Teknologi. Nett i hjertet

Transkript

1 16 Teknologi Nett i hjertet Da sikkerhetseksperten Marie Moe (37) fikk hjerteproblemer, oppdaget hun at det er mulig å hacke livskritiske, medisinske apparater som pacemakere, morfinpumper og insulinutstyr. Tekst Osman Kibar Foto Maxim Sergienko Hamburg Det er en grunn til at USAs visepresident Dick Cheney fikk fjernet den trådløse enheten i den implanterte hjertestarteren sin, sier Sintef-forsker og sikkerhetsekspert Marie Moe. Cheneys kardiolog fryktet et attentatforsøk gjennom hacking av enheten. Da Moe selv fikk operert inn en pacemaker, oppdaget hun at den hadde egenskaper ingen hadde fortalt henne om. Marie Moe er godt vant med uforutsigbare hendelser, som plutselige nettangrep mot norske banker eller spionasje mot norske oljeog gasselskaper. Hun visste hva hun skulle gjøre hvis det ble meldt om sårbarhet i norske kraftsentralers kontrollsystemer. Moe var en landets fremste eksperter på hendelseshåndtering, informasjonssikkerhet og nettverkssikkerhet. Hun ledet de hemmelige tjenestenes operasjonssenter Norcert, som følger datatrafikken inn og ut av Norge i sanntid. Trusselen som rammet henne en helt vanlig novembermorgen for fire år siden, var hun ikke like godt forberedt på. Esken. Moe var alene i leiligheten, klar til å gå på jobb på operasjonssentralen på Akershus festning. Hun skulle bare ta seg et glass appelsinjuice først. Plutselig kollapset hun. Da hun våknet opp igjen, lå hun på gulvet omgitt av glasskår. Moe ante ikke hvor lenge hun hadde ligget bevisstløs på gulvet og dro til legevakten for å utelukke hjernerystelse. Det viste seg at hjertet ikke banket jevnt. Hun led av hjertearytmi uregelmessig hjerterytme. Om ikke tilstanden ble behandlet umiddelbart, risikerte hun livet. En uke senere ble hun operert. I en liten lomme under huden like ved kravebenet fikk hun installert en pacemaker et lite, batteridrevet apparat som gjennom elektroder i blodårene sørger for at hjertet slår med riktig hastighet. Det gikk opp for meg ganske fort at pacemakeren er en maskin med kode. Den kan programmeres, sier Marie Moe. Hun tenkte umiddelbart på skjulte svakheter, sårbarheter i kildekoden, mulige programmeringsfeil som kunne føre til at apparatet ikke fungerte som det skulle. Men jeg hadde ikke noe valg. Jeg måtte ha den, sier Moe. Nå fikk hun installert software i kroppen som hun ikke kunne verifisere, tilsynelatende uten anledning til å «patche» eventuelle sikkerhetshull. En enkel operasjon, så var problemet løst, og hun følte hun seg bra. Men komplikasjoner skulle oppstå. Google og Ebay. Helsepersonellet var ikke vant til å forholde seg til krypteringsprotokoller, trådløse aksesspunkter og implementering dagligdagse temaer for Marie Moe, som hadde doktorgrad i informasjonssikkerhet fra NTNU og mastergrad i matematikk med spesialisering innen kryptografi. De forsto ikke hva hun snakket om. De hadde ikke fått slike spørsmål før. De hadde aldri tenkt på det, forteller hun. Da Moe googlet saken, oppdaget hun at det ikke fantes så mye sikkerhetsforskning på medisinsk utstyr generelt og pacemakere spesielt. Hun logget seg inn på Ebay, cashet ut et titall tusenlapper og bestilte brukt pacemakerutstyr. Så fant hun frem til den tekniske manualen for sin egen pacemaker. Jeg er jo forsker. Jeg ville gjerne finne ut mer. De første undersøkelsene gjorde henne litt urolig. Hun oppdaget at pacemakeren inneholdt en ekstra, trådløs kommunikasjonskanal. Den gjorde det mulig å koble hjertet hennes til internett. Jeg så at den hadde to trådløse grensesnitt. Det var jeg ikke klar over. To uker etter operasjonen dro hun på jobbreise til London. I trappen opp fra undergrunnsstasjonen på Covent Garden kollapset hun. Legen koblet henne til et lite apparat som plasseres på huden og kan kommunisere med pacemakeren, en såkalt programmerer. Innstillingene på skjermen samsvarte ikke med innstillingene på Moes pacemaker. Man klarte ikke å finne årsaken. Hvis kroppen din trenger oksygen og plutselig ikke får det, er det en veldig ubehagelig følelse, sier hun. Det viste seg at