Een tweetal studies toont aan dat security niet hoog op de agenda staat bij veel fabrikanten van medische devices. In een enquête onder individuele werknemers in dit werkveld zegt slechts een kwart dat patiënten en clinici adequaat beschermd zijn. Een studie die specifiek naar de beveiliging van pacemakers kijkt, bevestig dat er grote gaten in de security zitten.
De enquête werd uitgevoerd door het Ponemon Institute, een gespecialiseerd onderzoeksbureau, in samenwerking met Synopsys. Ongeveer 240 werknemers bij fabrikanten en 260 bij zorgverleners vulden de vragenlijst in, het merendeel bij grote organisaties.
De resultaten zijn ontluisterend. Bij de fabrikanten noemt twee derde van de respondenten een succesvolle aanval op hun device de komende twaalf maanden ‘waarschijnlijk tot zeer waarschijnlijk’. Sterker nog, 39 procent van hen zegt op de hoogte te zijn van een succesvolle aanval. Toch zegt slechts zeventien procent significante maatregelen te nemen om dit te voorkomen.
Als reden wordt aangevoerd dat het gewoon erg lastig is om devices goed te beschermen. Beveiliging wordt nauwelijks gestuurd door het toepassen van best practices maar door requirements – die makkelijk wijken onder tijdsdruk. Bovendien geeft een meerderheid eerder prioriteit aan de beveiliging van andere data- en it-systemen.
Device lifecycle management for fleets of IoT devices
Microchip gives insight on device management, what exactly is it, how to implement it and how to roll over the device management during the roll out phase when the products are in the field. Read more. .
Pacemakers nauwelijks beveiligd
Hoe zich dat vertaalt naar de praktijk blijkt uit de studie van security-onderzoekersbureau Whitescope naar pacemakers en aanverwante devices (icd’s, hartritmemanagementsystemen). Whitescope nam zeven systemen van vier verschillende fabrikanten onder de loep, dat wil zeggen, de devices zelf en de bijbehorende apparatuur om ze uit te lezen (thuismonitoringsapparatuur) en in te stellen (programmers). Via Ebay waren die makkelijk te verkrijgen.
In geen van de gevallen bleek authenticatie toegepast te worden; iedereen kan een programmer gebruiken en het apparaat kan elke willekeurige pacemaker van het desbetreffende type instellen. Toen de onderzoekers in de systemen zelf doken, bleek daar nog veel meer mis. Software was relatief makkelijk te reverse-engineeren omdat er geen encryptie of obfuscatie werd toegepast, en in enkele gevallen was er zelfs debug-informatie in de productiecode achtergebleven. Jtag- en uart-aansluitingen bleken alom aanwezig, informatie was onversleuteld te vinden op de opslagmedia – inclusief patiënteninformatie.
Daarnaast maakt software veelvuldig gebruik van verouderde externe bibliotheken en platforms. De onderzoekers troffen op de externe apparaten onder meer Windows XP en Dos aan, en zelfs OS/2. Doordat de externe software niet wordt geüpdatet, zijn er duizenden bekende kwetsbaarheden te vinden in de apparaten.