor
sker er slike konfigurasjoner et mareritt av mulige kritiske angrepsflater på selve enheten, i tilgangspunktet, i mobilnettverket, på nettstedet eller på servernivå. Sikkerhetsforskernes skepsis var ikke helt ubegrunnet. USAs Department of Homeland Security kunngjorde i juni 2013 å ha funnet sikkerhetshull i mer enn 300 medisinske enheter produsert av 40 ulike leverandører. Hullene kunne brukes til å endre på kritiske innstillinger i kirurgisk verktøy, anestesiutstyr, hjertestartere, laboratorieutstyr og systemer for overvåkning av pasienter.
– Vi må kunne verifisere programvaren som kontrollerer våre liv, sier Moe.
I 2014 fikk 2989 nordmenn operert inn pacemaker, cirka 400 flere enn året før, ifølge Norsk pacemaker og IcDstatistikk. Det finnes i dag flere millioner pacemakerpasienter i verden.
Dødelig pumpe. Cybersikkerhet i medisinske enheter har såvidt begynt å bli et tema for helsemyndigheter og sikkerhetsmiljøer internasjonalt. I slutten av juli ifjor beordret det amerikanske mat og legemiddeltilsynet Food and Drug Administration (FDA) for første gang
en tilbaketrekning av en datastyrt intravenøs medisinpumpe, Hospira Symbiq Infusion System, fra alle sykehus og sykehjem i USA på grunn av et digitalt sikkerhetshull. Årsaken var at det var mulig å ta kontroll over pumpen via internett og endre doseringen – for eksempel av morfin. Pfizer, som eier Hospira, opplyser til DN at pumpen ikke lenger er i salg eller i bruk noe sted. Marie Moe ser på tilbaketrekningen som en milepæl.
– Sikkerhetshullet kunne utnyttes til å drepe pasienter fra avstand. Det er første gang en tilbaketrekning skjer i USA på grunn av problematikk knyttet til informasjonssikkerhet. Som regel må man bevise at et visst antall pasienter har dødd på grunn av bivirkninger. Det viser at det hjelper å forske på og finne sikkerhetshull i medisinske enheter, sier Moe.
Ifjor høst kunngjorde to sikkerhetsforskere at de fant flere tusen MRmaskiner, røntgenapparater og medisinpumper på nett fra produsenten GE Healthcare med standardpassord som ikke var blitt endret siden de kom ut av fabrikken.
– GE Healthcare tar beskyttelse og personvern ved bruk av medisinsk utstyr svært alvorlig, og vi jobber kontinuerlig med våre prosesser og prosedyrer for å redusere risikoen mot trusler, skriver GEs kommunikasjonsdirektør Ivar Simensen til DN i en epost.
I juli sendte en stor amerikansk sykehuskjede, UCLA Health, ut en pressemelding om at datasystemene var blitt hacket og at informasjon om 4,5 millioner pasienter var kommet på avveier. Hackerne fikk, i tillegg til
NoeN har sittet og
skrevet kodeN som er iNNe i kroppeN miN.
Jeg øNsker til-gaNg til deN
kodeNMarie Moe Sintef-forsker og sikker-
hetsekspert med pacemaker
DN Magasinet | 9. januar 2016
20 |
alle personnumre, fødselsdatoer og adresser, også med seg informasjon om diagnoser, medisinbehov og testresultater. Det var ikke første gangen. Verdens største medisintidsskrift Journal of the American Medical Association fastslo i en studie at 30 millioner pasienters helseinformasjon er blitt stjålet de fire siste årene, for det meste gjennom datainnbrudd. USA er ikke alene om problemstillingen.
Norsk dataflukt. I forbindelse med en internrevisjon oppdaget utstyrsselskapet GE Healthcare Systems at sensitive personopplysninger og klinisk informasjon om 126.344 norske pasienter fra ti norske helsevirksomheter hadde havnet i USA ved en feil. Ifjor ble det kjent at nesten alle datamaskinene på Norges største sykehus, Oslo universitetssykehus (OUS), hadde installert det 14 år gamle operativsystemet Windows XP, som Microsoft har sluttet å sende sikkerhetsoppdateringer til og som dermed enkelt kan hackes gjennom kjente sårbarheter.
