maart 2022 - Jaarbeurs
Medisch & Zorg / 01 augustus 2017

Ruim 8.600 beveiligingsproblemen aangetroffen in pacemakers

Net als andere apparatuur worden ook medische implantaten zoals pacemakers steeds slimmer. Zo zijn deze apparaten in veel gevallen verbonden met de cloud om data van patiënten door te sturen naar artsen en kunnen de apparaten worden geprogrammeerd via speciale programmeerapparatuur, die ‘pacemaker programmers’ worden genoemd. Dit biedt uiteraard allerlei voordelen, maar brengt helaas ook nadelen met zich mee. Zo melden onderzoekers van het beveiligingsbedrijf WhiteScope ruim 8.600 beveiligingsproblemen te hebben ontdekt in een zevental onderzochte pacemakers. Indien kwaadwillenden hier misbruik van maken, kan dit dodelijke gevolgen hebben.

De onderzoekers melden in totaal zeven systemen van vier verschillende fabrikanten onder de loep te hebben genomen. Het gaat om pacemakers,  implanteerbare cardioverter-defibrillators, pulse generatoren en hulpmiddelen voor de behandeling van hartritmestoringen. De onderzoekers spreken in alle gevallen over pacemakers en merken op dat het merendeel van deze apparaten dezelfde basiscomponenten bevat: een pacemaker, een monitoringsapparaat voor patiënten, een cloud gebaseerde infrastructuur om data door te sturen naar de arts en een programmeerapparatuur voor het programmeren van de pacemaker. 

Programmeerapparatuur aanschaffen

De programmeerapparatuur voor pacemakers van alle vier de onderzochte fabrikanten wordt ‘gecontroleerd verspreid’. Dit wil zeggen dat de apparaten officieel uitsluitend leverbaar zijn via de fabrikant en door gebruikers na gebruik teruggestuurd moeten worden naar dit bedrijf. In de praktijk blijkt de programmeerapparatuur echter ook te koop te zijn op online veilingwebsites. De onderzoekers stellen dat de apparatuur beschikbaar is voor 500 tot 3.000 dollar. Monitoringsapparatuur voor pacemaker is te koop voor een bedrag variërend van 15 tot 300 dollar, terwijl pacemakers zelf via veiligsites kunnen worden aangeschaft voor 200 tot 3.000 dollar. 

De onderzoekers melden in de zeven onderzochte pacemakers in totaal 8.600 bekende beveiligingsproblemen te hebben ontdekt. Dit is mogelijk doordat software op de systemen niet up-to-date wordt gehouden en vaak is verouderd. Met behulp van deze updates worden onder andere beveiligingsproblemen door softwarefabrikanten gedicht. Wie deze updates niet installeert, laat deze beveiligingsgaten wagenwijd openstaan en geeft cybercriminelen vrij spel. In het geval van een pacemaker kan dit dodelijke gevolgen hebben.

Onversleutelde patiëntgegevens

WhiteScope meldt daarnaast in twee gevallen patiëntgegevens te hebben aangetroffen op een programmeerapparatuur die via online veilingsites is aangeschaft. Het ging hierbij onder andere om Social Security nummers (de Amerikaanse tegenhanger van het Nederlandse Burger Service Nummer), namen, telefoonnummers en medische gegevens. Deze gegevens stonden onversleuteld opgeslagen op de programmeerapparatuur en waren dus voor iedereen toegankelijk die deze apparatuur in handen wist te krijgen. De onderzoekers stellen dan ook dat ziekenhuizen nauwkeuriger moeten omspringen met medische apparatuur die zij niet langer gebruiken. De data is afkomstig van een groot ziekenhuis dat is gevestigd aan de Amerikaanse oostkust. 

