Tre skäl till varför pacemakers är sårbara för hacking

US Food and Drug Administration (FDA) återkallade nyligen cirka 465 000 pacemakers gjorda av företaget Abbott ’ s (tidigare St.Jude Medical) som var sårbara för hacking, men situationen pekar på ett pågående säkerhetsproblem.

anledningen till återkallelsen? Enheterna kan ”hackas” på distans för att öka aktiviteten eller minska batteriets livslängd, vilket kan äventyra patienterna. Enligt rapporter kommer en betydande del av pacemakarna sannolikt att installeras hos Australiensiska patienter.

men de egenskaper som gör fjärråtkomliga mänskliga implantat önskvärda-nämligen låga kostnader, låga underhållsbatterier, liten storlek, fjärråtkomst – gör också att säkra sådana enheter en allvarlig utmaning.

tre viktiga frågor håller tillbaka cybersäkerhet:

  1. de flesta inbyggda enheter har inte minne eller kraft för att stödja korrekt kryptografisk säkerhet, kryptering eller åtkomstkontroll.
  2. läkare och patienter föredrar bekvämlighet och enkel åtkomst framför säkerhetskontroll.
  3. fjärrövervakning, en ovärderlig egenskap hos inbäddade enheter, gör dem också sårbara.

Abbotts situation

en återkallelse av Abbotts pacemakers, per FDA, skulle inte innebära operation. Istället kan enhetens firmware uppdateras med en läkare.

pacemakerns sårbarhet verkar vara att någon med” kommersiellt tillgänglig utrustning ” kan skicka kommandon till pacemakern, ändra dess inställningar och programvara. Den” lappade ” versionen förhindrar detta – det tillåter bara auktoriserade hårdvaru-och mjukvaruverktyg att skicka kommandon till enheten.

Abbott ’ s har bagatelliserat riskerna och insisterat på att ingen av de 465 000 enheterna har rapporterats som komprometterade.

men rädsla för cybersäkerhetsattacker på enskilda medicintekniska produkter är inget nytt.

medicintekniska produkter är nu en del av” Internet of things ” (IoT), där små batteridrivna sensorer i kombination med inbyggda och anpassade datorer och radiokommunikation (tekniker som Wi-Fi, Bluetooth, NFC) hittar användningsområden inom områden där cybersäkerhet inte tidigare har beaktats.

denna konflikt mellan världar ger särskilda utmaningar.

ström kontra säkerhet

de flesta inbyggda medicintekniska produkter har för närvarande inte minne, processorkraft eller batteritid för att stödja korrekt kryptografisk säkerhet, kryptering eller åtkomstkontroll.

till exempel kan HTTPS (ett sätt att kryptera webbtrafik för att förhindra avlyssning) snarare än HTTP, enligt Carnegie Mellon-forskare, öka energiförbrukningen för vissa mobiltelefoner med upp till 30% på grund av förlusten av proxyservrar.

konventionella kryptografisviter (algoritmerna och nycklarna som används för att bevisa identitet och hålla överföringar hemliga) är utformade för datorer och involverar komplexa matematiska operationer bortom kraften hos små, billiga IoT-enheter.

en framväxande lösning är att flytta kryptografin till dedikerade hårdvaruchips, men detta ökar kostnaden.

US National Institute of Standards and Technology (NIST) utvecklar också ”lätta” kryptografiska sviter utformade för lågdrivna IoT-enheter.

bekvämlighet kontra säkerhet

läkare och patienter förväntar sig inte att alltid behöva logga in på dessa medicinska apparater. Utsikterna att behöva hålla användarnamn, lösenord och krypteringsnycklar praktiska och säkra strider mot hur de planerar att använda dem.

ingen förväntar sig att behöva logga in i sin brödrost eller kylskåp, antingen. Lyckligtvis genomslagskraft smarta telefoner, och deras användning som gränssnitt till ”smarta” IoT-enheter, förändrar användarnas beteende på den här fronten.

när din pacemaker misslyckas och ambulansen anländer, kommer du verkligen att ha tid (eller förmåga) att hitta enhetens serienummer och autentiseringsuppgifter för att ge paramedicinerna?

fjärrövervakning kontra säkerhet

kirurgiska implantat utgör tydliga medicinska risker när de behöver tas bort eller bytas ut. Av denna anledning är fjärrövervakning utan tvekan en livräddande teknik för patienter med dessa enheter.

patienter är inte längre beroende av ”buzz” – varningen med lågt batteri, och om enheten inte fungerar kan programvaran uppdateras smidigt av läkare.

tyvärr skapar denna fjärrkontrollfunktion en helt ny typ av sårbarhet. Om din läkare kan fjärruppdatera din programvara, så kan andra.

säkra enheter i framtiden

säkerheten för anslutna, inbäddade medicintekniska produkter är ett ”ont” problem, men lösningar är i horisonten.

vi kan förvänta oss billiga kryptografiska hårdvaruchips och standardiserade kryptografiska sviter utformade för enheter med låg effekt, lågt minne och låg kapacitet i framtiden.

kanske kan vi också förvänta oss en generation som är vana vid att logga in på allt de berör, och kommer att ha sätt att autentisera sig till sina enheter enkelt och säkert, men vi är inte där än.

under tiden kan vi bara bedöma riskerna och fatta uppmätta beslut om hur vi kan skydda oss själva.

Lämna ett svar

Din e-postadress kommer inte publiceras.