På Aker sykehus ble det oppdaget et virus som slettet opplysninger. Radiumhospitalets leger har gått ut i mediene og klaget over at datasystemer som skal behandle bildene som brukes for å stille diagnose, har vært utdaterte. Store norske sykehus har vært rammet av kraftige datavirus og angrep som har forsinket behandlingen.
OUS er i gang med et større moderniseringsprosjekt, men over to tredjedeler av sykehusets 18.000 datamaskiner er ennå ikke oppgradert.
– Av disse er nå cirka 5500 lagt over på ny løsning, skriver OUS’ kommunikasjonsrådgiver Hedda Holth i en epost.
Resten skal byttes ut i år. OUS ble i 2015 utsatt for krypteringsvirus, også kjent som ransomware, hvor angriperne krypterer innholdet i datamaskiner – samt svindel. Hendelsene skal ikke ha medført at pasientdata har kommet på avveier.
Marie Moe viser til et kjent tilfelle hvor programvareoppdatering av medisinsk ventilatorutstyr fra en utenlandsk leverandør inneholdt ondsinnet programvare, en såkalt trojaner. Hun sitter også på det som fremstår som en desperat epost fra en ansatt i et selskap som overvåker hjertepasienter hjemme, men som plutselig ikke lenger er istand til å se opplysningene fordi skytjenesten er nede: «Vi monitorerer hundrevis av pasienter, men vi kan ikke se EKGsignalene deres lenger. Kan dere vennligst kontakte oss?»
Svakhetene. Marie Moe og Eireann Leverett vil foreløpig ikke røpe svakhetene de har funnet – av sikkerhetsgrunner. Først må leve
randørene av utstyret kontaktes. Så må partene bli enige om en fremgangsmåte før en eventuell problemfiks og påfølgende rapportering og offentliggjøring. Den såkalte programmereren hun kjøpte på Ebay og som kommuniserer med pacemakere, inneholdt flere overraskelser: kode som kan brukes til å oppdatere den innebygde programvaren. Og masse pasientinformasjon fra forrige bruker. Men det er verre ting enn privatlivet som kan stå på spill.
Pacemakerdrap. Den newzealandske hackeren Barnaby Jack spesiallaget programvare som gjorde det mulig å skanne et rom for å finne pacemakerbrukere. Ikke bare fanget han opp serienummer og personlig informasjon, han var angivelig også istand til å slå av programvaren til enhetene på avstand og sende elektriske støt på opptil 830 volt til hjertepasienter innenfor en radius på 15 meter. Marie Moe skulle møte Barnaby Jack da han skulle presentere sine nyeste funn om pacemakere på en stor sikkerhetskonferanse i Las Vegas, men den kjente hackeren døde uken før
han fikk offentliggjort hackingmetodene.
I am the Cavalry. Nå vil Marie Moe inspirere flere til å bidra til forskningen og utfordre den medisinske utstyrsindustrien. Derfor har hun også opprettet kontakt med hackermiljøer, som kjenner til svakhetene, metodene og tankegangen rundt sårbarheter. I slutten av desember presenterte hun prosjektet sitt for over 1000 tilskuere på et hackertreff i Hamburg.
Mange har tatt kontakt med henne i etterkant.Sammen med en gruppe sikkerhetsfor
skere er hun med i et nettverk kalt I am the Cavalry. Under mottoet «Technology worthy of our trust» skal gruppen fokusere på sikkerhet i medisinsk utstyr, hjemmesystemer, bilindustrien og offentlig infrastruktur. Til felles har de en overbevisning om at avhengigheten vår av datateknologi vokser raskere enn evnen til å beskytte oss mot potensielle trusler.
– Det er en slags grasrotbevegelse i sikkerhetsmiljøet. Målet er å øke tryggheten i menneskers liv gjennom kontakt med produsenter og myndigheter om temaene. Håpet mitt er å skape enda mer interesse for forskning på medisinske implantater, sier Moe.
– Det aller meste som brukes på norske sykehus, er utstyr som er produsert av globale selskaper og underlagt de sikkerhetsrestriksjoner som gjelder, enten det er FDA i USA eller EUdirektiver, sier Hartvig MuntheKaas, prosjektdirektør i Medtek Norge, bransjeorganisasjonen for helse og velferdsteknologileverandørene i Norge.
