Möller Insights – ”Säkerhetsutvecklingen inom sjukvård rör sig i ultrarapid”

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på Intel Security i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om bristande IT-säkerhet inom sjukvården. 

Säkerhetsutvecklingen inom sjukvård rör sig i ultrarapid
Sjukvård är alltid under utveckling och förändring. Vi ser det idag tydligt i Stockholm där nya Karolinska Sjukhuset byggs om, blir större, men magiskt nog så finns färre sängplatser än tidigare sjukhus. Anledningen är egentligen två, det ena är att det är kostsamt att ha patienter som sover på sjukhus och den andra anledningen är att vi idag har teknik som gör det möjligt att monitorera patienter lika effektivt i deras hem som på sjukhuset.

Även om den tekniska utvecklingen inom sjukvård snabbt går mer och mer mot att patienter med kroniska sjukdomar enklare ska hantera och medicinera sig själva så är sjukvården, likt många andra områden, sena med IT-säkerhet. Ett bra exempel är insulinpumpen som är väldigt vanligt i Sverige för diabetiker, både för att det är enklare att kontrollera insulinnivåerna men även för att den kontinuerligt mäter blodsocker under dagens gång och kan hjälpa patienten att få en bättra förståelse för hur blodsockret förändras och en varning när nivåerna blir för höga eller låga.

Den här typen av teknik medför även svagheter och redan i augusti 2011 demonstrerade ett hack av en insulinpump på scen under Black Hat. Under den demonstrationen visade de hur enkelt det var att ta kontroll över enheten och leverera en dödlig dos av insulin.

Två år senare var tanken att Barnaby Jack skulle demonstrera hur man, precis som på Homeland, kan hacka en pacemaker genom att befinna sig inom 6 meter av personen med pacemaker. I det här fallet dog Barnaby Jack oväntat innan hans demonstration på Black Hat men att svagheten finns var det få som inte trodde. Tre månader efter Barnaby Jacks död så rekommenderar Dick Cheneys läkare att den trådlösa funktionaliteten i hans pacemaker bör avaktiveras på grund av säkerhetsskäl.

Det finns med andra ord starka belägg för att IT-säkerheten inom sjukvårdsutrustning är minst sagt bristfällig – och det yttersta beviset är när även läkare rekommenderar att funktioner bör stängas av. Det har nu gått tre år sedan insulinpumpen blev hackad, men har det blivit någon förändring? Har vi robust och inbyggd säkerhet inom sjukvården? Det korta svaret är nej.. Det har egentligen inte hänt något alls.

För två dagar sedan höll FDA (Food and Drug Administration) en cybersäkerhetsworkshop där utmaningarna med bristfällig och ibland obefintlig säkerhet inom sjukvårdsenheter diskuterades. Syftet med workshopen var att främja samarbete kring IT-säkerhet inom sjukvården där flera intressenter deltog som sjukhus, kliniker och tillverkare av medicinskutrustning.

Under workshopen uttalade sig Jason Lay som ansvarar för cyberhot hos Department of Health and Human Services om just möjligheten att med en laptop hacka webbuppkopplade implantat. Han sa kort och gott – ”We know this possibility is very real”. Han fortsatte med att jämställa hotet med en beväpnad förövare för att förtydliga att det måste tas på allvar. Han talade även om en dystopisk framtid där läkare kommer att scanna patienter för skadlig kod som en del av deras läkarbesök.

Om vi bortser från mer riktade attacker mot specifika individer så belyste de även en oro över oavsiktliga skador som kan följa en cyberattack. Stor del av den medicinska utrustning som idag finns uppkopplade mot internet har inget skydd och kan nyttjas av hackare som en väg in i ett säkert nätverk där de kan stjäla medicinskforskning och liknande. En sådan attack kan ha dödliga konsekvenser för patienter då det är oklart hur en sådan attack påverkar medicinsk utrustning. Under workshopen så fanns en konsensus i att vi kommer se det första dödsfallet på grund av bristande IT-säkerhet inom det kommande året.

Varför inget händer kan jag inte svara på. Jag har absolut ingen förståelse och jag godtar inga ursäkter. Jag skriver ofta om finansiella förluster men i de här fallen handlar det om människor och liv vilket borde vara såväl sjukhusens som tillverkarna av medicinsk utrustnings huvudintresse, att värna om patienternas säkerhet.

Fredrik Möller är vd på Intel Security i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter: @MollerFredrik