Hospitalernes medikoudstyr kobles på nettet: Øger sårbarhed over for cyberangreb

Illustration: MI Grafik
Patienter risikerer at blive udsat for cyberangreb, når medicinsk udstyr forbindes med omverdenen. Nye supersygehuse skal stille større krav til leverandører, lyder det fra eksperter.

For fem år siden chokerede en episode af den amerikanske tv-serie ‘Homeland’ seere verden over.

Den viste, hvordan en gruppe terrorister havde fremskaffet ID-nummeret på den amerikanske vicepræsidents pacemaker og brugte det til at hacke pacemakeren, så den udsendte elektriske chokbølger, der udløste et hjerteanfald.

Men kan den slags futuristiske terrorangreb reelt ramme i dagens Danmark?

Ja, er det korte svar, hvis man spørger amerikanske Joshua Corman, it-sikkerhedschef hos software-virksomheden PTC og stifter af sikkerhedsorganisationen I Am The Cavalry, der især fokuserer på internetopkoblede enheder i biler, medicinsk udstyr og i offentlige byrum. Altså det, vi i dag kender som Internet of Things (IoT).

»Vi har dræbt tre mennesker virtuelt i Phoenix, Arizona, for at vise, hvor alvorlige konsekvenser det kan have at opkoble medicinsk udstyr til internettet. Vi fik kontrol over en patients pacemaker og fik den til at give stød hele tiden, hvilket kan forårsage et hjertestop. Normalt kan man få pacemakeren tilbage i normal tilstand ved at placere en magnet over hjertet, men den funktion havde vi også frakoblet,« fortæller Joshua Corman.

Han fortæller, at sundhedspersonalet ikke anede, hvordan de skulle håndtere det ondsindede angreb, og løb forvirrede rundt på operationsstuen.

»Lægerne vidste ikke, hvad de skulle gøre, og endte med at kortslutte pacemakeren fysisk, hvorefter patienten døde.«

Ikke kun teori

Selvom cyberangrebet på hospitalet i Phoenix kun var en øvelse, så har eksperimentet givet anledning til bekymring, i takt med at mange forskellige typer medicinsk udstyr kommer online.

Og øvelsens skrækscenarie er ikke grebet ud af den blå luft.

Sidste år måtte de amerikanske myndigheder tilbagekalde 465.000 pacemakers af mærket St. Jude, da der var behov for en softwareopdatering for at undgå, at udefrakommende kunne sikre sig adgang til at kontrollere pacemakerens indstillinger.

Ifølge den amerikanske lægemiddelmyndighed, FDA, var det nemlig muligt at hacke sig ind i de mange pacemakere med helt almindeligt tilgængeligt udstyr.

Den populære trådløse infusionspumpe Medfusion fra virksomheden Smiths Medical, der bruges til at dosere medicin, er også kommet i søgelyset, efter at man har fundet otte sårbarheder i pumpen.

Blandt andet kræver FTP-serveren på pumpen ikke autentifikation, hvilket kan give udefrakommende adgang til at ændre i medicindoseringen til patienter.

For to år siden måtte medikoproducenten Johnson & Johnson advare mod sårbarheder i virksomhedens insulinpumpe OneTouch Ping, som kunne hackes via en usikker wifi-forbindelse.

»Internet of Things-enheder og platforme skal behandles anderledes end traditionel it. Konsekvenserne ved nedbrud er store, levetiden er op til 30 år, og personalet, der håndterer udstyret, har ikke en it-faglig baggrund,« siger Joshua Corman.

Danske regioner køber stort ind

I Danmark er der endnu ingen kendte eksempler på cyberangreb mod medicinsk udstyr.

Langt størstedelen af det medicinske udstyr på landets hospitaler er da heller ikke koblet online og er derfor ikke udsat for cybertrusler.

Men i disse år bliver der indkøbt for milliarder af kroner nyt udstyr til de seks nye supersygehuse, der bygges i Aarhus, Aalborg, Odense, Herning, Køge og Hillerød.

Faktisk går op mod 25 procent af supersyge­husenes etableringsbudgetter til indkøb af ny teknologi.

I Region Syddanmark er man netop nu i gang med at købe en dataopsamlingsplatform, der skal samle data fra medicinsk udstyr.

I første omgang skal 1.500 forskellige fysiske enheder forbindes, og det tal forventes at stige til 9.000 i løbet de kommende syv år.

I Region Hovedstaden har man i dag flere lignende systemer, blandt andet en integrationsplatform, der gør det muligt at hente data fra godt 2.000 enheder og integrere disse data i Sundhedsplatformen.

