DN Magasinet | 9. januar 2016

16 |

– Det er en grunn til at USAs visepresident Dick Cheney fikk fjernet den trådløse enheten i den implanterte hjertestarteren sin, sier Sin-tef-forsker og sikkerhetsekspert Marie Moe.

Cheneys kardiolog fryktet et attentatfor-søk gjennom hacking av enheten. Da Moe selv fikk operert inn en pacemaker, oppdaget hun at den hadde egenskaper ingen hadde fortalt henne om.

Marie Moe er godt vant med uforutsigbare hendelser, som plutselige nettangrep mot norske banker eller spionasje mot norske olje- og gasselskaper. Hun visste hva hun skulle gjøre hvis det ble meldt om sårbarhet i norske kraftsentralers kontrollsystemer. Moe var en landets fremste eksperter på hendelseshånd-tering, informasjonssikkerhet og nettverks-sikkerhet. Hun ledet de hemmelige tjenes-tenes operasjonssenter Norcert, som følger datatrafikken inn og ut av Norge i sanntid.

Trusselen som rammet henne en helt van-lig novembermorgen for fire år siden, var hun ikke like godt forberedt på.

Esken. Moe var alene i leiligheten, klar til å gå på jobb på operasjonssentralen på Akershus festning. Hun skulle bare ta seg et glass appel-sinjuice først. Plutselig kollapset hun. Da hun våknet opp igjen, lå hun på gulvet omgitt av glasskår. Moe ante ikke hvor lenge hun hadde ligget bevisstløs på gulvet og dro til legevak-ten for å utelukke hjernerystelse. Det viste seg at hjertet ikke banket jevnt. Hun led av hjerte-arytmi – uregelmessig hjerterytme. Om ikke tilstanden ble behandlet umiddelbart, risiker-te hun livet.

En uke senere ble hun operert. I en liten lomme under huden like ved kravebenet fikk hun installert en pacemaker – et lite, batteri-drevet apparat som gjennom elektroder i blodårene sørger for at hjertet slår med riktig hastighet.

– Det gikk opp for meg ganske fort at pace-makeren er en maskin med kode. Den kan programmeres, sier Marie Moe.

Hun tenkte umiddelbart på skjulte svak-

heter, sårbarheter i kildekoden, mulige pro-grammeringsfeil som kunne føre til at appa-ratet ikke fungerte som det skulle.

– Men jeg hadde ikke noe valg. Jeg måtte ha den, sier Moe.

Nå fikk hun installert software i kroppen som hun ikke kunne verifisere, tilsynelaten-de uten anledning til å «patche» eventuelle sikkerhetshull.

En enkel operasjon, så var problemet løst, og hun følte hun seg bra. Men komplikasjoner skulle oppstå.

Google og Ebay. Helsepersonellet var ikke vant til å forholde seg til krypteringsprotokol-ler, trådløse aksesspunkter og implemente-ring – dagligdagse temaer for Marie Moe, som hadde doktorgrad i informasjonssikkerhet fra NTNU og mastergrad i matematikk med spe-sialisering innen kryptografi. De forsto ikke hva hun snakket om.

– De hadde ikke fått slike spørsmål før. De hadde aldri tenkt på det, forteller hun.

Da Moe googlet saken, oppdaget hun at det ikke fantes så mye sikkerhetsforskning på medisinsk utstyr generelt – og pacemakere spesielt. Hun logget seg inn på Ebay, cashet ut et titall tusenlapper og bestilte brukt pacema-kerutstyr. Så fant hun frem til den tekniske manualen for sin egen pacemaker.

– Jeg er jo forsker. Jeg ville gjerne finne ut mer.

De første undersøkelsene gjorde henne litt urolig. Hun oppdaget at pacemakeren inne-holdt en ekstra, trådløs kommunikasjonska-nal. Den gjorde det mulig å koble hjertet hen-nes til internett.