pacemakeren var innstilt på altfor lav makspuls. Da Moe nådde maksgrensen på 160 slag i minuttet, halverte den automatisk antallet hjerteslag. Det tok nærmere tre måneder å finne svaret, sier Moe. Mistankene hennes om tekniske svakheter viste seg å stemme. Eireann. Hun tok kontakt med den britiske hackeren og risikoforskeren Eireann Leverett, som hun kjente fra da han tipset norske myndigheter om mulige, kritiske svakheter i industrielle kontrollsystemer som lå åpent på nett. I motsetning til personlige datamaskiner som jevnt var blitt forbedret, var industrielle kontrollsystemer et sikkerhetsmessig jomfruterritorium med svake passord og minimal sikkerhetstenkning. Bevisstheten rundt sårbarhetene deres hadde økt noe da sentrifuger i Irans atomprogram ble angrepet, men fortsatt var mange kritiske anlegg usikrede på nett. Eireann var veldig interessert i kode som styrer nasjonal infrastruktur. Men her var det jo snakk om kode som styrer personlig infrastruktur, sier Moe. Sammen med Leverett, som i tillegg til å være seniorforsker ved Cambridge-universitetet er sikkerhetskonsulent i selskapet Concinnity Risks, satte hun i gang et annerledes hackingprosjekt en nøye kartlegging av sikkerheten i medisinsk utstyr. De medisinske hackerne. Pasienttypen som skaffer seg økt kunnskap, organiserer seg gjennom nettet og blir en maktfaktor, omtales ofte som «den informerte pasienten». En slik pasientgruppe lyktes i sommer å få amerikanske myndigheter til å endre The Digital Millenium Copyright Act (DMCA), en omstridt lov som bannlyser omgåelse av

2 17 Digital jakt. Marie Moes var forberedt på det meste da hun forsvarte Norges kritiske infrastruktur mot digitale trusler. Hun var ikke fullt så forberedt på å få installert software i kroppen som hun ikke kunne verifisere, når det som sto på spill, var intet mindre enn livet hennes.

3 18 Nett i hjertet Industriell hacker. Jeg var vant til å hacke industrielle systemer. Jeg visste ingenting om dette. Marie måtte lære meg hvordan hjertet fungerer, sier hacker og sikkerhetsekspert Eireann Leverett. De to ble kjent da han meldte fra om kritiske sikkerhetshull i norske systemer.

4 19 sikkerhetsmekanismene som beskytter opphavsrettsbeskyttede verk. Lovendringen gjør det mulig å forske på og teste svakheter ved medisinske apparater, uten samtidig å begå digitale lovbrudd og bli saksøkt. Sikkerhetseksperter, hackere og informerte pasienter har dermed fått bedre kår for å få medisinsk hacking på dagsordenen internasjonalt. En av dem er sikkerhetseksperten Jay Radcliffe, som var god på å hacke parkeringsautomater. Da han ble diabetespasient, demonstrerte han at det var mulig å ta kontroll over en insulinpumpe fra Medtronic og endre insulinmengden, med potensielt dødelig utfall. En annen er advokaten Karen M. Sandler, som har en hjertestarter, også fra Medtronic, men som forgjeves har prøvd å få tilgang til koden fra produsenten. Medtronics kommunikasjonsdirektør Marianne Sparrevohn skriver i en epost at selskapets mål er å utvikle så trygge og sikre produkter som mulig. Alle har så langt blitt avvist av produsentene av medisinteknisk utstyr. Flere av dem er tungt representert i Norge og brukes av norske sykehus. Sikkerhetshull. Oppskriften på Marie Moes pacemaker er fremdeles en forretn i n g s h e m m e l i g h e t som produsenten holdt tett inntil brystet. Noen har sittet og skrevet koden som er inne i kroppen min. Dette er min personlige, kritiske infrastruktur. Jeg ønsker tilgang til den koden, som jeg er avhengig av for å leve, og til dataene den samler inn om meg, sier Moe. Etter å ha begynt å se nærmere på pacemakeres svakheter, satt Marie Moe og Eireann Everett igjen med flere spørsmål enn svar. For eksempel: Ble informasjonen fra pacemakerne kryptert, eller ble den overført i klartekst, slik at den kunne fanges opp av utenforstående underveis? Den ekstra kommunikasjonskanalen inn i hjertet hennes gjorde det også mulig å hente ut informasjon. Informasjonen de så etter, sto ikke engang i manualen. For den var proprietær altså med lukket, hemmelig, copyrightbeskyttet