Norweska badaczka cyberbezpieczeństwa istotnych infrastruktur dla Norwegii – Marie Moe, 6 lat temu nagle straciła pamięć. Obudziła się na podłodze. Lekarze stwierdzili, że to nie było zwykłe omdlenie – zatrzymało się jej serce i potem wznowiło pracę. Tej trzydziestoparolatce wszczepiono więc rozrusznik. Marie Moe przeczytała jego instrukcję obsługi i ze zdziwieniem stwierdziła, że ma w sobie moduł łączności bezprzewodowej, a ten może łączyć się z serwerem, by przekazać mu informacje o stanie pacjenta. Czyli jej serce było podłączone do Internetu rzeczy. Czyli było narażone na ataki hakerskie. Marie chciała się przed tym zabezpieczyć, ale producent nie udostępnił jej kodów. – Jak mam zaufać maszynie w moim ciele, która działa na zastrzeżonym kodzie, bez transparencji? – pytała retorycznie w magazynie „Wired”. Od tego czasu Marie Moe poświęca życie temu zagadnieniu. Badaniu, czy hakerzy mogą się włamać do rozruszników serca. Bo większość z nich należy do Internetu rzeczy.
Zagadkowa śmierć hakera
Już w 2008 r. grupa badaczy prowadzona przez dr. Kevina Fu z Uniwersytetu Michigan opublikowała artykuł dowodzący, że możliwe jest uzyskanie wrażliwych danych personalnych z rozrusznika serca. Naukowcy udowodnili, że nawet można zmienić działanie rozrusznika czy zatrzymać go, zagrażając życiu pacjenta. Ale jest jedno „ale” – trzeba znaleźć się bardzo blisko takiego urządzenia, nie można tego zrobić z większej odległości.
Jeszcze ciekawsze wydarzenia miały miejsce w 2013 roku. Jack Barnaby – bardzo znany nowozelandzki haker i specjalista od cyberbezpieczeństwa – ogłosił, że na konferencji Blackhat Briefings w Las Vegas udowodni, że z odległości 15 m może kontrolować rozruszniki serca, a także pompy insulinowe i inne urządzenia medyczne. Pokaże, że z odległości 9 m można nawet zabić użytkownika takich sprzętów. Informacja zmroziła środowisko osób zajmujących się bezpieczeństwem urządzeń medycznych, bo Barnaby już wcześniej dowodził swojej skuteczności. W 2010 r. na publicznym pokazie zhakował 2 bankomaty i te zaczęły wydawać pieniądze. Do wykładu z pokazem nt. rozruszników jednak nie doszło. Bo 7 dni przed nim, 25 lipca 2013 r., Barnaby... zmarł w swoim mieszkaniu. Pół roku później policja ujawniła, że stało się to z przedawkowania narkotyków. Ale czy sam je sobie podał, czy ktoś mu w tym pomógł?
Trzy lata temu były wiceprezydent USA, Dick Cheney, wyznał w wywiadzie dla CBS News, że jeszcze w 2007 r. zdemontowano bezprzewodowe funkcje w jego rozruszniku serca. Właśnie z powodów bezpieczeństwa. Czyli zagrożenie było nie tylko teoretyczne...
FDA wchodzi do gry
Marie Moe po latach badań i poszukiwań twierdzi, że na razie nie udało się zdalnie – przez Internet – zhakować rozruszników. Ale jej ta informacja nie wystarcza – chciała sama się o tym przekonać. Razem z kolegą zaczęła hakować swój rozrusznik, dokładniej to taki sam zakupiony na eBayu za zebrane od donatorów pieniądze. Dołączyło do nich kolejnych 2 badaczy i teraz w 5 osób hakują rozrusznik w wolnym czasie.
