med hjertet på internett - owasp.org · med hjertet på internett sikkerhet i det medisinske iot...
TRANSCRIPT
SINTEFIKT 1
MarieMoe,PhD,ForskervedSINTEFIKT,Systemutviklingogsikkerhet
MedhjertetpåInternettSikkerhetidetmedisinskeIoT
@MarieGMoe@SINTEF_Infosec
Oslo18.april 2016
SINTEFIKT 2
Dagens Næringsliv Magasinet 9.januar 2016
SINTEFIKT
Hjertets elektriske system
3
SINTEFIKT
Pacemaker
https://www.youtube.com/watch?v=-f2FKmMneXY
SINTEFIKT
Nyeste generasjon pacemaker
5
SINTEFIKT
Ienganskenærfremtid...
https://www.youtube.com/watch?v=ZiQJIpd2n8k
SINTEFIKT 7
Fremtiden er nå
https://youtu.be/JzjXLtR5vkE?list=PLI6tVViVpg8gwKwWjYl8MOMUK8b0Rmm6v
SINTEFIKT
Det”medisinskeInternet of Things”
Nårsensorsystemeneimplanteresikroppenmåvibeskyttevårpersonligekritiskeinfrastruktur!
SINTEFIKT
Pacemaker/ICDProgrammer
Homemonitoringunit
CellularorTelephoneNetwork Webportal
Inductivenearfieldcommunication
MICS/ISM
POTS/SMS
SINTEFIKT
Hva kan gå galt?
Sårbarheter i pacemakeren?
Sårbarheteriaksesspunktet?
Kanvistolepåmobilnettet?
Erleverandørensserver/skytjenestesikret?
Sårbarheter i web-portalen?Menneskelige feil?
SINTEFIKT
Mulige konsekvenser
11
• Pasientinformasjon på avveie• Tømming av batteri• Feiltilstander og feilkonfigurasjon• Livstruende feilbehandling• Trusler og utpressing
SINTEFIKT
Utfordringerforsikkerhetimedisinskutstyr
• Proprietæreløsningerutenvelkjenteogstandardiserteprotokoller• Leverandørkreverhullibrannmurforfjerntilgang• Standardellerhardkodedepassord,dårlignøkkelhåndtering• Ikkeimplementerttilfredsstillendemekanismerellerrutinerforsoftware-oppdatering• Detfysiskeproduktetharlanglevetidogblirhengendeetteriforholdtilnye
sikkerhetsmekanismerogutviklingenitrusselbildet• Produktersomtradisjoneltharfungertilukkedemiljøkoblespånett• Mangelfullreguleringoglovverk• Lavbruker- ogbestillerkompetanse
SINTEFIKT
Mankan ikke alltid stolepå utstyrsleverandøren…
13
SINTEFIKT
Hva skjer medminpasientdata i skyen?
14
SINTEFIKT
Enveldiglangtrapp...
SINTEFIKT
Når det som står på skjermen ikke stemmer…
SINTEFIKT
Fordelene utveier ulempene!
17
SINTEFIKT
JayRadcliffe:Hacket sinegen insulinpumpe
18
SINTEFIKT
HugoCampos:Tilgang til egen datafra ICD
19
SINTEFIKT
Dr. KevinFu:Forsker på sikkerhet i pacemakere/ICDer
20
SINTEFIKT
Noen referanser
Pacemakere:• KevinFuetal:
– Pacemakersandimplantablecardiacdefibrillators:Softwareradioattacksandzero-powerdefenses (2008)– MitigatingEMIsignalinjectionattacksagainstanalogsensors(2013)
• BarnabyJack
Annet medisinsk utstyr:• Hardkodede passord og “medicaldevicehoneypots”(ScottErven)• Insulinpumper(JayRadcliffe)• Medisinpumper(BillyRios)
21
SINTEFIKT
Første eksempel på tilbaketrekking pga cybersikkerhet
22
SINTEFIKT 23
http://www.fda.gov/NewsEvents/Newsroom/PressAnnouncements/ucm481968.htm
SINTEFIKT
Hvordanfåbedresikkerhet?• Cybersafety-by-design:Sikkerhetiprogramvareutviklingsløpetformedisinskutstyr
hosprodusenterogiheleleverandørkjeden• Bevissikring: Bevissikringogloggingvilkunnebrukesihendelseshåndteringog
etterforskningietterkantavenhendelsedermedisinskeimplantatkanhablittutsattforcyberangrep
• Testing:Metodikkogrammeverkfortredjepartstesting• Patching: Løsningerforraskogsikkerpatching avsårbarheterogsikkerhetshulli
medisinskeimplantat• Resilience:Hvordansørgeforatkomponenteridetmedisinskeimplantatetfortsetter
åleverekritiskpasientbehandlingogsåunderfeiltilstanderellerforsøkpåangrep
SINTEFIKT
SINTEFIKT
SINTEFIKT
Våravhengighetavsystemersomstyresavprogramvareøkerraskereennvårevnetilåsikresystemene
• Utstyrsprodusentermåbyggeinnsikkerhetiproduktene• Brukeremågjøreegnerisikoanalyserogfølgemedpåutviklingenirisikobildet• Vimåinnseatdetvilgågalt,ogplanleggefordette• Meruavhengigforskningogtredjepartstestingtrengs• Standardisering,ansvarsavklaringogbedrelovregulering
27
Konklusjon
TakktilÉireann Leverett (@blackswanburst)
TonyNaggs (@xa329)GunnarAlendal (@gradoisageek)
HugoCampos (@HugoOC)ScottErven (@scotterven)
Alexandre Dulaunoy (@adulau)ClausCramon Houmann (@ClausHoumann)
JoshuaCorman (@joshcorman)BeauWoods(@beauwoods)SuzanneSchwartz(USFDA)
Familie &venner
SINTEFIKTSINTEFIKT
Takkforoppmerksomheten!
[email protected]://infosec.sintef.nohttp://iamthecavalry.org
@MarieGMoe@SINTEF_Infosec