Drie redenen waarom pacemakers kwetsbaar zijn voor hacking

de Amerikaanse Food and Drug Administration (FDA) noemde onlangs ongeveer 465.000 pacemakers gemaakt door het bedrijf Abbott ‘ s (voorheen St.Jude Medical) die kwetsbaar waren voor hacking, maar de situatie wijst op een aanhoudend veiligheidsprobleem.

de reden voor het terugroepen? De apparaten kunnen op afstand worden “gehackt” om de activiteit te verhogen of de levensduur van de batterij te verminderen, waardoor patiënten mogelijk in gevaar worden gebracht. Volgens rapporten, een aanzienlijk deel van de pacemakers zijn waarschijnlijk te worden geïnstalleerd in Australische patiënten.

toch maken de kwaliteiten die op afstand toegankelijke menselijke implantaten wenselijk maken-namelijk lage kosten, onderhoudsarme batterijen, klein formaat, toegang op afstand – ook het beveiligen van dergelijke apparaten een grote uitdaging.

drie belangrijke problemen belemmeren cyberveiligheid:

  1. de meeste embedded apparaten hebben niet het geheugen of de kracht om de juiste cryptografische beveiliging, encryptie of toegangscontrole te ondersteunen.
  2. artsen en patiënten geven de voorkeur aan gemak en gemak van toegang boven veiligheidscontrole.
  3. bewaking op afstand, een onschatbare eigenschap van ingebedde apparaten, maakt ze ook kwetsbaar.

de situatie van Abbott

het terugroepen van de pacemakers van Abbott, volgens de FDA, zou geen operatie met zich meebrengen. In plaats daarvan kan de firmware van het apparaat worden bijgewerkt met een arts.

de kwetsbaarheid van de pacemaker blijkt te zijn dat iemand met “commercieel beschikbare apparatuur” commando ‘ s naar de pacemaker kan sturen en zijn instellingen en software kan wijzigen. De “patched” versie voorkomt dit-het staat alleen geautoriseerde hardware en software tools toe om commando ‘ s naar het apparaat te sturen.

Abbott ’s heeft de risico’ s gebagatelliseerd en benadrukt dat geen van de 465.000 apparaten als gecompromitteerd werd gerapporteerd.

maar vrees voor cyberbeveiligingsaanvallen op individuele medische hulpmiddelen is niets nieuws.

medische hulpmiddelen maken nu deel uit van het” internet of things ” (IoT), waar kleine op batterijen werkende sensoren in combinatie met ingebedde en op maat gemaakte computers en radiocommunicatie (technologieën zoals Wi-Fi, Bluetooth, NFC) worden gebruikt in gebieden waar cyberbeveiliging nog niet eerder is overwogen.

deze botsing van werelden brengt bijzondere uitdagingen met zich mee.

vermogen versus beveiliging

de meeste ingebedde medische hulpmiddelen hebben momenteel niet het geheugen, de verwerkingscapaciteit of de levensduur van de batterij om de juiste cryptografische beveiliging, encryptie of toegangscontrole te ondersteunen.

bijvoorbeeld, het gebruik van HTTPS (een manier om webverkeer te versleutelen om afluisteren te voorkomen) in plaats van HTTP, volgens Carnegie Mellon onderzoekers, kan het energieverbruik van sommige mobiele telefoons verhogen met maximaal 30% vanwege het verlies van proxies. Conventionele cryptografische suites (de algoritmen en sleutels die worden gebruikt om de identiteit te bewijzen en transmissies geheim te houden) zijn ontworpen voor computers en omvatten complexe wiskundige bewerkingen die de kracht van kleine, goedkope IoT-apparaten te boven gaan.

een opkomende oplossing is het verplaatsen van de cryptografie naar dedicated hardware chips, maar dit verhoogt de kosten.

het Amerikaanse National Institute of Standards and Technology (NIST) ontwikkelt ook “lichtgewicht” cryptografische suites ontworpen voor IoT-apparaten met weinig vermogen.

gemak versus veiligheid

artsen en patiënten verwachten niet altijd in te loggen op deze medische hulpmiddelen. Het vooruitzicht van het hebben van gebruikersnamen te houden, wachtwoorden en encryptiesleutels handig en veilig is in tegenstelling tot hoe ze van plan zijn om ze te gebruiken.

niemand verwacht in te hoeven loggen in hun broodrooster of koelkast. Gelukkig verandert de alomtegenwoordigheid van smartphones, en hun gebruik als interfaces voor “slimme” IoT-apparaten, het gedrag van gebruikers op dit front.

wanneer uw pacemaker echter uitvalt en de ambulance arriveert, hebt u dan echt de tijd (of de mogelijkheid) om het serienummer van het apparaat en de authenticatiegegevens te vinden die u aan de paramedici kunt geven?

bewaking op afstand versus veiligheid

chirurgische implantaten bieden duidelijke medische risico ‘ s wanneer ze verwijderd of vervangen moeten worden. Om deze reden is bewaking op afstand ongetwijfeld een levensreddende technologie voor patiënten met deze apparaten.

patiënten zijn niet langer afhankelijk van de waarschuwing dat de batterij bijna leeg is en als het apparaat niet goed werkt, kan de software probleemloos worden bijgewerkt door artsen.

helaas creëert deze functie voor Afstandsbediening een geheel nieuw type kwetsbaarheid. Als uw arts uw software op afstand kan bijwerken, kunnen anderen dat ook.

het beveiligen van apparaten in de toekomst

de beveiliging van verbonden, ingebedde medische hulpmiddelen is een “slecht” probleem, maar er zijn oplossingen aan de horizon.

we kunnen in de toekomst goedkope cryptografische hardwarechips en gestandaardiseerde cryptografische suites verwachten die zijn ontworpen voor apparaten met weinig vermogen, weinig geheugen en weinig capaciteit.

misschien kunnen we ook een generatie verwachten die gewend is om in te loggen op alles wat ze aanraken, en die manieren zal hebben om zichzelf gemakkelijk en veilig te authenticeren op hun apparaten, maar we zijn er nog niet. In de tussentijd kunnen we alleen de risico ‘ s beoordelen en weloverwogen beslissingen nemen over hoe we onszelf kunnen beschermen.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.