– Jeg så at den hadde to trådløse grensesnitt. Det var jeg ikke klar over.

To uker etter operasjonen dro hun på jobb-reise til London. I trappen opp fra under-grunnsstasjonen på Covent Garden kollap-set hun. Legen koblet henne til et lite apparat som plasseres på huden og kan kommunisere med pacemakeren, en såkalt programmerer. Innstillingene på skjermen samsvarte ikke

med innstillingene på Moes pacemaker. Man klarte ikke å finne årsaken.

– Hvis kroppen din trenger oksygen og plut-selig ikke får det, er det en veldig ubehagelig følelse, sier hun.

Det viste seg at pacemakeren var innstilt på altfor lav makspuls. Da Moe nådde maks-grensen på 160 slag i minuttet, halverte den automatisk antallet hjerteslag.

– Det tok nærmere tre måneder å finne svaret, sier Moe.

Mistankene hennes om tekniske svakheter viste seg å stemme.

Eireann. Hun tok kontakt med den britiske hackeren og risikoforskeren Eireann Leve-rett, som hun kjente fra da han tipset norske myndigheter om mulige, kritiske svakheter i industrielle kontrollsystemer som lå åpent på nett. I motsetning til personlige datamaskiner som jevnt var blitt forbedret, var industrielle kontrollsystemer et sikkerhetsmessig jomfru-territorium med svake passord og minimal sikkerhetstenkning. Bevisstheten rundt sår-barhetene deres hadde økt noe da sentrifuger i Irans atomprogram ble angrepet, men fortsatt var mange kritiske anlegg usikrede på nett.

– Eireann var veldig interessert i kode som styrer nasjonal infrastruktur. Men her var det jo snakk om kode som styrer personlig infra-struktur, sier Moe.

Sammen med Leverett, som i tillegg til å være seniorforsker ved Cambridge-universi-tetet er sikkerhetskonsulent i selskapet Con-cinnity Risks, satte hun i gang et annerledes hackingprosjekt – en nøye kartlegging av sik-kerheten i medisinsk utstyr.

De medisinske hackerne. Pasienttypen som skaffer seg økt kunnskap, organiserer seg gjennom nettet og blir en maktfaktor, omtales ofte som «den informerte pasien-ten». En slik pasientgruppe lyktes i sommer å få amerikanske myndigheter til å endre The Digital Millenium Copyright Act (DMCA), en omstridt lov som bannlyser omgåelse av

Nett i hjertet

Da sikkerhetseksperten Marie Moe (37) fikk hjerteproblemer, oppdaget hun at det er mulig å hacke livskritiske, medisinske apparater som pacemakere, morfinpumper og insulinutstyr.

Tekst Osman Kibar Foto Maxim SergienkoHamburg

Teknologi

DN Magasinet | 9. januar 2016

   | 17

Digital jakt. Marie Moes var forberedt på det meste da hun forsvarte Norges kritiske infrastruktur mot digitale trusler. Hun var ikke fullt så forberedt på å få installert software i kroppen som hun ikke kunne verifisere, når det som sto på spill, var intet mindre enn livet hennes.

DN Magasinet | 9. januar 2016

18 | Nett i hjertet

Industriell hacker. – Jeg var vant til å hacke industrielle systemer. Jeg visste ingenting om dette. Marie måtte lære meg hvordan hjertet fungerer, sier hacker og sikkerhetsekspert Eireann Leverett. De to ble kjent da han meldte fra om kritiske sikkerhetshull i norske systemer.

DN Magasinet | 9. januar 2016

   | 19

sikkerhetsmekanismene som beskytter opphavsrettsbeskyttede verk. Lovendringen gjør det mulig å forske på og teste svakheter ved medisinske apparater, uten samtidig å begå digitale lovbrudd og bli saksøkt. Sikker­hetseksperter, hackere og informerte pasien­ter har dermed fått bedre kår for å få medi­sinsk hacking på dagsordenen internasjonalt.