Hos konsulentvirksomheden Genau & More, der arbejder med producenter af lægemidler og medicinsk udstyr og blandt andet rådgiver de danske regioner og sygehuse i arbejdet med at validere it-løsninger, oplever man ofte, at sygehusene bliver ladt alene med deres nyindkøbte robotter, medikoudstyr eller it-systemer, når udstyret skal valideres efter dansk lægemiddel­lovgivning, fortæller seniorkonsulent og adm. direktør Henrik Johanning:

»Det er de offentlige sygehuses ansvar, at det indkøbte udstyr overholder lovgivningen og er sikkert. Men vi oplever, at mange ikke får stillet de rigtige krav til leverandørerne, når de sender opgaver i udbud. Det er vigtigt, at leverandørerne tager et medansvar for, at udstyret eksempelvis sikkerhedspatches sikkert og under ændringskontrol. Vi skal sikre, at robotten efter patchningen stadig fungerer som tilsigtet, og ikke f.eks. begynder at dosere forkert. En kemo-robot skal dosere lige præcis det, lægen har ordineret, hverken mere eller mindre,« siger Henrik Johanning.

Standarder sakker bagud

Han mener også, at leverandørerne i højere grad burde tage et ansvar for, at deres løsninger allerede ved levering lever op til de grundlæggende krav, som myndighederne stiller til den givne løsning.

»Mange udstyrsproducenter har oprindeligt udviklet teknologi til andre brancher og er ikke vant til at arbejde med de ekstra skrappe standarder, der findes i mediko-branchen til eksempelvis dataflow. Der er stor forskel på at udvikle en robot til en fremstillingsvirksomhed og så en robot, der håndterer medicin. Det er patienters liv, der er på spil,« fortæller Henrik Johanning.

Ifølge sikkerhedseksperten Joshua Corman er det ikke nok at læne sig op ad de internationale standarder inden for cybersikkerhed.

»Der er mange standarder inden for cybersikkerhed, men fælles for de fleste er, at de er født ud af en forestilling om, at cyberkriminelle kun har et økonomisk rationale. I dag findes der et utal af andre motiver – statslig spionage, såkaldte scriptkiddies, der tester grænser, og mange andre. For det andet tager det ofte mellem seks og syv år, fra ideen til en standard fostres, til den er godkendt, og det er ofte længere tid, end meget software bliver understøttet,« siger Joshua Corman.

Han understreger at man ikke kan fjerne risikoen for cyberangreb, men at hospitaler skal være klare i spyttet, når de køber medicinsk udstyr.

»Som minimum kan man begrænse risikoen for skader ved at tillade såkaldte whitehats (sikkerhedseksperter, der hyres til at angribe it-systemer for at teste sårbarheder, red.) at teste det medicinske udstyr, ligesom man skal stille krav om løbende sikkerhedsopdateringer og ikke acceptere faste kodeord til udstyret,« siger Joshua Corman.

Denne artikel stammer fra den trykte udgave af avisen Ingeniøren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

... at få nogle kommentarer fra de ansvarlige? Er de ikke opmærksomme på farerne? Bagatelliserer de dem (som sædvanligt)? Mener de, at sikkerheden er god nok? Hvad vil de gøre ved problemet? Bliver patienterne oplyst om risiciene ved udstyr på nettet - sådan som man er forpligtet til at oplyse om bivirkninger ved medicin og andre behandlinger?

Hvilke regioner har mest IoT-udstyr? Hvilke har flest planer i den retning?

Nicolaj Rosing

Jeg er ikke helt enig i at det er de internationale standarder der sakker bagud. UL 2900, opdateringer til ICE 62304 og FDA Postmarket management of cybersecurity in MD er eksempler på branchens nyeste tiltag og flere er på vej (MDS2 forventes snart at komme i version 2 nu som en ANSI standard). Det er nok snarere det forhold at de medico producerende virksomheder ikke kan følge med. Udviklingen af medicinsk udstyr tager uendelig lang tid sammenlignet med udviklingen af resten af IT branchen. Noget så elementært som sikkerhedsopdatering af operativ systemer er svært. NHS blev halvvejs lagt ned af WannaCry sidste år selvom MS allerede havde lukket sårbarheden i SMB tidligere. Det der er brug for er en forståelse for og samarbejde imellem producenter, myndigheder og hospitaler for at dette er et vigtigt element i sikring af patientsikkerhed og at det skal prioriteres når der lægges budgetter. Sikkerhed er IKKE omkostningsfrit.

Jan Heisterberg

Det er et stort og kompliceret område, og det nytter ikke at "male med den brede pensel".

Overskriften taler om hospitalernes netværk og sammenkoblingen med forskelligt udstyr. Risikoen er her, at en virus eller lignende, kan smitte it-systemet og lave kaos eller direkte livstruende ændringer.
Her skulle man tro, at hospitalssystemet kunne isoleres 100% fra det offentlige internet (som Forsvaret gør). Desuden skal alle benyttede naturligvis også "kastreres", så e.g. USB-sticks og lignende IKKE kan medføre smitte; samtidigt skal enhver netværksforbundet enhed naturligvis også udelukkes fra at være smittebærer.

Alle forbundne enheder, flere er nævnt i artiklen, kan naturligvis være fejlbehæftede på en række måder - lige fra komplicerede samspilsfejl til direkte tåbelig programmering. Den eneste løsning her er vel kvalitets- og certificeringsaktiviteter. Ulempen kan være enorm fordyrelse eller uhensigtsmæssig forsinkelse af åbenlyst brugbare, nødvendige, apparater. Men sådanne godkendelser kendes for lægemidler; det her er ikke anderledes.

MEN hvis hospitalernes it-tekniske ledelse ikke har vilje, evner og midler til at imødegå disse trusler, så skal der - bogstaveligt talt - lig på bordet !
Det svage led vil fortsat være brugerne, som "lige" skal printe et billede af børn på afddelingens farveprinter - fra egen USB-stick ELLER som laver uautoriserede (og mulige) shortcuts i dagens arbejde.

Glem så ikke hackerne, eller onde lande, som bevidst vil skabe kaos.

Michael Cederberg

Her skulle man tro, at hospitalssystemet kunne isoleres 100% fra det offentlige internet (som Forsvaret gør). Desuden skal alle benyttede naturligvis også "kastreres", så e.g. USB-sticks og lignende IKKE kan medføre smitte; samtidigt skal enhver netværksforbundet enhed naturligvis også udelukkes fra at være smittebærer.

Det er en illusion at man kan gøre det for store netværk. Der vil altid være nogen der i den bedste mening forsøger at komme udenom fordi de har et problem hvor IT organisationen er for lang tid om at håndtere det. Og hvis vi en dag står i en reel krigssituation, så vil vi opdage at disse netværk er kompromitteret på anden vis.

Så det kan være fint nok at forsøge at isolere sig fra resten af verden, men det vigtigste man kan gøre er at segmentere netværk sådan at et problem et sted ikke spreder sig over det hele. Når det gælder medico så vil det fornuftige ofte være at hvert apparat får sit eget netværk fordi disse apparater næsten altid bruger oldgammelt software.

Jan Heisterberg

Det er klart (for mig) at "kreative brugere" altid vil være et svagt punkt i en it-installation / -løsning.
Men enhver ansat i sundhedsvæsenet kender begrebet hygiejne OG kunne forhåbentlig ikke undlade at ...... eller genbruge ......
Så med den analogi BURDE det være muligt at forstå at e.g. USB-sticks er lige så no-no, som genbrug af kanyler og ......

Med hensyn til isolation af netværk, så er det - nøjagtig som karantæne eller isolation af patienter. Det er den ENESTE mulighed for at begrænse inficering af it-systemer. Det forhold at der er gamle, måske usikre, apparater tilkoblet, indfører jo IKKE it-virus - det gør bare apparatet udsat såfremt en it-virus skulle slippe ind.
Det er selvklart, at segmentering - præsis som ved patientisolation - er helt nødvendig. Hele Region Hovedstaden OG Region Sjælland behøver jo ikke gå i "sort" fordi der er en hændelse i Næstved ......

Det er i forbindelse med hele dette emne værd at læse forskellige kilder om den påståede inficering af Iran's urancentrifuger med en it-virus (Struxnet). Læs https://en.wikipedia.org/wiki/Stuxnet og andre kilder.
Man må tro Iran forsøgte at beskytte sig, men aligevel - hvis historien er sand - lykkedes det via netværk, USB-sticks eller på anden måde at inficere.

Det er meget muligt at segmentering, isolation af netværket og kastrering af diverse PCer IKKE er en tilstrækkelig løsning, men det er ganske sikkert og ihvertfald en nødvendig del af løsningen.
Hvortil kommer uddannelse i it-hygiejne.....

Michael Cederberg

Så med den analogi BURDE det være muligt at forstå at e.g. USB-sticks er lige så no-no, som genbrug af kanyler og ......

Vi havde her på sitet en laaaaang tråd omkring en vicedirektør på Bispebjerg og Frederiksberg Hospitaler. Han mente at "Hemmeligheden bag at få hospitalsbyggeri til at møde budget og tidsplan er blandt andet at smugle moderne it-tilgang ind bag ryggen på it-afdelingen." citat

Og sådan vil det altid være ... med mindre folks primære job er sikkerhed (læs forsvaret, politiet, etc.). Hvis man bliver målt på at optimere hospitaler, så er sikkerhed en biting. Hvis man måles på at holde Putin ude, så er fokus på sikkerheden et hel andet.

Log ind eller Opret konto for at kommentere