Nett i hjertet
SikkerhetShullet kunne utnytteS til
å drepe paSienter fra avStand
Marie Moe Sintef-forsker og sikkerhets ekspert med pacemaker
DN Magasinet | 9. januar 2016
| 21
Livskritisk hacking. Utenlandske medier står i kø for å intervjue Marie Moe fra Trondheim etter at hun har talt til over 1000 deltagere på et hackertreff i Hamburg om svakhetene hun har funnet i medisinsk utstyr. Nå er hun invitert til Washington av amerikanske myndigheter.
DN Magasinet | 9. januar 2016
22 |
Han mener kun kvalifisert helsepersonell bør kunne få tilgang til kildekoden eller få omprogrammere.
– Hvis man begynner å manipulere på den måten, vil blant annet garantiansvaret fra en leverandør kunne falle bort, sier Munthe-Kaas.
Slutten. Pacemakeren hennes fungerer nå uten problemer. I september løp hun halv-maraton. Om seks år går batteriet ut. Da må hun gjennom en ny operasjon for å bytte det.
– Da kommer jeg til å være en vanskelig pasient når det gjelder valg av modell og hvil-ken type pacemaker som er tryggest, sier Moe.
Da hun fikk sin nåværende pacemaker, hadde hun ikke noe valg. I Norge reguleres valget gjennom innkjøpsavtaler som inn-gås av Helseforetakenes Innkjøpsservice as på vegne av helseforetakene. Dermed binder innkjøpsavtalene i stor grad norske pasien-ter til bestemte leverandører. Medtronic skal ifølge avtalen levere halvparten av alle norske pacemakere, etterfulgt av St. Jude Medical (35 prosent) og Boston Scientific (15 prosent). Det innebærer besparelser på 70 millioner kroner i forhold til forrige avtale, ifølge en rapport om avtalen som gjelder fra juli ifjor.
– Avtalen forplikter sykehusene til å kjøpe et visst antall prosent for at de skal få gunsti-gere innkjøpsavtaler. Det er litt spesielt. Det hadde vært interessant å møte og påvirke
dem som bestemmer innkjøp for alle norske sykehus, sier Marie Moe.
Nå jobber hun med informasjonssik-kerhet som forsker på Sintef, er førsteama-nuensis 2 ved NTNU og underviser mas-terstudenter i hendelseshåndtering og beredskapsplanlegging.
Internasjonale medier har stått i kø for å intervjue Moe, som allerede er omtalt i BBC, Der Spiegel og Vice Motherboard. Nå går historien hennes verden rundt gjennom
L’Actualité i Canada, Sydney Morning Herald i Australia og RTL i Luxembourg. Allerede den-ne måneden flyr hun til Washington. Hun er blitt invitert av den amerikanske tilsynsmyn-digheten FDA til en workshop om sikkerhet i medisinsk utstyr.
Ransomware er blitt en vanlig trussel blant pc-brukere de siste årene. Det innebærer at angripere tar kontroll over enheten og ikke gir fra seg innholdet før offeret har betalt inn løsepenger. For fire måneder siden advarte FBI offentlig mot mulige angrep på trådløse hjertemonitorer og insulinpumper som endel av truslene i «tingenes internett» – enheter som er koblet opp til nettet. Forsknings- og konsulentselskapet Forrester Research kåret i november medisinsk ransomware til cyber-trussel nummer én i 2016.
I dag vet man at hacking av en enhet kan skje hvis man befinner seg i samme bygning. Dermed det er trolig bare et tidsspørsmål før angrep over nettet også blir bevist.
– Det er et interessant «worst case scenario», sier Marie Moe.
Selv er hun mest bekymret for at feil i pro-gramvaren skal føre til at utstyret ikke funge-rer som det skal – med dødelig følge.
– Fordelen med pacemaker er uansett større enn risikoen. Det er på grunn av den jeg er i live. ●[email protected]
Hemmelig kode i hjertet. – Det er min personlige, kritiske infrastruktur. Jeg vil ha tilgang til den informasjonen, sier Marie Moe.
Nett i hjertet
Målet er å øke tryggheten i Menneskers liv
gjennoM kontakt Med produsenter og Myndigheter
oM teMaeneMarie Moe Sintef-forsker og sikker-
hetsekspert med pacemaker