En av dem er sikkerhetseksperten Jay Rad­cliffe, som var god på å hacke parkerings­automater. Da han ble diabetespasient, demon­strerte han at det var mulig å ta kontroll over en insulinpumpe fra Medtronic og endre insu­linmengden, med potensielt dødelig utfall. En annen er advokaten Karen M. Sandler, som har en hjertestarter, også fra Medtronic, men som forgjeves har prøvd å få tilgang til koden fra produsenten.

Medtronics kommunikasjonsdirektør Mari­anne Sparrevohn skriver i en epost at selska­pets mål er å utvikle så trygge og sikre produk­ter som mulig.

Alle har så langt blitt avvist av produsente­ne av medisinteknisk utstyr. Flere av dem er tungt representert i Norge og brukes av nor­ske sykehus.

Sikkerhetshull. Oppskriften på Marie Moes pacemaker er fremdeles en forret­n i n g s h e m m e l i g h e t som produsenten holdt tett inntil brystet.

– Noen har sittet og skrevet koden som er inne i kroppen min. Det­te er min personlige, kri­tiske infrastruktur. Jeg ønsker tilgang til den koden, som jeg er avhen­gig av for å leve, og til dataene den samler inn om meg, sier Moe.

Etter å ha begynt å se nærmere på pacema­keres svakheter, satt Marie Moe og Eireann Everett igjen med flere spørsmål enn svar. For eksempel: Ble informasjonen fra pacemaker­ne kryptert, eller ble den overført i klartekst, slik at den kunne fanges opp av utenforståen­de underveis? Den ekstra kommunikasjons­kanalen inn i hjertet hennes gjorde det også mulig å hente ut informasjon.

Informasjonen de så etter, sto ikke engang i manualen. For den var proprietær – altså med lukket, hemmelig, copyrightbeskyttet kilde­kode. I sikkerhetsmiljøer anses åpen kildeko­de som mye sikrere, fordi veldig mange flere kan undersøke om koden inneholder svak­heter eller feil.

– Det er viktig at man kan stole på den, gjen­nomfører tredjepartstesting og en systema­tisk undersøkelse av kildekoden, sier Moe.

Mange feil. At dataene går til en server hos produsenten, at helsepersonellet kan logge seg inn på en nettside, hente ut informasjon og overvåke pasientene bedre, virker i utgangs­punktet som en god idé. For en sikkerhetsfor­

sker er slike konfigurasjoner et mareritt av mulige kritiske angrepsflater på selve enhe­ten, i tilgangspunktet, i mobilnettverket, på nettstedet eller på servernivå. Sikkerhetsfor­skernes skepsis var ikke helt ubegrunnet. USAs Department of Homeland Security kunngjorde i juni 2013 å ha funnet sikkerhetshull i mer enn 300 medisinske enheter produsert av 40 ulike leverandører. Hullene kunne brukes til å endre på kritiske innstillinger i kirurgisk verktøy, anestesiutstyr, hjertestartere, laboratorieutstyr og systemer for overvåkning av pasienter.

– Vi må kunne verifisere programvaren som kontrollerer våre liv, sier Moe.

I 2014 fikk 2989 nordmenn operert inn pace­maker, cirka 400 flere enn året før, ifølge Norsk pacemaker og IcD­statistikk. Det finnes i dag flere millioner pacemaker­pasienter i verden.

Dødelig pumpe. Cybersikkerhet i medisin­ske enheter har såvidt begynt å bli et tema for helsemyndigheter og sikkerhetsmiljøer inter­nasjonalt. I slutten av juli ifjor beordret det amerikanske mat­ og legemiddeltilsynet Food and Drug Administration (FDA) for første gang

en tilbaketrekning av en datastyrt intravenøs medisinpumpe, Hospira Symbiq Infusion System, fra alle sykehus og syke­hjem i USA på grunn av et digitalt sikkerhets­hull. Årsaken var at det var mulig å ta kontroll over pumpen via inter­nett og endre doserin­gen – for eksempel av morfin. Pfizer, som eier Hospira, opplyser til DN at pumpen ikke lenger er i salg eller i bruk noe sted. Marie Moe ser på tilbaketrekningen som en milepæl.

