Hoe hackers ons in het hart raken

Iemand zet op afstand je pacemaker op tilt. Is dat een horrorscenario uit de sciencefiction of een reële mogelijkheid?

Nee, de voormalig vicepresident van de Verenig de Staten had niet te veel naar Homeland gekeken, die Amerikaanse serie waarin een hooggeplaatste politicus om het leven komt doordat zijn pacemaker wordt ontregeld. Want toen Dick Cheney in 2007 zijn arts vroeg de draadloze verbinding van zijn pacemaker uit te schakelen, moest de eerste aflevering van Homeland nog worden uitgezonden.

Cheney was bang, vertelde hij twee weken terug tegen CBS News, dat zijn pacemaker gehackt zou kunnen worden door politieke tegenstanders. Die zouden het apparaat kunnen gebruiken om zijn hart op hol te laten slaan.

Is Dick Cheney paranoïde? Eigenlijk niet.

Eerst maar het slechte nieuws: medische implantaten zijn kwetsbaar voor aanvallen van hackers, voornamelijk omdat ze nauwelijks beveiligd zijn. Het goede nieuws: een succesvolle aanval als in Homeland vergt veel kennis en uitgebreide voorbereiding. En dan toch weer slecht nieuws: over vijf jaar is het hacken van medische implantaten waarschijnlijk een stuk eenvoudiger dan nu.

Dat zegt Jeroen Slobbe, voormalig student computerwetenschap aan de TU Eindhoven en nu verbonden aan Deloitte als veiligheidsspecialist. Slobbe deed aan de technische universiteit onderzoek naar de kwetsbaarheden van medische implantaten. Zijn conclusie: apparatuur die medische implantaten programmeert, kent tal van kwetsbaarheden die in de handen van kwaadwillenden mogelijk levensbedreigend zijn. Of minder diplomatiek geformuleerd: ze zijn zo lek als een mandje.

Er is trouwens een goede reden waarom implantaten nauwelijks beveiligd zijn: in geval van nood moeten hulpverleners snel toegang kunnen krijgen tot een apparaat. 'Je moet er niet aan denken dat een patiënt overlijdt doordat een arts zijn 28-cijferige wachtwoord is vergeten en daardoor geen toegang krijgt', zegt Slobbe.

Anderzijds bestaat de beveiliging er nu vooral uit dat specialistische apparatuur nodig is om toegang te krijgen tot een implantaat. Wie de beschikking heeft over zulke apparatuur, kan in theorie de instellingen van het implantaat aanpassen, waardoor het bijvoorbeeld het hartritme dusdanig kan ontregelen dat de patiënt overlijdt.

Andere risico's liggen op het gebied van privacy. De software van sommige implantaten bevat informatie over de drager, zoals persoonsgegevens, maar ook de diagnose van de ziekte waaraan hij lijdt. Het lekken van deze informatie kan ertoe leiden dat iemand zijn baan verliest of een hogere verzekeringspremie moet opbrengen.

In het verleden is diverse keren aangetoond dat medische apparaten zijn te kraken. Slobbe vroeg zich tijdens het schrijven van zijn scriptie af of er inmiddels verbeteringen waren aangebracht en vroeg drie grote fabrikanten om medewerking aan een onderzoek naar de beveiliging. Die weigerden ze. Fabrikanten noemden de mogelijkheid tot hacks theoretisch. Door het ontbreken van een motief zouden hackers niet geïnteresseerd zijn in implantaten.

Zo'n motief is er wel. Uit een onderzoek van de universiteit van Georgië blijkt dat patiëntgegevens op de illegale markt 50 euro per persoon kunnen opleveren, flink meer dan er wordt neergeteld voor creditcardinformatie. Slobbe heeft aanbiedingen gezien, al zegt hij niet te weten wie zulke informatie koopt.

Sandro Etalle, hoogleraar embedded systems security aan de TU Eindhoven, vreest ook dat een verdienmodel bestaat. Etalle is gespecialiseerd in de beveiliging van scadasystemen, regelsystemen voor grote industriële processen zoals energiecentrales en de bediening van bruggen en sluizen. Kritische processen die 24 uur per dag draaien. De ontdekking van Stuxnet in 2010 - een virus waarmee het Iraanse uraniumverrijkingsprogramma werd gesaboteerd - maakte in een klap duidelijk hoe kwetsbaar deze systemen zijn, zegt Etalle. 'Op dat moment werd ook in een keer een motief voor hackers duidelijk, namelijk het ontregelen van landen. Met het hacken van scadasystemen kun je oorlogvoeren zonder die te verklaren.'

Dat er geen business case lijkt voor het hacken van medische systemen, zegt daarom weinig, zegt de hoogleraar. Hij ziet grote overeenkomsten tussen de beveiliging van scadasystemen en implantaten. In 2005 was men uitsluitend in academische kring bezig met de veiligheid van scada, stelt Etalle. Verder had niemand het erover. Na Stuxnet was iedereen zich er ineens van bewust dat er werkelijk een groot probleem was.

