Tre grunde til, at pacemakere er sårbare over for hacking

US Food and Drug Administration (FDA) mindede for nylig om cirka 465.000 pacemakere lavet af firmaet Abbott ‘ s (tidligere St. Jude Medical), der var sårbare over for hacking, men situationen peger på et løbende sikkerhedsproblem.

årsagen til tilbagekaldelsen? Enhederne kan eksternt” hackes ” for at øge aktiviteten eller reducere batteriets levetid, hvilket potentielt bringer patienter i fare. Ifølge rapporter vil en betydelig del af pacemakerne sandsynligvis blive installeret hos Australske patienter.

alligevel gør de kvaliteter, der gør eksternt tilgængelige menneskelige implantater ønskelige-nemlig lave omkostninger, batterier med lav vedligeholdelse, lille størrelse, fjernadgang – også sikring af sådanne enheder til en alvorlig udfordring.

tre nøglespørgsmål holder cybersikkerhed tilbage:

  1. de fleste indlejrede enheder har ikke hukommelse eller strøm til at understøtte korrekt kryptografisk sikkerhed, kryptering eller adgangskontrol.
  2. læger og patienter foretrækker bekvemmelighed og nem adgang frem for sikkerhedskontrol.
  3. fjernovervågning, en uvurderlig funktion af indlejrede enheder, gør dem også sårbare.

Abbotts situation

en tilbagekaldelse af Abbotts pacemakere, pr. I stedet kunne enhedens firma opdateres med en læge.

sårbarheden af pacemakeren synes at være, at en person med “kommercielt tilgængeligt udstyr” kunne sende kommandoer til pacemakeren, ændre dens indstillinger og program. Den” lappede ” version forhindrer dette – den tillader kun autoriserede udstyrs-og programmelværktøjer at sende kommandoer til enheden.

Abbott ‘ s har bagatelliseret risiciene og insisteret på, at ingen af de 465.000 enheder er blevet rapporteret som kompromitterede.

men frygt for cybersikkerhedsangreb på individuelt medicinsk udstyr er ikke noget nyt.

medicinsk udstyr er nu en del af “internet of things” (IoT), hvor små batteridrevne sensorer kombineret med indlejrede og tilpassede computere og radiokommunikation (teknologier som trådløs internetadgang, Bluetooth, NFC) finder anvendelser i områder, hvor cybersikkerhed ikke tidligere er blevet overvejet.

dette sammenstød af verdener bringer særlige udfordringer.

strøm versus sikkerhed

de fleste indlejrede medicinske enheder har i øjeblikket ikke hukommelse, processorkraft eller batterilevetid til at understøtte korrekt kryptografisk sikkerhed, kryptering eller adgangskontrol.

for eksempel kan brug af HTTPS (en måde at kryptere internettrafik for at forhindre aflytning) snarere end HTTP, ifølge Carnegie Mellon-forskere, øge energiforbruget på nogle mobiltelefoner med op til 30% på grund af tabet af fuldmagter.

konventionelle kryptografisuiter (algoritmerne og nøglerne, der bruges til at bevise identitet og holde transmissioner hemmelige) er designet til computere og involverer komplekse matematiske operationer ud over kraften i små, billige IoT-enheder.

en ny løsning er at flytte kryptografien til dedikerede maskinchips, men det øger omkostningerne.

US National Institute of Standards and Technology (NIST) udvikler også “lette” kryptografiske suiter designet til lavt drevne IoT-enheder.

bekvemmelighed versus sikkerhed

læger og patienter forventer ikke altid at skulle logge ind på disse medicinske enheder. Udsigten til at skulle holde brugernavne, adgangskoder og krypteringsnøgler praktisk og sikker er i strid med, hvordan de planlægger at bruge dem.

ingen forventer at skulle logge ind i deres brødrister eller køleskab, enten. Heldigvis ændrer smarttelefonernes gennemgribende karakter og deres anvendelse som grænseflader til “smarte” IoT-enheder brugernes adfærd på denne front.

når din pacemaker fejler, og ambulancen ankommer, vil du dog virkelig have tid (eller evne) til at finde enhedens serienummer og godkendelsesoplysninger, der skal gives til paramedicinerne?

fjernovervågning versus sikkerhed

kirurgiske implantater udgør klare medicinske risici, når de skal fjernes eller udskiftes. Af denne grund er fjernovervågning utvivlsomt en livreddende teknologi for patienter med disse enheder.

patienter er ikke længere afhængige af advarslen om lavt batteri “brummer”, og hvis enheden ikke fungerer, kan dens program opdateres jævnt af læger.

desværre skaber denne fjernbetjeningsfunktion en helt ny type sårbarhed. Hvis din læge kan opdatere dit program eksternt, kan andre også.

sikring af enheder i fremtiden

sikkerheden ved tilsluttet, indlejret medicinsk udstyr er et “ondt” problem, men løsninger er i horisonten.

vi kan forvente billige kryptografiske maskinchips og standardiserede kryptografiske suiter designet til enheder med lav effekt, lav hukommelse og lav kapacitet i fremtiden.

måske kan vi også forvente en generation, der er vant til at logge ind på alt, hvad de rører ved, og vil have måder at autentificere sig til deres enheder nemt og sikkert, men vi er ikke der endnu.

i mellemtiden kan vi kun vurdere risiciene og træffe målte beslutninger om, hvordan vi beskytter os selv.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.