kildekode. I sikkerhetsmiljøer anses åpen kildekode som mye sikrere, fordi veldig mange flere kan undersøke om koden inneholder svakheter eller feil. Det er viktig at man kan stole på den, gjennomfører tredjepartstesting og en systematisk undersøkelse av kildekoden, sier Moe. NoeN har sittet og skrevet koden som er inne i kroppen min. Jeg ønsker tilgang til den koden Marie Moe Sintef-forsker og sikkerhetsekspert med pacemaker Mange feil. At dataene går til en server hos produsenten, at helsepersonellet kan logge seg inn på en nettside, hente ut informasjon og overvåke pasientene bedre, virker i utgangspunktet som en god idé. For en sikkerhetsforsker er slike konfigurasjoner et mareritt av mulige kritiske angrepsflater på selve enheten, i tilgangspunktet, i mobilnettverket, på nettstedet eller på servernivå. Sikkerhetsforskernes skepsis var ikke helt ubegrunnet. USAs Department of Homeland Security kunngjorde i juni 2013 å ha funnet sikkerhetshull i mer enn 300 medisinske enheter produsert av 40 ulike leverandører. Hullene kunne brukes til å endre på kritiske innstillinger i kirurgisk verktøy, anestesiutstyr, hjertestartere, laboratorieutstyr og systemer for overvåkning av pasienter. Vi må kunne verifisere programvaren som kontrollerer våre liv, sier Moe. I 2014 fikk 2989 nordmenn operert inn pacemaker, cirka 400 flere enn året før, ifølge Norsk pacemaker og IcD statistikk. Det finnes i dag flere millioner pacemaker pasienter i verden. Dødelig pumpe. Cybersikkerhet i medisinske enheter har såvidt begynt å bli et tema for helsemyndigheter og sikkerhetsmiljøer internasjonalt. I slutten av juli ifjor beordret det amerikanske mat og legemiddeltilsynet Food and Drug Administration (FDA) for første gang en tilbaketrekning av en datastyrt intravenøs medisinpumpe, Hospira Symbiq Infusion System, fra alle sykehus og sykehjem i USA på grunn av et digitalt sikkerhetshull. Årsaken var at det var mulig å ta kontroll over pumpen via internett og endre doseringen for eksempel av morfin. Pfizer, som eier Hospira, opplyser til DN at pumpen ikke lenger er i salg eller i bruk noe sted. Marie Moe ser på tilbaketrekningen som en milepæl. Sikkerhetshullet kunne utnyttes til å drepe pasienter fra avstand. Det er første gang en tilbaketrekning skjer i USA på grunn av problematikk knyttet til informasjonssikkerhet. Som regel må man bevise at et visst antall pasienter har dødd på grunn av bivirkninger. Det viser at det hjelper å forske på og finne sikkerhetshull i medisinske enheter, sier Moe. Ifjor høst kunngjorde to sikkerhetsforskere at de fant flere tusen MR maskiner, røntgenapparater og medisinpumper på nett fra produsenten GE Healthcare med standardpassord som ikke var blitt endret siden de kom ut av fabrikken. GE Healthcare tar beskyttelse og personvern ved bruk av medisinsk utstyr svært alvorlig, og vi jobber kontinuerlig med våre prosesser og prosedyrer for å redusere risikoen mot trusler, skriver GEs kommunikasjonsdirektør Ivar Simensen til DN i en epost. I juli sendte en stor amerikansk sykehuskjede, UCLA Health, ut en pressemelding om at datasystemene var blitt hacket og at informasjon om 4,5 millioner pasienter var kommet på avveier. Hackerne fikk, i tillegg til

5 20 Nett i hjertet alle personnumre, fødselsdatoer og adresser, også med seg informasjon om diagnoser, medisinbehov og testresultater. Det var ikke første gangen. Verdens største medisintidsskrift Journal of the American Medical Association fastslo i en studie at 30 millioner pasienters helseinformasjon er blitt stjålet de fire siste årene, for det meste gjennom datainnbrudd. USA er ikke alene om problemstillingen. Norsk dataflukt. I forbindelse med en internrevisjon oppdaget utstyrsselskapet GE Healthcare Systems at sensitive personopplysninger og klinisk informasjon om norske pasienter fra ti norske helsevirksomheter hadde havnet i USA ved en feil. Ifjor ble det kjent at nesten alle datamaskinene på Norges største sykehus, Oslo universitetssykehus (OUS), hadde installert det 14 år gamle operativsystemet Windows XP, som Microsoft har sluttet å