gezondheid
Onderzoekers tonen aan hoe makkelijk het is om een pacemaker te hacken
Medische implantaten die werken met een afstandsbediening zijn nog altijd kwetsbaar voor hackers. Dat hebben onderzoekers van de KU Leuven aangetoond. Zij braken binnen in tien soorten toestellen van een topfabrikant - acht jaar nadat die mogelijkheid voor het eerst werd aangetoond.
In de Amerikaanse televisieserie Homeland werd ooit een vicepresident vermoord door terroristen die zijn pacemaker hadden gehackt. Zo slaagden ze erin om het toestel vanop afstand te ontregelen en hem een hartaanval te bezorgen. Voor zover geweten is dat scenario nog nooit in werkelijkheid omgezet.
Maar dat wil niet zeggen dat het louter fictie is. In 2008 bewezen onderzoekers van de universiteiten in Massachusetts en Washington al dat het mogelijk is om een pacemaker stil te leggen of juist een dodelijk krachtige schok te laten toedienen door in te breken in de afstandsbediening.
Spotgoedkoop
Zo'n afstandsbediening is zo goed als onontbeerlijk omdat er anders voor iedere wijziging aan de werking van het toestel een nieuwe operatie noodzakelijk is. En terwijl de systemen in het begin nog vereisten dat de patiënt letterlijk binnen handbereik was, wordt er nu ook al gewerkt met internetverbindingen die het mogelijk moeten maken dat de dokter ingrijpt zonder zijn patiënt zelfs te zien. Maar net als iedere andere datatransmissie is ook die medische toepassing kwetsbaar voor hackers, die de data kunnen onderscheppen en wijzigen.
Dat geldt niet alleen voor pacemakers, maar ook voor ingeplante defibrillatoren, neurostimulatoren en dergelijke.
Het gaat ook steeds gemakkelijker. Terwijl de eerste onderzoekers nog voor tienduizenden euro's aan apparatuur nodig hadden, legde een collega zijn eigen insulinepomp drie jaar later al stil met nog geen 20 euro aan materiaal.
En in 2012 bewees een hacker van de computerbeveiligingsfirma McAfee dat inbreken ook mogelijk is zonder de unieke identificatiecode van het implantaat te kennen. Hij ontwikkelde een scanner die alle insulinepompen binnen een bereik van 90 meter kon detecteren en bewegen om hun hele lading in één keer in het lichaam te dumpen.
Tal van autoriteiten - waaronder Europol en de Amerikaanse Food and Drugs Administration - hebben sedertdien al gewaarschuwd voor de gevaren en fabrikanten opgeroepen om daar iets aan te doen. Maar dat heeft blijkbaar nog niet tot een verbetering geleid. In een paper die ze binnenkort op een congres in Los Angeles voorstellen, beschrijven de Leuvense wetenschappers Dave Singelée en Eduard Marin immers hoe zij tien verschillende implantaten van een topfabrikant hebben gehackt. Maar ze werken ook aan een oplossing, zo onthulden ze dit weekend in De Tijd. Die bestaat erin om de communicatie tussen implantaat en afstandsbediening zo te versleutelen dat de gegevens niet van buitenaf te onderscheppen zijn.
Dat principe wordt al toegepast voor heel wat soorten van datatransmissie, maar bij de medische toepassingen loopt het nog spaak omdat er dan veel meer gegevens overgebracht moeten worden, wat bijkomende energie vergt. Daardoor dreigt de batterijduur van de implantaten ingekort te worden, waardoor een operatieve vervanging veel sneller noodzakelijk wordt. Wat de Leuvense onderzoekers dus doen, is een methode zoeken om die versleuteling mogelijk te maken zonder dat de batterijen extra worden belast.
