Hemen hemen bütün siber saldırıların amacı aynıdır – birilerinin parasını çalmak. Cihazların sayısı ve çeşitliliği her geçen gün artıyor ama kötü olan da şu, yazılım hatası olan bir cihaz para kaybından çok daha ciddi sonuçlara sebep olabilir.
İnternete bağlanabilen bir araç mesela, bir cihazın insan hayatı için ne kadar riskli olabileceğine dair harika bir örnek. Otomatik pilotlu bir araca bulaşan bir virüs rahatlıkla aracın kaza yapmasını sağlayabilir. Akıllı medikal ekipmanlar da risk altında. Bizi sağlıklı tutması için yapılmış cihazlar, tam tersini de yapabilirler.
Güncel olarak, insanlara direkt olarak zarar vermiş medikal ekipman sayısı sıfır. Buna rağmen yetkililer düzenli olarak yeni cihazlarda insanlara fiziksel zararlar verebilecek farklı yazılım hataları buluyor.
Çünkü para çalmak ve insanlara fiziksel olarak zarar vermek tamamen farklı şeyler, fiziksel olarak zarar vermeme sebepleri bunu etik bulmamaları olabilir. Ama daha büyük bir ihtimal, medikal cihazları hackleyerek nasıl kısa yoldan kazanç elde edebileceklerini bilmiyorlar (henüz).
Aslında, siber suçlular hastanelere trojanlarla ve diğer bilinen zararlı yazılımlarla zaten saldırıyor. Örneği, bu yılın başlarında Amerika’da birçok medikal merkez ki Los Angeles’ta bulunan Hollywood Presbiteryen Medikal Merkez’i de dahil, fidye virüsünden etkilendi.
Fidyenin ödememesi gerektiğini kötü şekilde öğrenen hastane https://t.co/GS7V4f91uF pic.twitter.com/ItTg6Q90dc
— Kaspersky Türkiye (@KasperskyTR) June 6, 2016
Los Angeles’ta bulunan hastane kayıtlarını geri alabilmek için 17.00$ ödedi. Kansas Kalp Hastanesi’de aynısını denedi fakat dosyalarını geri alamadığı gibi, suçlular daha çok para talep etti. Gördüğünüz gibi, siber suçlular yaptıkları işlerin etik olup olmadığına pek bakmıyor: bazıları hastanelere saldırıp kolay para kazanmaktan mutlu olabiliyor.
Medikal ekipmanlar araştırma ve sertifika gerektirir – fakat sadece medikal ekipmanlar, bilgisayar teknolojisine bağlanabilenler değil. Bu yüzden tatmin edici şekilde siber güvenlik konusunda gereksinimleri karşılanmalı, ama bu da tamamen satıcının sağduyusuna kalmış bir durum. Sonuç olarak birçok hastane ekipmanı yazılım açıklarına sahip, bu da BT uzmanları tarafından uzun zamandır bilinen bir durum.
Amerikan Gıda ve İlaç Dairesi (FDA), medikal ekipmanların satışlarını ve sertifika işlerini düzenliyor. Gelişen bağlanılabilir çevreye uygun olması adına, FDA üreticilerin ve sağlıkçıların medikal cihazları daha güvenli tutabilmesi için yönetmelik yayınladı. 2016’nın başlarında, bunun benzeri bir belge yayınlanmıştı. Fakat belgenin bütün içeriği sadece önerilerden oluşuyordu. Yani medikal cihazların siber tehditlere karşı güvenliğini sağlamak hala insanların hayatını tehlikeye atacak hayati bir durum değil.
Ölümcül ihmal
Ekipman üreticileri, siber güvenlik uzmanlarından yardım isteyebilir, ama genelde tam tersini yapıyorlar. Cihazların güvenlik testine girmesine bile karşı çıkıyorlar. Uzmanlar, bu cihazların güvenliklerini denemek için ikinci el medikal ekipman almak zorunda kalıyorlar. Örneğin, Billy Rios bile – ki Billy bağlanılabilir cihazların içini dışını bilir, medikal cihazları arada sırada inceleyebiliyor.