sende sikkerhetsoppdateringer til og som dermed enkelt kan hackes gjennom kjente sårbarheter. På Aker sykehus ble det oppdaget et virus som slettet opplysninger. Radiumhospitalets leger har gått ut i mediene og klaget over at datasystemer som skal behandle bildene som brukes for å stille diagnose, har vært utdaterte. Store norske sykehus har vært rammet av kraftige datavirus og angrep som har forsinket behandlingen. OUS er i gang med et større moderniseringsprosjekt, men over to tredjedeler av sykehusets datamaskiner er ennå ikke oppgradert. Av disse er nå cirka 5500 lagt over på ny løsning, skriver OUS kommunikasjonsrådgiver Hedda Holth i en epost. Resten skal byttes ut i år. OUS ble i 2015 utsatt for krypteringsvirus, også kjent som ransomware, hvor angriperne krypterer innholdet i datamaskiner samt svindel. Hendelsene skal ikke ha medført at pasientdata har kommet på avveier. Marie Moe viser til et kjent tilfelle hvor programvareoppdatering av medisinsk ventilatorutstyr fra en utenlandsk leverandør inneholdt ondsinnet programvare, en såkalt trojaner. Hun sitter også på det som fremstår som en desperat epost fra en ansatt i et selskap som overvåker hjertepasienter hjemme, men som plutselig ikke lenger er istand til å se opplysningene fordi skytjenesten er nede: «Vi monitorerer hundrevis av pasienter, men vi kan ikke se EKG signalene deres lenger. Kan dere vennligst kontakte oss?» SikkerhetShullet kunne utnyttes til å drepe pasienter fra avstand Marie Moe Sintef-forsker og sikkerhets ekspert med pacemaker Svakhetene. Marie Moe og Eireann Leverett vil foreløpig ikke røpe svakhetene de har funnet av sikkerhetsgrunner. Først må leverandørene av utstyret kontaktes. Så må partene bli enige om en fremgangsmåte før en eventuell problemfiks og påfølgende rapportering og offentliggjøring. Den såkalte programmereren hun kjøpte på Ebay og som kommuniserer med pacemakere, inneholdt flere overraskelser: kode som kan brukes til å oppdatere den innebygde programvaren. Og masse pasientinformasjon fra forrige bruker. Men det er verre ting enn privatlivet som kan stå på spill. Pacemakerdrap. Den newzealandske hackeren Barnaby Jack spesiallaget programvare som gjorde det mulig å skanne et rom for å finne pacemakerbrukere. Ikke bare fanget han opp serienummer og personlig informasjon, han var angivelig også istand til å slå av programvaren til enhetene på avstand og sende elektriske støt på opptil 830 volt til hjertepasienter innenfor en radius på 15 meter. Marie Moe skulle møte Barnaby Jack da han skulle presentere sine nyeste funn om pacemakere på en stor sikkerhetskonferanse i Las Vegas, men den kjente hackeren døde uken før han fikk offentliggjort hackingmetodene. I am the Cavalry. Nå vil Marie Moe inspirere flere til å bidra til forskningen og utfordre den medisinske utstyrsindustrien. Derfor har hun også opprettet kontakt med hackermiljøer, som kjenner til svakhetene, metodene og tankegangen rundt sårbarheter. I slutten av desember presenterte hun prosjektet sitt for over 1000 tilskuere på et hackertreff i Hamburg. Mange har tatt kontakt med henne i etterkant. Sammen med en gruppe sikkerhetsforskere er hun med i et nettverk kalt I am the Cavalry. Under mottoet «Technology worthy of our trust» skal gruppen fokusere på sikkerhet i medisinsk utstyr, hjemmesystemer, bilindustrien og offentlig infrastruktur. Til felles har de en overbevisning om at avhengigheten vår av datateknologi vokser raskere enn evnen til å beskytte oss mot potensielle trusler. Det er en slags grasrotbevegelse i sikkerhetsmiljøet. Målet er å øke tryggheten i menneskers liv gjennom kontakt med produsenter og myndigheter om temaene. Håpet mitt er å skape enda mer interesse for forskning på medisinske implantater, sier Moe. Det aller meste som brukes på norske sykehus, er utstyr som er produsert av globale selskaper og underlagt de sikkerhetsrestriksjoner som gjelder, enten det er FDA i USA eller EU direktiver, sier Hartvig Munthe Kaas, prosjektdirektør i Medtek Norge, bransjeorganisasjonen for helse og velferdsteknologileverandørene i Norge.

