Medische moord

Enkele technisch-medische hulpmiddelen blijken gehacked te kunnen worden. De fabrikanten onderkennen dat nog maar mondjesmaat, zegt Karin Spaink in deze bijdrage (ook te lezen in het Parool).

Ook insulinepompen zijn te hacken. Eerder deze maand toonde Jay Radcliffe aan dat buitenstaanders de hoeveelheid insuline die een pomp afgeeft, met behulp van een speciale afstandsbediening kan worden verhoogd of verlaagd. Zo’n pomp is in iemands lichaam ingebouwd; de enige manier om van buitenaf tegen het ding te ‘praten’ – bijvoorbeeld om uit te lezen hoe het met drager ervan of met het apparaat zelf is gesteld – verloopt via een wifi-verbinding.

Radcliffe toonde overtuigend aan dat de pomp slecht is beveiligd en dat zodoende ook buitenstaanders op afstand commando’s kunnen geven: een hack met potentieel dodelijke gevolgen.

Ik kon me ogenblikkelijk allerlei griezelige scenario’s voorstellen. Politieke tegenstanders die elkaar uitschakelen met zo’n medische moord, geheime diensten die geheime operaties doen, maffiabazen die de concurrentie willen uitschakelen. Je hoeft maar kort in de buurt van je opponent te zijn, en niemand die na een insulline-insult aan moord denkt.

Radcliffe, die als beveiligingsdeskundige bij IBM werkt, was doelbewust terughoudend over zijn werkwijze. Hij wilde zelfs niet kwijt om welk type pomp het ging, eerst wilde hij met de fabrikant praten. Zijn voorzichtigheid was begrijpelijk: Radcliffe is zelf diabeet, en die pomp zit in zijn eigen lichaam.

Toen de fabrikant echter Oost-Indisch doof bleef en elk contact met ontweek, maakte Radcliffe alsnog bekend wie de maker was. Het ging om Medtronic, zo ongeveer ’s werelds grootste leverancier van insulinepompen.

Nog reageerde het bedrijf niet. Pas toen journalisten begonnen te bellen en ook de Amerikaanse overheid aandrong op een gesprek, kwam er commentaar. ‘Dragers kunnen de wifi van de pomp ook uitzetten, hoor,’ zei Medtronics. Dat is waar, zei Radcliffe, maar dat beschermt ze niet tegen deze specifieke hack. Het probleem zit namelijk dieper.

Nu ja, zei Medtronics toen, we zullen zien of we het probleem in latere modellen kunnen verhelpen. Met encryptie, ofzo. Dat zou mooi zijn, antwoordde Radcliffe, maar eh, de bestaande pompen dan? Alleen al in de VS dragen ruim twee miljoen mensen zo’n ding! Medtronic deed er prompt opnieuw het zwijgen toe.

Extra pijnlijk is dat eenzelfde hack al in 2008 is uitgevoerd en indertijd breed is uitgemeten. Het ging toen om pacemakers. Het betrof precies dezelfde kwetsbaarheid: gebruik maken van de ingebouwde wifi van het apparaat. En ook toen ging het om Medtronics.

Radcliffe is inmiddels overgestapt op een pomp van Johnson & Johnson. Hij vertrouwt Medtronics niet meer.

  1. 1

    Ik kan de link niet meer vinden, maar ik kan me een verhaal herinneren dat een hoop medische apparatuur onder windows XP draait. Het probleem zit erin dat ze niet zomaar de virusscanner kunnen updaten of een servicepack kunnen installeren, want bij een software- of configuratie verandering moet het hele ding weer gekeurd en gecertificeerd worden. Oftewel het hele netwerk was vergeven van de virussen en de netwerk admins konden alleen water naar de zee dragen. Datzelfde netwerk waarop jouw en mijn medische gegevens worden bewaard, inderdaad…

  2. 2

    Ik zou er niet blij van worden als er een afstandsbediening bestaat die controle kan uitoefenen op wat dan ook in mijn lichaam. Als je kwade bedoelingen hebt kun je net zo goed de al bestane afstandsbediening stelen ipv hacken.

    Wat wel zou kunnen is het limiteren van de maximale hoeveelheid die via een draadloze verbinding wordt ingespoten. Indien de patient dan een hogere dosis wil innemen zal die dat dan maar manueel moeten doen.