SINTEFIKT 1

MarieMoe,PhD,ForskervedSINTEFIKT,Systemutviklingogsikkerhet

MedhjertetpåInternettSikkerhetidetmedisinskeIoT

@MarieGMoe@SINTEF_Infosec

Oslo18.april 2016

SINTEFIKT 2

Dagens Næringsliv Magasinet 9.januar 2016

SINTEFIKT

Hjertets elektriske system

3

SINTEFIKT

Pacemaker

https://www.youtube.com/watch?v=-f2FKmMneXY

SINTEFIKT

Nyeste generasjon pacemaker

5

SINTEFIKT

Ienganskenærfremtid...

https://www.youtube.com/watch?v=ZiQJIpd2n8k

SINTEFIKT 7

Fremtiden er nå

https://youtu.be/JzjXLtR5vkE?list=PLI6tVViVpg8gwKwWjYl8MOMUK8b0Rmm6v

SINTEFIKT

Det”medisinskeInternet of Things”

Nårsensorsystemeneimplanteresikroppenmåvibeskyttevårpersonligekritiskeinfrastruktur!

SINTEFIKT

Pacemaker/ICDProgrammer

Homemonitoringunit

CellularorTelephoneNetwork Webportal

Inductivenearfieldcommunication

MICS/ISM

POTS/SMS

SINTEFIKT

Hva kan gå galt?

Sårbarheter i pacemakeren?

Sårbarheteriaksesspunktet?

Kanvistolepåmobilnettet?

Erleverandørensserver/skytjenestesikret?

Sårbarheter i web-portalen?Menneskelige feil?

SINTEFIKT

Mulige konsekvenser

11

• Pasientinformasjon på avveie• Tømming av batteri• Feiltilstander og feilkonfigurasjon• Livstruende feilbehandling• Trusler og utpressing

SINTEFIKT

Utfordringerforsikkerhetimedisinskutstyr

• Proprietæreløsningerutenvelkjenteogstandardiserteprotokoller• Leverandørkreverhullibrannmurforfjerntilgang• Standardellerhardkodedepassord,dårlignøkkelhåndtering• Ikkeimplementerttilfredsstillendemekanismerellerrutinerforsoftware-oppdatering• Detfysiskeproduktetharlanglevetidogblirhengendeetteriforholdtilnye

sikkerhetsmekanismerogutviklingenitrusselbildet• Produktersomtradisjoneltharfungertilukkedemiljøkoblespånett• Mangelfullreguleringoglovverk• Lavbruker- ogbestillerkompetanse

SINTEFIKT

Mankan ikke alltid stolepå utstyrsleverandøren…

13

SINTEFIKT

Hva skjer medminpasientdata i skyen?

14

SINTEFIKT

Enveldiglangtrapp...

SINTEFIKT

Når det som står på skjermen ikke stemmer…

SINTEFIKT

Fordelene utveier ulempene!

17

SINTEFIKT

JayRadcliffe:Hacket sinegen insulinpumpe

18

SINTEFIKT

HugoCampos:Tilgang til egen datafra ICD

19

SINTEFIKT

Dr. KevinFu:Forsker på sikkerhet i pacemakere/ICDer

20

SINTEFIKT

Noen referanser

Pacemakere:• KevinFuetal:

– Pacemakersandimplantablecardiacdefibrillators:Softwareradioattacksandzero-powerdefenses (2008)– MitigatingEMIsignalinjectionattacksagainstanalogsensors(2013)

• BarnabyJack

Annet medisinsk utstyr:• Hardkodede passord og “medicaldevicehoneypots”(ScottErven)• Insulinpumper(JayRadcliffe)• Medisinpumper(BillyRios)

21

SINTEFIKT

Første eksempel på tilbaketrekking pga cybersikkerhet

22

SINTEFIKT 23

http://www.fda.gov/NewsEvents/Newsroom/PressAnnouncements/ucm481968.htm

SINTEFIKT

Hvordanfåbedresikkerhet?• Cybersafety-by-design:Sikkerhetiprogramvareutviklingsløpetformedisinskutstyr

hosprodusenterogiheleleverandørkjeden• Bevissikring: Bevissikringogloggingvilkunnebrukesihendelseshåndteringog

etterforskningietterkantavenhendelsedermedisinskeimplantatkanhablittutsattforcyberangrep

• Testing:Metodikkogrammeverkfortredjepartstesting• Patching: Løsningerforraskogsikkerpatching avsårbarheterogsikkerhetshulli

medisinskeimplantat• Resilience:Hvordansørgeforatkomponenteridetmedisinskeimplantatetfortsetter

åleverekritiskpasientbehandlingogsåunderfeiltilstanderellerforsøkpåangrep

SINTEFIKT

SINTEFIKT

SINTEFIKT

Våravhengighetavsystemersomstyresavprogramvareøkerraskereennvårevnetilåsikresystemene

• Utstyrsprodusentermåbyggeinnsikkerhetiproduktene• Brukeremågjøreegnerisikoanalyserogfølgemedpåutviklingenirisikobildet• Vimåinnseatdetvilgågalt,ogplanleggefordette• Meruavhengigforskningogtredjepartstestingtrengs• Standardisering,ansvarsavklaringogbedrelovregulering

27

Konklusjon

TakktilÉireann Leverett (@blackswanburst)

TonyNaggs (@xa329)GunnarAlendal (@gradoisageek)

HugoCampos (@HugoOC)ScottErven (@scotterven)

Alexandre Dulaunoy (@adulau)ClausCramon Houmann (@ClausHoumann)

JoshuaCorman (@joshcorman)BeauWoods(@beauwoods)SuzanneSchwartz(USFDA)

Familie &venner

SINTEFIKTSINTEFIKT

Takkforoppmerksomheten!

marie.moe@sintef.nohttp://infosec.sintef.nohttp://iamthecavalry.org

@MarieGMoe@SINTEF_Infosec