Ook opvallend is dat op geen enkele programmeerapparatuur ingelogd hoeft te worden om deze apparatuur te gebruiken. Dit is niet zonder risico, aangezien een dief hierdoor gebruik kan maken van een gestolen apparaat om pacemakers te programmeren. Daarnaast wordt programmeerapparatuur die aan een pacemaker wordt gekoppeld niet geauthentificeerd. Dit betekent dat aanvallers die dergelijke apparatuur in handen krijgen en dichtbij genoeg bij een patiënt met een pacemaker weten te komen de werking van de pacemaker kunnen aanpassen. Ook is het mogelijk met programmeerapparatuur van een bepaalde fabrikant, iedere pacemaker van deze fabrikant te programmeren. Pacemakers kunnen alleen worden geprogrammeerd als zij zich in de nabije omgeving van de programmeerapparatuur bevinden. 

Namen van fabrikanten zijn niet openbaar gemaakt

De onderzoekers hebben niet bekend gemaakt om welke apparatuur en welke fabrikanten het precies gaat. Dit is een bewuste keuze die moet voorkomen dat patiënten met een pacemaker van deze fabrikanten risico lopen door de publicatie van de onderzoeksresultaten. Wel hebben de onderzoekers contact opgenomen met de fabrikanten en hun bevindingen gemeld, zodat de fabrikanten de problemen kunnen oplossen. Daarnaast zijn de problemen gemeld bij het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), een Amerikaanse overheidsinstantie die beveiligingsproblemen analyseert en partijen hiervoor waarschuwt. 

Gezien de overeenkomsten tussen de verschillende onderzochte systemen hoopt WhiteScope dat fabrikanten van pacemakers zullen samenwerken om de digitale veiligheid van hun apparatuur te vergroten. De onderzoekers stellen dat deze fabrikanten zouden moeten concurreren op het gebied van gebruikerservaring en gezondheidsaspecten, en niet moet cybersecurity. 

Door: Wouter Hoeffnagel

Bron: WhiteScope

Deel dit artikel

Meer nieuws

‘Honda en Nissan overwegen fusie’

‘Honda en Nissan overwegen fusie’

(PARTNER NIEUWS)
Automotive / 24-12-2024
(productnews)
Honda en Nissan overwegen een fusie. De Japanse automerken willen zo beter kunnen concurreren met Chinese fabrikanten van...
Honda en Nissan overwegen een fusie. De Japanse automerken willen zo beter kunnen concurreren met Chinese fabrikanten van elektrische voertuigen (EV’s), maar ook het eveneens Japanse Toyota. Dit meldt althans...
Automotive / 24-12-2024
Lees meer

Team van TU Delft valt in de prijzen tijdens Airbus-BMW Global Quantum Computing Challenge

(productnews)
Het QAIMS-team van de TU Delft wint de Golden Application Prize ‘Pushing the boundaries of quantum tech for...
Het QAIMS-team van de TU Delft wint de Golden Application Prize ‘Pushing the boundaries of quantum tech for mobility’ in de Airbus-BMW Global Quantum Computing Challenge. Het team past quantumtechnologie...
High tech / 24-12-2024
Lees meer

Planning landelijk waterstofnetwerk geactualiseerd

Planning landelijk waterstofnetwerk geactualiseerd

(PARTNER NIEUWS)
Energie / 23-12-2024
(productnews)
Hynetwork, dochteronderneming van Gasunie, levert de komende jaren het landelijke waterstofnetwerk in Nederland gefaseerd...
Hynetwork, dochteronderneming van Gasunie, levert de komende jaren het landelijke waterstofnetwerk in Nederland gefaseerd op. Het heeft een geactualiseerde netwerkplanning gepubliceerd. Nog tot eind januari kunnen marktpartijen en andere...
Energie / 23-12-2024
Lees meer

Europese steun voor ChipNL Competence Centre voor innovatie in chipsector

(productnews)
De Europese Commissie keurt steun aan een nieuw Nederlandse kenniscentrum voor chips goed. Het gaat om het ChipNL Competence...
De Europese Commissie keurt steun aan een nieuw Nederlandse kenniscentrum voor chips goed. Het gaat om het ChipNL Competence Centre, waarvan afgelopen week de kick-off plaatsvond. Het centrum is gericht...
Algemeen / 23-12-2024
Lees meer

Blijf op de hoogte, schrijf je in voor onze nieuwsbrief

Je ontvangt maximaal 1x per week het laatste nieuws per email.
Inschrijven