Opmerkelijk is dat vanaf dat moment ook meteen veel meer hacks werden uitgevoerd op scadasystemen. Zo bestaat het programma Metasploit, waarmee geautomatiseerde aanvallen uitgevoerd kunnen worden. Metasploit zoekt naar openstaande computerpoortjes en kijkt welke software daarachter draait. Vervolgens kan deze specifieke software aangevallen worden. Het is zeker mogelijk om met Metasploit systemen neer te halen, zegt Etalle.

Een vergelijkbaar patroon voorziet hij bij medische apparatuur. 'Pas na een groot incident zal er bewustwording komen.' Het grootste gevaar schuilt in de backofficesystemen, zegt Etalle. Dus niet in de implantaten of MRI-scanners zelf, maar in de desktopcomputers in ziekenhuizen. Deze zijn vaak kwetsbaar - zeker als ze draaien op oudere besturingssystemen zoals Windows XP. Een lek in deze systemen kan krakers indirect toegang geven tot implantaten. Dat deze systemen geregeld ten prooi vallen aan virussen bewijzen de artikelen die regelmatig in de media verschijnen.

Een ander risico vormen de programmer devices, zegt Jeroen Slobbe. Dit zijn de apparaten die medici gebruiken om implantaten te programmeren. Deze apparaten worden soms gestolen uit ziekenhuizen en ze worden online te koop aangeboden. Met een programmer device kunnen kwaadwillenden in principe toegang krijgen tot implantaten.

Slobbe heeft voor zijn studie met een programmer device geëxperimenteerd. In het apparaat bleek dat het risico op ongeoorloofde toegang tot een implantaat zeer groot was. Het was mogelijk om het implantaat met de programmer een dodelijke werking te geven. Slobbe vond zes kwetsbaarheden met betrekking tot het lekken van data. Er werd een kwetsbaarheid ontdekt met betrekking tot onverwacht gedrag van het apparaat. Alle gevonden kwetsbaarheden herbergen volgens hem een hoog risico.

De Amerikaanse Food and Drug Administration concludeerde in juni van dit jaar dat veel medische systemen kwetsbaar zijn voor cyberaanvallen en riep fabrikanten op meer werk te maken van de beveiliging. Er zijn bij de toezichthouder nog geen incidenten gemeld waarbij patiënten gewond zijn geraakt of zelfs zijn overleden als gevolg van deze veiligheidsproblemen.

Slobbe heeft geen aanwijzingen dat in Nederland een hack van medische systemen heeft geleid tot problemen bij dragers van implantaten. Ook de Inspectie voor de Gezondheidszorg heeft geen meldingen ontvangen. Van twee fabrikanten die zijn benaderd om meer informatie over de beveiliging van hun implantaten kwam een met de schriftelijke reactie dat het bedrijf er alles aan doet om de beveiliging van zijn producten te waarborgen. Slobbe zegt een toenemende bereidheid te bespeuren bij fabrikanten om in gesprek te gaan over veiligheid.

Moeten dragers van een implantaat dat draadloos kan communiceren zich zorgen maken? Slobbe van Deloitte denkt van niet. De kans op een succesvolle aanval is nu niet erg groot, vanwege de vele factoren en de complexe technologie. Hij benadrukt dat hij geen angst wil zaaien onder dragers van implantaten. 'Ik wil het James-Bondgevoel rond dit onderwerp wegnemen. Er zijn risico's en kwetsbaarheden, maar we gaan niet de afgrond in. Al moet de industrie er nu wel mee aan de slag.'

BARNABY JACK

Een van de bekendste hackers van medische systemen was Barnaby Jack. De Nieuw-Zeelander hackte tijdens een conferentie van virusbestrijder McAfee in 2011 de insulinepomp van een vriend. Jack kon de complete bediening overnemen en was in staat een dodelijke hoeveelheid insuline toe te dienen. Tijdens een beveiligingsconferentie in Melbourne een jaar later liet hij zien hoe een pacemaker een dodelijke schok kan uitdelen. Een week voordat de 35-jarige Jack dit jaar een nieuwe demonstratie zou geven over het hacken van implantaten, werd hij dood gevonden in een appartement in San Francisco.

VIRUSSEN BETRAPPEN

Medische apparatuur valt geregeld ten prooi aan kwaadaardige software. Hoewel veel van deze apparatuur draait onder een variant van Windows, kun je er vaak niet even een antivirusprogramma op zetten, zegt Shane Clark van de universiteit van Massachusetts. Dit komt doordat de besturingssystemen meestal zijn aangepast. Om toch virussen te kunnen detecteren, ontwikkelde Clark een methode die kijkt naar het stroomverbruik van de apparatuur. Als dit plotseling verandert, kan dat duiden op extra processoractiviteit, wat weer kan wijzen op een virus. Als dat gebeurt, kan het apparaat tijdelijk worden losgekoppeld van het netwerk, waardoor mogelijk wordt voorkomen dat andere apparatuur besmet raakt.

undefined

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden