Günlük aletlerden, endüstriyel makinelere, cep telefonlarımızdan ölçüm alcılarına uzaktan erişmek istediğimiz tüm aletler internet üzerinden birbirine bağlanabiliyor. "Nesnelerin interneti" (İng. "internet of things") adı verilen ve hızla büyüyen bu bağ siber güvenlik açıkları sebebiyle yeni tehditler de yaratıyor.
2000’lerin ortalarından beri hızla büyüyen erişilebilir tıbbı cihaz teknolojisi bu ağın en hayati halkalarından biri. Bu halkayı üç kısımda inceleyebiliriz: Hastane içinde bulunan görüntüleme cihazları ve ameliyat robotlarının güvenliği; veritabanlarında saklanan hasta bilgilerinin güvenliği; takılabilir ya da giyilebilir tıbbı cihazların güvenliği.
2008 yılında bir grup güvenlik uzmanının laboratuvarda çalışan kalp piline ("pacemaker") kablosuz internet üzerinden ulaştıklarını bildirmeleri ile araştırmacıların bu alana olan ilgileri arttı. Grup cihazı durdurmakla kalmadı, cihaz üzerinden ölümcül bir elektroşok da oluşturdu. Marka sahibi firmanın doktorlar için yazdığı Medtronic yazılımına gizlice müdahale eden grup, hasta bilgilerine de ulaştığını belirtti [1]. Aletin içine gömülmüş bu yazılımın amacı, doktorun operasyon yapmadan hastanın durumunu izlemesi ve değerleri değiştirmesiydi. Ancak yazılım sayesinde yeni bir korsanlık olanağı doğmuş oldu.
2011 yılında ise güvenlik uzmanı olan bir insülin hastasının, tamamen mesleki meraktan, basit bir USB ile kendi pompasını tekrar programlaması ve güvenlik konferansında cihazın açığını sunması, kablosuz iletişim kuran tıbbi cihazlara dönük ciddi şüphe ve endişe doğurdu [2].
2013 yılında ileri gelen sağlık şirketleri bu işin böyle devam edemeyeceğini öngörüp tanınmış ve iyi niyetli bir bilgisayar korsanı olan Billy Rios’a başvurdular. Rios gibi korsanlar kullanılan yazılımların açıklarını bulup siber güvenliği geliştirmekle ünlüdür. Şirketler Rios'tan sağlık alanında bir saha çalışması yapmasını istediler.
Sonuç korkutucuydu. Anestezi ve ameliyat aletleri, ventilatörler, hasta monitörleri, laboratuar aletleri, kısaca dışarıdan erişim ve bilgi aktarması imkânı sağlayan neredeyse tüm aletlerin müdahaleye açık olduğu ifade edildi.
Son yıllarda tıbbi alanda çalışan güvenlik şirketlerinin artmasıyla, görüntüleme cihazları başta olmak üzere kullanılan tıbbi cihazların saldırılar için görünmez geçit işlevi üstlendiği senaryolar gündeme taşınıyor. Bu tip senaryo ve araştırmaların bir çoğunun amacı güvenlik yazılımı satmaksa da, hastanelerin sistemlerine ulaşım izni veren üçüncü parti yazılımlarının güvensizliği görmezden gelinemeyecek kadar gerçek bir sorun [3].
Bu yıl ABD’de Gıda ve İlaç Dairesi, tıbbı cihazların piyasaya arz öncesi ve sonrası siber güvenlik yönetimine dair bir ihbarname çıkardı. Ancak öneriden öteye gidemeyen yasal süreçlerin yeterli olmayacağı geçtiğimiz ay Johnson&Johnson firmasının açıklamasıyla daha da belirginleşti. 114 bin kullanıcısı olan insülin pompasının ("The J&J Animal OneTouch Ping") korsanlarca ele geçirilmeye müsait olduğu ortaya çıktı [6].
Ayrıca, Hollywood Presbyterian Hastanesi’nin 2016 başında sistemini kıran kişilere 17 bin dolar fidye ödemek zorunda kalması, diğer hastanelerin de benzer durumlarla karşılaştığını ama susmayı tercih ettiğini düşündürtüyor.
Siber saldırı haberlerini duymaya devam edeceğiz. Rios’un belirttiği gibi tıbbi alanda cihaz güvenliğine dikkatlerimizi yoğunlaştıracak ölümcül saldırılarla da çok yakında tanışabiliriz.
Kablosuz bağlantıyla uzaktan müdahaleye izin veren alıcılar/aletler/ araştırma amaçlı mikroişlemciler gelecek sağlıklı günlerin müjdecisiyken, milyon dolarların döndüğü siber güvenlik ve yazılım pazarı kâbuslarımızı diri tutmaya devam edecek gibi gözüküyor. Kapitalizmde her teknolojik gelişme yeni bir tehdit de yaratıyor.
Kaynaklar:
1) http://www.nytimes.com/2008/03/12/business/12heart-web.html?_r=0
2) http://www.cbsnews.com/news/black-hat-hacker-can-remotely-attack-insulin...
3) https://ics-cert.us-cert.gov/advisories/ICSMA-16-089-01
4) https://www.symantec.com/content/dam/symantec/docs/data-sheets/symc-med-...
5) http://www.dailytech.com/Cyber+Hackers+Threaten+Security+of+Lifesaving+M...