Draadloze medische apparaten zijn bedroevend slecht beveiligd
Met de digitale beveiliging van pacemakers en defibrillators is het erg slecht gesteld, zo toont een studie aan van beveiligingsbedrijf WhiteScope. Voor het onderzoek namen ze toestellen van vier verschillende (en ongenoemde) grote fabrikanten onder de loep. De resultaten laten zien dat fabrikanten van draadloze medische apparaten dezelfde fouten maken op het vlak van veiligheid als vele andere producenten die zich bezighouden met het Internet of Things.
Geen wachtwoord
De onderzoekers stelden onder andere vast dat er meer dan 8.000 gekende kwetsbaarheden in de code-bibliotheken zaten die men gebruikte voor de pacemakers en defibrillators. “Dit laat zien dat er een probleem in de hele industrie is met beveiligingsupdates van software,” aldus WhiteScope. Het grote aantal zwakke plekken in de computercode maakt het idee dat iemand een pacemaker op afstand zou kunnen hacken erg reëel. Tot nu toe zijn er gelukkig nog geen gevallen bekend waar dat effectief is gebeurd.
Een ander aspect dat zorgen oproept is de beveiliging van de medische data die de apparaten registreren. Geen enkele van de onderzochte apparaten gebruikte een versleuteld bestandssysteem, en bij twee van de vier leveranciers was ook de data zelf niet geëncrypteerd. Bij geen van de toestellen was het basisveiligheidsmechanisme van een login en wachtwoord aanwezig: iemand die succesvol een verbinding kan leggen met een medisch apparaat, hoeft geen enkel authentificatieproces te doorlopen.
Tweesnijdend zwaard
[related_article id=”211274″]WhiteScope heeft de fabrikanten op de hoogte gebracht van de zwakke plekken in hun systemen, maar het mag duidelijk zijn dat er nog een behoorlijke inhaalbeweging moet gebeuren om de veiligheid van draadloze medische apparaten als pacemakers op te trekken.
De kwestie is een tweesnijdend zwaard. Je wil als fabrikant natuurlijk liefst niet al te vaak software-updates uitvoeren aan apparaten die direct instaan voor de gezondheid van een persoon, en je wil deze ook zo toegankelijk mogelijk houden als er zich eventueel problemen voordoen. Het is een precaire balans. Het onderzoek toont dat die balans momenteel iets te ver overhelt naar gebruiksvriendelijkheid, ten nadele van de digitale beveiliging van de apparaten.
Met de digitale beveiliging van pacemakers en defibrillators is het erg slecht gesteld, zo toont een studie aan van beveiligingsbedrijf WhiteScope. Voor het onderzoek namen ze toestellen van vier verschillende (en ongenoemde) grote fabrikanten onder de loep. De resultaten laten zien dat fabrikanten van draadloze medische apparaten dezelfde fouten maken op het vlak van veiligheid als vele andere producenten die zich bezighouden met het Internet of Things.
Geen wachtwoord
De onderzoekers stelden onder andere vast dat er meer dan 8.000 gekende kwetsbaarheden in de code-bibliotheken zaten die men gebruikte voor de pacemakers en defibrillators. “Dit laat zien dat er een probleem in de hele industrie is met beveiligingsupdates van software,” aldus WhiteScope. Het grote aantal zwakke plekken in de computercode maakt het idee dat iemand een pacemaker op afstand zou kunnen hacken erg reëel. Tot nu toe zijn er gelukkig nog geen gevallen bekend waar dat effectief is gebeurd.
Een ander aspect dat zorgen oproept is de beveiliging van de medische data die de apparaten registreren. Geen enkele van de onderzochte apparaten gebruikte een versleuteld bestandssysteem, en bij twee van de vier leveranciers was ook de data zelf niet geëncrypteerd. Bij geen van de toestellen was het basisveiligheidsmechanisme van een login en wachtwoord aanwezig: iemand die succesvol een verbinding kan leggen met een medisch apparaat, hoeft geen enkel authentificatieproces te doorlopen.
Tweesnijdend zwaard
[related_article id=”211274″]WhiteScope heeft de fabrikanten op de hoogte gebracht van de zwakke plekken in hun systemen, maar het mag duidelijk zijn dat er nog een behoorlijke inhaalbeweging moet gebeuren om de veiligheid van draadloze medische apparaten als pacemakers op te trekken.
De kwestie is een tweesnijdend zwaard. Je wil als fabrikant natuurlijk liefst niet al te vaak software-updates uitvoeren aan apparaten die direct instaan voor de gezondheid van een persoon, en je wil deze ook zo toegankelijk mogelijk houden als er zich eventueel problemen voordoen. Het is een precaire balans. Het onderzoek toont dat die balans momenteel iets te ver overhelt naar gebruiksvriendelijkheid, ten nadele van de digitale beveiliging van de apparaten.