6 21 Livskritisk hacking. Utenlandske medier står i kø for å intervjue Marie Moe fra Trondheim etter at hun har talt til over 1000 deltagere på et hackertreff i Hamburg om svakhetene hun har funnet i medisinsk utstyr. Nå er hun invitert til Washington av amerikanske myndigheter.

7 22 Nett i hjertet Hemmelig kode i hjertet. Det er min personlige, kritiske infrastruktur. Jeg vil ha tilgang til den informasjonen, sier Marie Moe. Han mener kun kvalifisert helsepersonell bør kunne få tilgang til kildekoden eller få omprogrammere. Hvis man begynner å manipulere på den måten, vil blant annet garantiansvaret fra en leverandør kunne falle bort, sier Munthe-Kaas. Slutten. Pacemakeren hennes fungerer nå uten problemer. I september løp hun halvmaraton. Om seks år går batteriet ut. Da må hun gjennom en ny operasjon for å bytte det. Da kommer jeg til å være en vanskelig pasient når det gjelder valg av modell og hvilken type pacemaker som er tryggest, sier Moe. Da hun fikk sin nåværende pacemaker, hadde hun ikke noe valg. I Norge reguleres valget gjennom innkjøpsavtaler som inngås av Helseforetakenes Innkjøpsservice as på vegne av helseforetakene. Dermed binder innkjøpsavtalene i stor grad norske pasienter til bestemte leverandører. Medtronic skal ifølge avtalen levere halvparten av alle norske pacemakere, etterfulgt av St. Jude Medical (35 prosent) og Boston Scientific (15 prosent). Det innebærer besparelser på 70 millioner kroner i forhold til forrige avtale, ifølge en rapport om avtalen som gjelder fra juli ifjor. Avtalen forplikter sykehusene til å kjøpe et visst antall prosent for at de skal få gunstigere innkjøpsavtaler. Det er litt spesielt. Det hadde vært interessant å møte og påvirke Målet er å øke tryggheten i Menneskers liv gjennom kontakt Med produsenter og Myndigheter om temaene Marie Moe Sintef-forsker og sikkerhetsekspert med pacemaker dem som bestemmer innkjøp for alle norske sykehus, sier Marie Moe. Nå jobber hun med informasjonssikkerhet som forsker på Sintef, er førsteamanuensis 2 ved NTNU og underviser masterstudenter i hendelseshåndtering og beredskapsplanlegging. Internasjonale medier har stått i kø for å intervjue Moe, som allerede er omtalt i BBC, Der Spiegel og Vice Motherboard. Nå går historien hennes verden rundt gjennom L Actualité i Canada, Sydney Morning Herald i Australia og RTL i Luxembourg. Allerede denne måneden flyr hun til Washington. Hun er blitt invitert av den amerikanske tilsynsmyndigheten FDA til en workshop om sikkerhet i medisinsk utstyr. Ransomware er blitt en vanlig trussel blant pc-brukere de siste årene. Det innebærer at angripere tar kontroll over enheten og ikke gir fra seg innholdet før offeret har betalt inn løsepenger. For fire måneder siden advarte FBI offentlig mot mulige angrep på trådløse hjertemonitorer og insulinpumper som endel av truslene i «tingenes internett» enheter som er koblet opp til nettet. Forsknings- og konsulentselskapet Forrester Research kåret i november medisinsk ransomware til cybertrussel nummer én i I dag vet man at hacking av en enhet kan skje hvis man befinner seg i samme bygning. Dermed det er trolig bare et tidsspørsmål før angrep over nettet også blir bevist. Det er et interessant «worst case scenario», sier Marie Moe. Selv er hun mest bekymret for at feil i programvaren skal føre til at utstyret ikke fungerer som det skal med dødelig følge. Fordelen med pacemaker er uansett større enn risikoen. Det er på grunn av den jeg er i live. osman.kibar@dn.no