Bu yazımızda, Billy Rios adlı bir Bilgi Güvenliği Uzmanı’nın karşılaştığı bir güvenlik zafiyetine değineceğiz. Billy Rios’un tespit ettiği zafiyet, herhangi birinin internet üzerinden, hastanede kullanılan ilaç pompalarının ilaçlar için belirlediği üst ve alt doz miktarlarını değiştirmesine imkan veriyor.
Bu güvenlik açığından faydalanan bir siber saldırgan, pompalara uzaktan erişim sağlayarak hastalara ölümcül sınırların üstünde ilaç verip ölümlerine neden olmalarını sağlayabilir.
Bu konuda araştırmalar yapan bilgi güvenliği uzmanları da, internet üzerinden erişilebilir ve yönetilebilir halde bulunan insülin pompaları, defibrilatör( kalp krizi durumunda elektrik şokuyla kalbin çalışmasını sağlayan cihaz) ve çeşitli tıbbi cihazları tespit etmişlerdi. 2011 yılında Jerome Radcliffe adlı bir araştırmacı birkaç dolarlık basit bir düzenek kurarak otomatik insülin pompalarının dozlarının uzaktan değiştirilebileceğini göstermiştir. Yaşanan olaydan beri her sene kalp pilinden, radyoloji cihazlarına kadar pek çok tıbbi cihaz için yeni “hacklenme” yöntemleri ortaya çıkmaktadır.
İlaçları hastalara otomatik olarak veren bu pompaların üreticileri, cihazların “insan hatasından kaynaklanan nedenlerle yanlış doz kullanımı” durumlarına karşı ek tedbirlerin bulunduğunu açıkça belirtmektedir. Rios tarafından tespit edilen güvenlik zafiyeti ise, cihazın hastane yönetim sistemi ile kurduğu iletişime müdahale ederek, sistemden alması gereken güncelleme yerine saldırgan tarafından gönderilen sahte güncellemenin cihaza yüklenmesine imkan veriyor. Bu sayede hacker pompanın kendi üzerinde bulunan ve bu tür müdahalelere karşı bir miktar koruması bulunan yazılıma saldırmak yerine bu pompaları merkezi olarak yöneten yazılıma müdahale ederek amacına ulaşabilir.
Son olarak bu olayda, Billy Rios, markasını vermediği cihazlarla ilgili dünya genelinde 55,000’den fazla hastanede kullanılan bu ilaç pompalarını yöneten yazılımda, 4 farklı güvenlik zafiyeti tespit ettiğini de belirtmiştir.
Tespit edilen bu yazılım kaynaklı güvenlik zafiyetlerine ek olarak, sistemlerin güncellemeleri için kullanılan işlemlerde de önemli bir zafiyet bulunmaktadır. Akıllı telefonların güncelleme indirirken güncellemenin kaynağını ve indirilen güncelleme dosyasının bütünlüğünü kontrol etmesini sağlayan bazı tedbirler vardır ve bu nedenle her hangi birinin size “uygulama güncellemesiymiş gibi” zararlı yazılım gönderme imkanı yoktur.
Rios, yaptığı çalışmalarda, yazılımda tespit ettiği güvenlik zafiyetlerine ek olarak bu tür bir kontrolün de yapılmadığını görmüş. Bu zafiyet her hangi birinin “güncelleme” dosyası gibi görünen bir zararlı yazılımı pompaya yükleyerek pompanın yönetimini ele geçirmesine imkan verebilir.
Her geçen gün, kardiyolojiden onkolojiye kadar geniş bir yelpazede kullanılan başka cihazların da hastane yönetim sistemleri ile bağlantılı halde (güncelleme, doz, tedavi veya hasta bilgisi gibi verileri gönderip aldığı) çalışmaya başlaması tıbbi cihazların güvenliği konusunu gündemimize taşımaktadır. Nesnelerin interneti konusunun somutlaşmaya başladığı bu günlerde, özellikle acil servis gibi noktalarda cihazların gerçek zamanlı veri akışına imkan verecek biçimde birbirine veya bir sisteme bağlı olması hayat kurtarabilecek bir gelişmedir.
2014 yılının Ekim ayında A.B.D. İç Güvenlik Bakanlığı (U.S. Department of Homeland Security) 20’den fazla tıbbi cihazın siber saldırganlar tarafından ele geçirilebileceği düşüncesiyle geniş çaplı bir araştırma başlatmıştı. Reuters haber ajansına kimliğini gizleyerek açıklamalarda bulunan bir bakanlık yetkilisi, araştırmaların siber saldırı şüphesi üzerine başlatıldığını söylemiştir.
Söz konusu tıbbi cihazların “hacklenmesi” olduğunda 2007 yılında, dönemin A.B.D. Başkan Yardımcısı olan Dick Chenney’in kullandığı kalp pilinin kablosuz iletişim özelliğini devreden çıkarttığını hatırlamadan edemeyiz. Bu konu çok geniş yankılar bulmuş ve bazı dizilerin senaryolarına bile eklenmişti.
Tıbbi cihazların “hacklenmesi” konusunda tek felaket senaryosu birilerinin uzaktan öldürülmesi ile sınırlı değildir. Bu cihazların hasta kayıtlarını ve verileri gönderdiği ve depoladığı sunucuların da bu cihazlarla olan iletişiminin güvenlik seviyesinin yetersiz olduğunu gösteren araştırmalar vardır. Bu seviyedeki güvenlik zafiyetlerinin istismar edilmesi hasta kayıtlarının silinmesine veya değiştirilip yanlış teşhis ve tedavilere neden olunmasına imkan verebilir.
Tıbbi cihazlarının güvenliği konusunda karşılaşılan en büyük sorunlardan birisi de bu cihazların yönetildiği ara yüzlerin internet üzerinden erişilemez olduğu ve sadece hastane içerisindeki bir bilgisayardan çalıştığı varsayıldığı için asgari güvenlik tedbirlerinin de bir bölümünün alınmamasıdır. Örneğin, hemşire bilgisayarından yönetilen veya takip edilen bir cihazın kontrol paneline ulaşmak için hiç parola istenmemesi veya “1234” gibi çok basit parolaların kullanılması, tıbbi cihazların güvenliğini olumsuz yönde etkilemektedir. Yapılan güvenlik testlerinden birinde 100’e yakın hemşirenin kullandığı bir yazılımda “test” adlı tek bir kullanıcı tespit edilmiş, sonradan ise bu kullanıcının hastane henüz yazılımı almadan denerken açıldığı ortaya çıkmıştır. Hastane yazılımı satın aldıktan sonra da kimse yeni kullanıcılar eklemekle uğraşmamış, mevcut kullanıcı bilgilerini paylaşıp kullanmaya devam etmişlerdir.
İnternete doğrudan bağlı olmasa bile başka cihaz veya sistemlerle kablolu veya kablosuz olarak her hangi bir şekilde iletişim kuran bütün cihazların “hacklenebilir” olduğunu hatırlayıp gerekli güvenlik tedbirlerinin alınmasında her zaman fayda vardır.
Bir yanıt bırakın