Kalp atışlarını düzenleyen, damara düzenli ilaç pompalayan ya da benzeri tıbbi cihazlarda da artık bir sibergüvenlik sorunu yaşanmakta. Uzmanların son zamanlarda gündeme getirdikleri bu sorun ABD İç Güvenlik Bakanlığı’nı konuya ciddi eğilmeye yöneltti.
Artık birçok elektronik cihazın içinde sayısal yongaların bulunması, onları elektromanyetik olarak veya yazılımla yapılacak dış müdahaleye açık duruma getirmekte. Örneğin, hastaya takılmış bir infüzyon pompası “hack”lenerek damardan belli bir dozda vermekte olduğu ilacı kesebilir veya dozunu en üst düzeye çıkararak hastanın ölümüne neden olabilir.
Araştırmalar ve bakanlık yetkilileri henüz böyle bir olayın rapor edilmediğini bildirmekteler. Fakat güvenlik uzmanları kalp defibrilatör ve ensülün pompalarına nasıl saldırı yapılabileceğini gerçek uygulamalarla gösterdiler. ABD’deki popüler “Homeland” TV dizisinim bir bölümünde, başkana yapılan bir suikast girişimi, onun kalp atışı düzenleyicisine yapılan bir sibersaldırı olarak konu edilmekte.
ABD İç Güvenlik Bakanlığı’nın Endüstriyel Kontrol Sistemleri Acil Siber Tepki Grubu tıp cihazları üreten firmaların ürünlerini bu amaçla incelemeye aldı. Bakanlık yazılımda veya donanımda bulunabilecek açıkların kapatılmasında üreticilere yardımcı olmak istiyor.
Şimdiye kadar hiçbir firma veya üründe bir açıklık veya hata bulunduğu açıklanmış değil. Fakat adı açıklanmayan iki firmanın cihazlarında daha derin incelemeler gidildiği, söz konusu cihazların kalp ile ilgili implantlar olduğu bildirilmekte. Bunların birinde cihazın kalbe ölümcül düzeyde elektrik şoku verebileceği söylenmekte.
İncelenmekte olan diğer bir cihaz ise infüzyon pompası. Araştırmacı bir güvenlik uzmanı, söz konusu infüzyon pompası için örnek bir program yazarak uzaktan nasıl yanlış dozlara yol açılabileceğini göstermiş ve raporunu verileriyle birlikte bakanlığa teslim etmiş. Bir başka uzman da kendi ensülin pompasını uzaktan nasıl kontrol altına alınabileceğini göstererek durumu bakanlığa bildirmiş.
Bakanlık yetkililerine göre, sibergüvenlik sorunu sadece hastalara takılan cihazlarla sınırlı değil. Hastanelerdeki diğer cihazlar da tehdit altında bulunuyor. Bakanlık 2 yıl önce başlattığı tıbbi cihazlarda sibergüvenlik çalışmalarının kapsamını, hastane cihazlarını da içine alarak genişletmekte.
İç Güvenlik bakanlığından başka Gıda ve İlaç İdaresi (FDA, Food and Drug Administration) piyasaya çıkacak yeni tıbbi cihazların onay başvurularında, artık sibergüvenlik incelemesi de istiyor. Piyasa onayı verilmeden önce cihazın bu incelemeden başarıyla geçmesi isteniyor.
Şimdiye kadar korsanların tıbbi cihaz “hack”lediklerine henüz rastlanmadı. Fakat internete veya bir kontrol merkezine telsiz olarak bağlanabilen cihazlar piyasaya çıktıkça risk de artmakta. Bu risklerin gerçek olabileceği uzmanlarca zaten gösterilmiş durumda. Şimdi bu gerçekleşmenin kötü niyetliler tarafından yapılmaması için çalışılmakta.
Kaynakça:
http://spectrum.ieee.org/tech-talk/biomedical/devices/feds-probe-cybersecurity-dangers-in-medical-devices/?utm_source=techalert&utm_medium=email&utm_campaign=103014
https://ics-cert.us-cert.gov/
http://www.reuters.com/article/2014/10/22/us-cybersecurity-medicaldevices-insight-idUSKCN0IB0DQ20141022