– Sikkerhetshullet kunne utnyttes til å drepe pasienter fra avstand. Det er første gang en tilbaketrekning skjer i USA på grunn av pro­blematikk knyttet til informasjonssikkerhet. Som regel må man bevise at et visst antall pasienter har dødd på grunn av bivirkninger. Det viser at det hjelper å forske på og finne sikkerhetshull i medisinske enheter, sier Moe.

Ifjor høst kunngjorde to sikkerhetsforskere at de fant flere tusen MR­maskiner, røntgen­apparater og medisinpumper på nett fra pro­dusenten GE Healthcare med standardpass­ord som ikke var blitt endret siden de kom ut av fabrikken.

– GE Healthcare tar beskyttelse og per­sonvern ved bruk av medisinsk utstyr svært alvorlig, og vi jobber kontinuerlig med våre prosesser og prosedyrer for å redusere risiko­en mot trusler, skriver GEs kommunikasjons­direktør Ivar Simensen til DN i en epost.

I juli sendte en stor amerikansk sykehus­kjede, UCLA Health, ut en pressemelding om at datasystemene var blitt hacket og at infor­masjon om 4,5 millioner pasienter var kom­met på avveier. Hackerne fikk, i tillegg til

NoeN har sittet og

skrevet kodeN som er iNNe i kroppeN miN.

Jeg øNsker til-gaNg til deN

kodeNMarie Moe Sintef-forsker og sikker-

hetsekspert med pacemaker

DN Magasinet | 9. januar 2016

20 |

alle personnumre, fødselsdatoer og adres­ser, også med seg informasjon om diagno­ser, medisinbehov og testresultater. Det var ikke første gangen. Verdens største medi­sintidsskrift Journal of the American Medi­cal Association fastslo i en studie at 30 mil­lioner pasienters helseinformasjon er blitt stjålet de fire siste årene, for det meste gjen­nom datainnbrudd. USA er ikke alene om problemstillingen.

Norsk dataflukt. I forbindelse med en internrevisjon oppdaget utstyrsselskapet GE Healthcare Systems at sensitive personopp­lysninger og klinisk informasjon om 126.344 norske pasienter fra ti norske helsevirksom­heter hadde havnet i USA ved en feil. Ifjor ble det kjent at nesten alle datamaskinene på Norges største sykehus, Oslo universitets­sykehus (OUS), hadde installert det 14 år gamle operativsystemet Windows XP, som Microsoft har sluttet å sende sikkerhetsopp­dateringer til og som dermed enkelt kan hac­kes gjennom kjente sårbarheter.

På Aker sykehus ble det oppdaget et virus som slettet opplysninger. Radiumhospitalets leger har gått ut i mediene og klaget over at datasyste­mer som skal behandle bildene som brukes for å stille diagnose, har vært utdaterte. Store norske sykehus har vært ram­met av kraftige datavi­rus og ­angrep som har forsinket behandlingen.

OUS er i gang med et større modernise­ringsprosjekt, men over to tredjedeler av syke­husets 18.000 data­maskiner er ennå ikke oppgradert.

– Av disse er nå cirka 5500 lagt over på ny løsning, skriver OUS’ kommunikasjonsråd­giver Hedda Holth i en epost.

Resten skal byttes ut i år. OUS ble i 2015 utsatt for krypteringsvirus, også kjent som ransomware, hvor angriperne krypterer inn­holdet i datamaskiner – samt svindel. Hendel­sene skal ikke ha medført at pasientdata har kommet på avveier.

