Billy Rios adlı bir Bilgi Güvenliği Uzmanı geçtiğimiz yaz ölümcül bir durumla karşı karşıya kalmasına neden olan bir durumda hastanenin acil servisine girdiğinde kendi durumunun kritikliğine çok az odaklanabilmişti. Bunun nedeni ise, acil serviste gördüğü otomatik ilaç pompalarını daha önce yürüttüğü bir güvenlik araştırmasından hatırlamasıydı. Bilgi Güvenliği Uzmanının beyin omurilik sıvısın burnundan akıyor olmasından çok, onu bağlayacakları ilaç pompasının “hacklenmesi” konusunun endişelendirmesinin somut bir nedeni vardı.
Rios’un tespit ettiği zafiyet her hangi birinin internet üzerinden pompanın ilaçlar için belirlediği üst ve alt doz miktarlarını değiştirmesine imkan veriyordu. Bu güvenlik açığından faydalanan bir hacker pompaların ölümcül sınırların üstünde ilaç verip hastaların ölümüne neden olmalarını sağlayabilirdi.
Bu konuda araştırma yapan başka bilgi güvenliği uzmanları daha önce internet üzerinden erişilebilir ve yönetilebilir halde insülin pompaları, defribilatör ve çeşitli tıbbi cihaz tespit etmişlerdi. 2011 yılında Jerome Radcliffe adlı bir araştırmacı birkaç dolarlık basit bir düzenek kurarak otomatik insülin pompalarının dozlarının uzaktan değiştirilebileceğini göstermiş ve ondan beri her sene kalp pilinden, radyoloji cihazlarına kadar pek çok tıbbi cihaz için yeni “hacklenme” yöntemleri ortaya çıkmaktadır.
İlaçları hastalara otomatik olarak veren bu pompaların üreticilerinin dokümanları cihazların yazılımlarında “insan hatasından kaynaklanan nedenlerle yanlış doz kullanımı” durumlarına karşı ek tedbirlerin bulunduğu açıkça belirtmektedir. Rios tarafında tespit edilen güvenlik zafiyeti ise, cihazın hastane yönetim sistemi ile kurduğu iletişime müdahale ederek, sistemden alması gereken güncelleme yerine saldırgan tarafından gönderilen sahte güncellemenin cihaza yüklenmesine imkan veriyor. Bu sayede hacker pompanın kendi üzerinde bulunan ve bu tür müdahalelere karşı bir miktar koruması bulunan yazılıma saldırmak yerine bu pompaları merkezi olarak yöneten yazılıma müdahale ederek amacına ulaşabilir.
Billy Rios, markasını burada vermeyeceğim ancak dünya genelinde 55,000’den fazla hastanede kullanılan bu ilaç pompalarını yöneten yazılımda 4 farklı güvenlik zafiyeti tespit etmiştir.
Tespit ettiği bu yazılım kaynaklı güvenlik zafiyetlerine ek olarak sistemlerin güncellemeleri için kullanılan işlemlerde de önemli bir zafiyet bulunmaktadır. Akıllı telefonlarımızın güncelleme indirirken güncellemenin kaynağını ve indirilen güncelleme dosyasının bütünlüğünü kontrol etmesini sağlayan bazı tedbirler vardır ve bu nedenle her hangi birinin size “uygulama güncellemesiymiş gibi” zararlı yazılım gönderme imkanı yoktur. Rios, yaptığı çalışmalarda, yazılımda tespit ettiği güvenlik zafiyetlerine ek olarak bu tür bir kontrolün de yapılmadığını görmüş. Bu zafiyet her hangi birinin “güncelleme” dosyası gibi görünen bir zararlı yazılımı pompaya yükleyerek pompanın yönetimini ele geçirmesine imkan verebilir.
Her geçen gün, kardiyolojiden onkolojiye kadar geniş bir yelpazede kullanılan başka cihazların da hastane yönetim sistemleri ile bağlantılı halde (güncelleme, doz, tedavi veya hasta bilgisi gibi verileri gönderip aldığı) çalışmaya başlaması tıbbi cihazların güvenliği konusunu gündemimize taşımaktadır. Nesnelerin interneti konusunun somutlaşmaya başladığı bu günlerde, özellikle acil servis gibi noktalarda cihazların gerçek zamanlı veri akışına imkan verecek biçimde birbirine veya bir sisteme bağlı olması hayat kurtarabilecek bir gelişmedir.
Geçtiğimiz senenin Ekim ayında A.B.D. İç Güvenlik Bakanlığı (U.S. Department of Homeland Security) 20’den fazla tıbbi cihazın hackerlar tarafından ele geçirilebileceği düşüncesiyle geniş çaplı bir araştırma başlatmıştı. Reuters haber ajansına kimliğini gizleyerek açıklamalarda bulunan bir bakanlık yetkilisi, araştırmaların siber saldırı şüphesi üzerine başlatıldığını söylemişti. Söz konusu tıbbi cihazların “hacklenmesi” olduğunda 2007 yılında, o dönemin A.B.D. Başkan Yardımcısı olan Dick Chenney’in kullandığı kalp pilinin kablosuz iletişim özelliğini devreden çıkarttığını hatırlamadan edemeyiz. Bu konu çok geniş yankılar bulmuş ve bazı dizilerin senaryolarına bile eklenmişti.
Tıbbi cihazların “hacklenmesi” konusunda tek felaket senaryosu birilerinin uzaktan öldürülmesi ile sınırlı değildir. Bu cihazların hasta kayıtlarını ve verileri gönderdiği ve depoladığı sunucuların da bu cihazlarla olan iletişiminin güvenlik seviyesinin yetersiz olduğunu gösteren araştırmalar vardır. Bu seviyedeki güvenlik zafiyetlerinin istismar edilmesi hasta kayıtlarının silinmesine veya değiştirilip yanlış teşhis ve tedavilere neden olunmasına imkan verebilir.
Tıbbi cihazlarının güvenliği konusunda karşılaşılan en büyük sorunlardan birisi de bu cihazların yönetildiği ara yüzlerin internet üzerinden erişilemez olduğu ve sadece hastane içerisindeki bir bilgisayardan çalıştığı varsayıldığı için asgari güvenlik tedbirlerinin de bir bölümünün alınmamasıdır. Örneğin, hemşire bilgisayarından yönetilen veya takip edilen bir cihazın kontrol paneline ulaşmak için ya hiç parola istenmemesi veya “1234” gibi çok basit parolaların kullanılması, tıbbi cihazların güvenliğini olumsuz yönde etkilemektedir. Yaptığım güvenlik testlerinden birinde 100’e yakın hemşirenin kullandığı bir yazılımda “test” adlı tek bir kullanıcı gördüğümde inanamamıştım, sonradan bu kullanıcının hastane henüz yazılımı almadan denerken açıldığı ortaya çıkmıştı. Hastane yazılımı satınaldıktan sonra da kimse yeni kullanıcılar eklemekle uğraşmamış, mevcut kullanıcı bilgilerini paylaşıp kullanmaya devam etmişlerdi.
İnternete doğrudan bağlı olmasa bile başka cihaz veya sistemlerle kablolu veya kablosuz olarak her hangi bir şekilde iletişim kuran bütün cihazların “hacklenebilir” olduğunu hatırlayıp gerekli güvenlik tedbirlerinin alınmasında her zaman fayda vardır.
No comments:
Post a Comment