Medicine under fire: how to hack a hospital https://t.co/QcmY3IlWGR #TheSAS2016 #Healthcare #medicalsec pic.twitter.com/Cil0ueabag
— Kaspersky (@kaspersky) February 11, 2016
Yaklaşık iki yıl önce, Rios Hospira’nın dünya çevresinde onbinlerce hastanede kullanılan infüzyon pompalarını test etti. Sonuçlar ürkütücüydü: İlaç enjekte pompalarına erişim sağladı, verilen dozajı arttırma ve azaltma ayarlarını değiştirebildi. Sonuç olarak, kötü biri buraya erişebilirse, bağlı olan hastaya istediği dozda ilacı enjekte edebilir. İronik olarak, bu cihazların reklamları, ürünlerin ‘hatasız’ olduğunu savunuyor.
Rios’un bulduğu diğer bir güvenlik açığı, CareFusion firmasının Pyxis SupplyStation Sistemi’ydi. 2014’te Rios herkesin sisteme girebileceği bir açık keşfetti.
2016’da Rios, arkadaşı güvenlik uzmanı Mike Ahmadi ile Pyxis SupplyStation sistemini tekrar denedi. Bu ikili 1.400’den fazla sistemsel açık keşfetti, yarısının çok tehlikeli olduğunu belirtti. Üçüncü parti geliştiricilerin Pyxis’in ikinci geliştirilmiş versiyonunda bulduğu bunca açığa rağmen, bu açıklar hala giderilmiş değil.
Hasta olmak iki kat tehlikeli: Medikal ekipmanlar hackerlara karşı korumasız
Tweet
Bu açıkların çözümlerinin hayati önem taşımasına rağmen, geliştiriciler açıkları gidermek için hiçbir yama yapmadılar. Bunun yerine CareFusion müşterilerine ekipmanlarını güncellemesini önerdi. Ancak müşteriler, kendilerine ‘riskleri minimalize etmek için’ dağıtılan ipuçları listesi ile uğraşmak istemedi.
Eski bir ekipmanı güncellemek zor ve pahallı bir işlem. Ama örneğin, Microsoft cihazlarda yüklü bulunan işletim sistemlerini olduğu gibi bırakabiliyor, teknik destek ve güncelleştirme hizmeti sunmuyor. Dolayısıyla bütün bir işletim sistemini korunmasız bırakabiliyor. Pyxis SupplyStation’ın son versiyonu Windows 7’de ve daha güncellerinde çalışıyor.
Kaspersky Lab olarak hastanelere de siber güvenlik testi sağlıyoruz: Güvenlik uzmanımız Sergey Lozhkin, içerisinde tomografi cihazının da bulunduğu medikal ekipmanları deneyimleme ve hackleme için davet edildi.
How I hacked my #hospital – https://t.co/qhKfT636F5 from @61ack1ynx #healthcare pic.twitter.com/SPES9tPnsw
— Kaspersky (@kaspersky) February 10, 2016
Tabii, yukarıda belirtilen durumlar uzmanlar tarafından – siber suçluların isterlerse ne kadar kolayca sistemlere girebileceğini göstermek için – yerine getirildi ve hiçbir şeye zarar verilmedi!
Suçlu kim, ve ne yapabiliriz?
Medikal cihazların servis ömrü, sizin cebinizdeki akıllı telefonların hayatından çok çok daha uzun. Pahallı bir ekipman için düzinelerce yıl pek uzun bir zaman değil. Dahası, en yeni cihazların eskilerine nazaran sistem zayıflıkları daha az. Eğer destek sağlanmazsa bir süre sonra onlar da eskileri gibi hata dolu olacaklar.
Mike Ahmadi dediği gibi: ”Medikal cihaz üreticileri için, medikal cihaz ve cihazların siber güvenliğinin belirlenmiş bir kullanım ömrünün olmasının makul olduğunu düşünüyorum.”
Pyxis SupplyStation hackinin iyi bir tarafı da var. Doğru, yapımcılar Rios’un keşfettiği ilk bugları görmezden geldi ama sonra devasa Becton Dickinson şirketi satın aldı ve yeni yönetim, siber uzmanlara farklı bir şeklinde yaklaştı. Gelecekte belki, şirketler bug bulmayı şimdiden daha fazla dikkate alırlar. Ve belki de, yeni cihazları piyasaya sürmeden evvel test