Marie Moe viser til et kjent tilfelle hvor programvareoppdatering av medisinsk ven­tilatorutstyr fra en utenlandsk leverandør inneholdt ondsinnet programvare, en såkalt trojaner. Hun sitter også på det som fremstår som en desperat epost fra en ansatt i et sel­skap som overvåker hjertepasienter hjemme, men som plutselig ikke lenger er istand til å se opplysningene fordi skytjenesten er nede: «Vi monitorerer hundrevis av pasienter, men vi kan ikke se EKG­signalene deres lenger. Kan dere vennligst kontakte oss?»

Svakhetene. Marie Moe og Eireann Leve­rett vil foreløpig ikke røpe svakhetene de har funnet – av sikkerhetsgrunner. Først må leve­

randørene av utstyret kontaktes. Så må par­tene bli enige om en fremgangsmåte før en eventuell problemfiks og påfølgende rappor­tering og offentliggjøring. Den såkalte pro­grammereren hun kjøpte på Ebay og som kommuniserer med pacemakere, inneholdt flere overraskelser: kode som kan brukes til å oppdatere den innebygde programvaren. Og masse pasientinformasjon fra forrige bruker. Men det er verre ting enn privatlivet som kan stå på spill.

Pacemakerdrap. Den newzealandske hac­keren Barnaby Jack spesiallaget programva­re som gjorde det mulig å skanne et rom for å finne pacemakerbrukere. Ikke bare fanget han opp serienummer og personlig informa­sjon, han var angivelig også istand til å slå av programvaren til enhetene på avstand og sen­de elektriske støt på opptil 830 volt til hjerte­pasienter innenfor en radius på 15 meter. Marie Moe skulle møte Barnaby Jack da han skulle presentere sine nyeste funn om pace­makere på en stor sikkerhetskonferanse i Las Vegas, men den kjente hackeren døde uken før

han fikk offentliggjort hackingmetodene.

I am the Cavalry. Nå vil Marie Moe inspi­rere flere til å bidra til forskningen og utfor­dre den medisinske utstyrsindustrien. Der­for har hun også oppret­tet kontakt med hacker­miljøer, som kjenner til svakhetene, metodene og tankegangen rundt sårbarheter. I slutten av desember presenterte hun prosjektet sitt for over 1000 tilskuere på et hackertreff i Hamburg.

Mange har tatt kontakt med henne i etterkant.Sammen med en gruppe sikkerhetsfor­

skere er hun med i et nettverk kalt I am the Cavalry. Under mottoet «Technology worthy of our trust» skal gruppen fokusere på sik­kerhet i medisinsk utstyr, hjemmesystemer, bilindustrien og offentlig infrastruktur. Til felles har de en overbevisning om at avhen­gigheten vår av datateknologi vokser raskere enn evnen til å beskytte oss mot potensielle trusler.

– Det er en slags grasrotbevegelse i sikker­hetsmiljøet. Målet er å øke tryggheten i men­neskers liv gjennom kontakt med produsen­ter og myndigheter om temaene. Håpet mitt er å skape enda mer interesse for forskning på medisinske implantater, sier Moe.

– Det aller meste som brukes på norske sykehus, er utstyr som er produsert av glo­bale selskaper og underlagt de sikkerhetsres­triksjoner som gjelder, enten det er FDA i USA eller EU­direktiver, sier Hartvig Munthe­Kaas, prosjektdirektør i Medtek Norge, bransjeor­ganisasjonen for helse­ og velferdsteknologi­leverandørene i Norge.

Nett i hjertet

SikkerhetS­hullet kunne utnytteS til

å drepe paSien­ter fra avStand

Marie Moe Sintef-forsker og sikkerhets ekspert med pacemaker

DN Magasinet | 9. januar 2016

   | 21

Livskritisk hacking. Utenlandske medier står i kø for å intervjue Marie Moe fra Trondheim etter at hun har talt til over 1000 deltagere på et hackertreff i Hamburg om svakhetene hun har funnet i medisinsk utstyr. Nå er hun invitert til Washington av amerikanske myndigheter.

