Net als andere apparatuur worden ook medische implantaten zoals pacemakers steeds slimmer. Zo zijn deze apparaten in veel gevallen verbonden met de cloud om data van patiënten door te sturen naar artsen en kunnen de apparaten worden geprogrammeerd via speciale programmeerapparatuur, die ‘pacemaker programmers’ worden genoemd. Dit biedt uiteraard allerlei voordelen, maar brengt helaas ook nadelen met zich mee. Zo melden onderzoekers van het beveiligingsbedrijf WhiteScope ruim 8.600 beveiligingsproblemen te hebben ontdekt in een zevental onderzochte pacemakers. Indien kwaadwillenden hier misbruik van maken, kan dit dodelijke gevolgen hebben.
De onderzoekers melden in totaal zeven systemen van vier verschillende fabrikanten onder de loep te hebben genomen. Het gaat om pacemakers, implanteerbare cardioverter-defibrillators, pulse generatoren en hulpmiddelen voor de behandeling van hartritmestoringen. De onderzoekers spreken in alle gevallen over pacemakers en merken op dat het merendeel van deze apparaten dezelfde basiscomponenten bevat: een pacemaker, een monitoringsapparaat voor patiënten, een cloud gebaseerde infrastructuur om data door te sturen naar de arts en een programmeerapparatuur voor het programmeren van de pacemaker.
De programmeerapparatuur voor pacemakers van alle vier de onderzochte fabrikanten wordt ‘gecontroleerd verspreid’. Dit wil zeggen dat de apparaten officieel uitsluitend leverbaar zijn via de fabrikant en door gebruikers na gebruik teruggestuurd moeten worden naar dit bedrijf. In de praktijk blijkt de programmeerapparatuur echter ook te koop te zijn op online veilingwebsites. De onderzoekers stellen dat de apparatuur beschikbaar is voor 500 tot 3.000 dollar. Monitoringsapparatuur voor pacemaker is te koop voor een bedrag variërend van 15 tot 300 dollar, terwijl pacemakers zelf via veiligsites kunnen worden aangeschaft voor 200 tot 3.000 dollar.
De onderzoekers melden in de zeven onderzochte pacemakers in totaal 8.600 bekende beveiligingsproblemen te hebben ontdekt. Dit is mogelijk doordat software op de systemen niet up-to-date wordt gehouden en vaak is verouderd. Met behulp van deze updates worden onder andere beveiligingsproblemen door softwarefabrikanten gedicht. Wie deze updates niet installeert, laat deze beveiligingsgaten wagenwijd openstaan en geeft cybercriminelen vrij spel. In het geval van een pacemaker kan dit dodelijke gevolgen hebben.
WhiteScope meldt daarnaast in twee gevallen patiëntgegevens te hebben aangetroffen op een programmeerapparatuur die via online veilingsites is aangeschaft. Het ging hierbij onder andere om Social Security nummers (de Amerikaanse tegenhanger van het Nederlandse Burger Service Nummer), namen, telefoonnummers en medische gegevens. Deze gegevens stonden onversleuteld opgeslagen op de programmeerapparatuur en waren dus voor iedereen toegankelijk die deze apparatuur in handen wist te krijgen. De onderzoekers stellen dan ook dat ziekenhuizen nauwkeuriger moeten omspringen met medische apparatuur die zij niet langer gebruiken. De data is afkomstig van een groot ziekenhuis dat is gevestigd aan de Amerikaanse oostkust.
Ook opvallend is dat op geen enkele programmeerapparatuur ingelogd hoeft te worden om deze apparatuur te gebruiken. Dit is niet zonder risico, aangezien een dief hierdoor gebruik kan maken van een gestolen apparaat om pacemakers te programmeren. Daarnaast wordt programmeerapparatuur die aan een pacemaker wordt gekoppeld niet geauthentificeerd. Dit betekent dat aanvallers die dergelijke apparatuur in handen krijgen en dichtbij genoeg bij een patiënt met een pacemaker weten te komen de werking van de pacemaker kunnen aanpassen. Ook is het mogelijk met programmeerapparatuur van een bepaalde fabrikant, iedere pacemaker van deze fabrikant te programmeren. Pacemakers kunnen alleen worden geprogrammeerd als zij zich in de nabije omgeving van de programmeerapparatuur bevinden.
De onderzoekers hebben niet bekend gemaakt om welke apparatuur en welke fabrikanten het precies gaat. Dit is een bewuste keuze die moet voorkomen dat patiënten met een pacemaker van deze fabrikanten risico lopen door de publicatie van de onderzoeksresultaten. Wel hebben de onderzoekers contact opgenomen met de fabrikanten en hun bevindingen gemeld, zodat de fabrikanten de problemen kunnen oplossen. Daarnaast zijn de problemen gemeld bij het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), een Amerikaanse overheidsinstantie die beveiligingsproblemen analyseert en partijen hiervoor waarschuwt.
Gezien de overeenkomsten tussen de verschillende onderzochte systemen hoopt WhiteScope dat fabrikanten van pacemakers zullen samenwerken om de digitale veiligheid van hun apparatuur te vergroten. De onderzoekers stellen dat deze fabrikanten zouden moeten concurreren op het gebied van gebruikerservaring en gezondheidsaspecten, en niet moet cybersecurity.
Door: Wouter Hoeffnagel
Bron: WhiteScope