Moe jeździ po świecie i uczula innych badaczy na ten problem. I inżynierów projektujących urządzenia medyczne. W 2015 r. Billy Rios zademonstrował, iż możliwe jest zhakowanie pomp infuzyjnych i zdalne zapodanie pacjentowi śmiertelnej dawki leków. Było to możliwe po stworzeniu update’u oprogramowania. To doprowadziło do pierwszego w historii FDA (Food and Drug Administration – agencja federalna w USA, która dopuszcza do użytku m.in. sprzęt medyczny) wycofania urządzeń medycznych z rynku. I to mimo iż nie zanotowano ani jednego przypadku śmierci pacjenta z powodu nieautoryzowanej ingerencji w software owych pomp. Urządzenia medyczne, które FDA dopuszcza do sprzedaży i użytku w USA nigdy dotychczas nie były wycofywane z użycia bez jednego udokumentowanego przypadku szkody dla pacjenta.
W połowie ub.r. FDA wydała ostrzeżenia dla 465 tys. użytkowników rozruszników marki Abbott nt. ryzyka cyberbezpieczeństwa. – Wszystkie podłączone do sieci urządzenia medyczne są potencjalnie narażone na cyberzagrożenia – głosił komunikat FDA. Agencja stwierdziła, że w przypadku rozruszników Abbotta takie ryzyko istnieje – za pomocą dostępnego na rynku komercyjnego sprzętu i oprogramowania można uzyskać nieautoryzowany dostęp do tych wrażliwych urządzeń medycznych. Dlatego też producent przygotował update oprogramowania, który znacząco minimalizuje ryzyko ze strony hakerów. Użytkownicy tych rozruszników mieli się zgłosić do swoich ośrodków opieki, by tam dokonano aktualizacji oprogramowania. FDA podkreślało w komunikacie, że na razie nie stwierdzono ani jednego przypadku śmierci użytkownika rozrusznika z powodu ataku hakerskiego.
Złam, jeśli potrafisz
Moe potwierdza to, co niedawno ogłosiło FDA – haker nie zabił żadnego użytkownika rozrusznika. Są ofiary, ale błędów konfiguracji, oprogramowania oraz wadliwych działań rozruszników. Ale nadal też nie wykluczono ryzyka cyberataków na rozruszniki. Oprócz prób włamania organizowanych przez swoją grupę badawczą, Moe prowokuje też do takich ataków prawdziwych hakerów. W magazynie „Wired” napisała tekst o wiele mówiącym tytule „Dalej, hakerzy, złamcie mi serce”. Podobnie rękawicę prowokacji rzuca podczas swoich wystąpień w mediach na całym świecie i na TEDx. Bezskutecznie.
Rozrusznik szpiegiem
Kilka milionów Amerykanów z rozrusznikami serca może być spokojnych w kwestii ewentualnych włamań hakerów na ich urządzenia, ale już sprawa sądowa z Ohio z lipca ub.r. może im przyśpieszyć bicie serca w innych kwestiach. 59-letni Ross Compton był podejrzany o podpalenie własnego domu. Ross zaś twierdził, że tego nie zrobił, pożar go obudził i wówczas spakował się szybko i przez wybitą szybę wyskoczył z domu. Trudno było podważyć zeznania podejrzanego – do czasu, gdy okazało się, że Compton nosi w sobie... rozrusznik serca. Sędzia zdecydował, że jako dowód mogą być użyte zapisy z tegoż. Policja dostała sądowy nakaz „przeszukania” tego medycznego urządzenia, by sprawdzić, jak biło serce podejrzanego przed pożarem, w jego trakcie i po nim. Po analizie tych zapisów kardiolog stwierdził, że jest „wysoce nieprawdopodobne”, by w tak krótkim czasie i w swoim stanie fizycznym, Compton mógł tak wiele rzeczy, często ciężkich, spakować i wynieść przed dom. Ergo – przygotował to wcześniej. 59-latka oskarżono o podpalenie. Sprawa odbiła się głośnym echem, bo to pierwszy przypadek, gdy dane z rozrusznika zostały użyte w sprawie kryminalnej przeciwko jego użytkownikowi. I gdy rozrusznik okazał się swego rodzaju… szpiegiem człowieka.
Źródło: „Służba Zdrowia” 6/2018 (czasopismo dostępne wyłącznie w prenumeracie)