DN Magasinet | 9. januar 2016

22 |

Han mener kun kvalifisert helsepersonell bør kunne få tilgang til kildekoden eller få omprogrammere.

– Hvis man begynner å manipulere på den måten, vil blant annet garantiansvaret fra en leverandør kunne falle bort, sier Munthe-Kaas.

Slutten. Pacemakeren hennes fungerer nå uten problemer. I september løp hun halv-maraton. Om seks år går batteriet ut. Da må hun gjennom en ny operasjon for å bytte det.

– Da kommer jeg til å være en vanskelig pasient når det gjelder valg av modell og hvil-ken type pacemaker som er tryggest, sier Moe.

Da hun fikk sin nåværende pacemaker, hadde hun ikke noe valg. I Norge reguleres valget gjennom innkjøpsavtaler som inn-gås av Helseforetakenes Innkjøpsservice as på vegne av helseforetakene. Dermed binder innkjøpsavtalene i stor grad norske pasien-ter til bestemte leverandører. Medtronic skal ifølge avtalen levere halvparten av alle norske pacemakere, etterfulgt av St. Jude Medical (35 prosent) og Boston Scientific (15 prosent). Det innebærer besparelser på 70 millioner kroner i forhold til forrige avtale, ifølge en rapport om avtalen som gjelder fra juli ifjor.

– Avtalen forplikter sykehusene til å kjøpe et visst antall prosent for at de skal få gunsti-gere innkjøpsavtaler. Det er litt spesielt. Det hadde vært interessant å møte og påvirke

dem som bestemmer innkjøp for alle norske sykehus, sier Marie Moe.

Nå jobber hun med informasjonssik-kerhet som forsker på Sintef, er førsteama-nuensis 2 ved NTNU og underviser mas-terstudenter i hendelseshåndtering og beredskapsplanlegging.

Internasjonale medier har stått i kø for å intervjue Moe, som allerede er omtalt i BBC, Der Spiegel og Vice Motherboard. Nå går historien hennes verden rundt gjennom

L’Actualité i Canada, Sydney Morning Herald i Australia og RTL i Luxembourg. Allerede den-ne måneden flyr hun til Washington. Hun er blitt invitert av den amerikanske tilsynsmyn-digheten FDA til en workshop om sikkerhet i medisinsk utstyr.

Ransomware er blitt en vanlig trussel blant pc-brukere de siste årene. Det innebærer at angripere tar kontroll over enheten og ikke gir fra seg innholdet før offeret har betalt inn løsepenger. For fire måneder siden advarte FBI offentlig mot mulige angrep på trådløse hjertemonitorer og insulinpumper som endel av truslene i «tingenes internett» – enheter som er koblet opp til nettet. Forsknings- og konsulentselskapet Forrester Research kåret i november medisinsk ransomware til cyber-trussel nummer én i 2016.

I dag vet man at hacking av en enhet kan skje hvis man befinner seg i samme bygning. Dermed det er trolig bare et tidsspørsmål før angrep over nettet også blir bevist.

– Det er et interessant «worst case scenario», sier Marie Moe.

Selv er hun mest bekymret for at feil i pro-gramvaren skal føre til at utstyret ikke funge-rer som det skal – med dødelig følge.

– Fordelen med pacemaker er uansett større enn risikoen. Det er på grunn av den jeg er i live. ●osman.kibar@dn.no

Hemmelig kode i hjertet. – Det er min personlige, kritiske infrastruktur. Jeg vil ha tilgang til den informasjonen, sier Marie Moe.

Nett i hjertet

Målet er å øke tryggheten i Menneskers liv

gjennoM kontakt Med produsenter og Myndigheter

oM teMaeneMarie Moe Sintef-forsker og sikker-

hetsekspert med pacemaker