אפילו קוצבים רפואיים חשופים לפריצות

מדעני מחשבים מהמרכז הרפואי בית ישראל, בית הספר לרפואה של אוניברסיטת הרווארד, אוניברסיטת מסצ'וסטס ואוניברסיטת וושינגטון הדגימו כיצד ניתן לפרוץ למכשיר רפואי אלחוטי, שמשלב יכולות של קוצב לב ודפיברילטור, מסוגMedtronic Maximo DR

תומאס קלבורן, InformationWeek

אם היו מי שחשבו שציוד רפואי אלחוטי שמושתל בגופם של מטופלים בטוח מפני פריצות, הרי שמאמר מדעי שעומדת קבוצה של חוקרים לפרסם במאי הקרוב מוכיח, כי לא כך הדבר: מדעני מחשבים מהמרכז הרפואי בית ישראל, בית הספר לרפואה של אוניברסיטת הרווארד, אוניברסיטת מסצ'וסטס ואוניברסיטת וושינגטון הדגימו כיצד ניתן לפרוץ למכשיר רפואי אלחוטי, שמשלב יכולות של קוצב לב ודפיברילטור, מסוג Medtronic Maximo DR. המאמר יפורסם לקראת ועידת 2008 IEEE Symposium on Security and Privacy.

“מהמחקר עולה שקוצב-דפיברילטור שמושתל בגוף המטופל עלול להיחשף למתקפות מצד גורמים עוינים. גורמים כאלה יוכלו להגיע למידע רפואי ולתוצאות של בדיקות שמבוצעות מרחוק, ואף לשנות את ההגדרות שנקבעו למתן הלם חשמלי”. הלם חשמלי מיותר עלול לגרום לפרפור של חדרי הלב ואף למוות. קוצבי לב ודפיברילטורים כבר הושתלו בגופם של מיליוני מטופלים בארה”ב.

החוקרים מעריכים, כי זהו הניסיון הראשון מסוגו לפצח את התקשורת מקוצב-דפיברילטור דוגמת זה של Medtronic. החוקרים נעזרו בחבילת התוכנה GNU Radio כדי לפתח מכשיר רדיו שמסוגל לטפל באותות הרלוונטיים. עם זאת, החוקרים אינם סבורים שמטופלים שבגופם הושתל ציוד רפואי חשופים לסיכון מיידי ומשמעותי, וקוראים למטופלים שזקוקים לציוד כזה שלא להירתע מהשתלה של מכשיר מתאים, אם הרופאים ממליצים על כך.

“אנו סבורים שהסיכון נמוך ושהמטופלים אינם צריכים להירתע”, ציינו החוקרים. “לא ידוע על שום מקרה בו נגרם אי פעם נזק למטופל שבגופו הושתל מכשיר רפואי כתוצאה ממתקפה של גורמים עוינים. כדי לבצע מתקפה מהסוג שמתואר במחקר חייבים להתקיים התנאים הבאים: כוונת זדון, תחכום טכני ויכולת להציב ציוד אלקטרוני סמוך למטופל. המטרה שלנו בביצוע המחקר היתה לשפר את האבטחה, הפרטיות, הבטיחות והיעילות של הציוד הרפואי”.

בתגובה לממצאי המחקר כתב מומחה האבטחה ברוס שנייר, בהודעה שפרסם בבלוג, כי “נתקלנו במקרים כאלה כבר אינספור פעמים: המתכננים לא לקחו בחשבון את שיקולי האבטחה, ומשום כך המכשיר אינו בטוח”.

בתגובה מסרה Medtronic, כי סוגיות אבטחה שקשורות בתקשורת אלחוטית מוכרות כבר מזה 30 שנים, וכי החברה מקדישה תשומת לב רבה לנושא האבטחה. החברה הוסיפה, כי היא שמחה על כל הזדמנות לשפר את האבטחה בעזרת החוקרים והרשויות, אך ציינה כי “כל דיון חייב להיעשות בצורה מדויקת, מאוזנת ואחראית. למרות שהתכנות של כל המכשירים הרפואיים חייב להתבצע בתקשורת אלחוטית – בדרך כלל מטווח קרוב מאוד – הרי שהסיכון להתערבות מכוונת, עוינת או בלתי מורשית בפעולת המכשיר הוא נמוך מאוד. למעשה, לא ידוע לנו על שום תקרית כזו שאירעה ב-30 השנים בהן הושתלו מיליוני מכשירים ברחבי העולם”.