Medikal Cihazların Hacklenmesi Yalnız Hastaneleri İlgilendirmiyor

İnsülin pompaları, kalp atışlarını elektrik akımı ile düzenleyen defibrilatörler, kalp pilleri, ilaç enjeksiyon pompaları, MRI cihazları (Manyetik Rezonans Görüntüleme – MR olarak da biliniyor), kalp monitörleri, hastane bilgisayar ağları: tüm bunlar hacklenebiliyor, geçmişte örnekleri yaşandı ve bu cihazlara bizim veya bir yakınımızın bugün ihtiyaç duymaması, tehlikede olmadığımız anlamına gelmiyor.

Hacklenen medikal cihazlar siber güvenlik konusundaki en büyük kabus olma yolunda zira para veya verilerimizden daha kıymetli bir şeyi tehdit ediyor; sağlığımızı ve hatta hayatımızı.

Amerikadaki hastanelerde bir hasta yatağına bağlı yaklaşık 10-15 cihaz olduğu biliniyor ve bunların RF (radyo frekansı) veya bilgisayar ağına bağlı olanlarının bir çoğu siber saldırganlar tarafından istismar edilmeye müsait açıklar bulunduruyor. Bu cihazlar vasıtasıyla elde edilen verilerin doktorlar için büyük faydası olduğu bir gerçek ama gerekli siber güvenlik önlemleri alınmadığı takdirde faydasından daha büyük bir zarara yol açabileceği de aşikar.

Geçtiğimiz hafta ilginç bir haber ile karşılaştık; Laura Hopkin isimli kadın, uzaktan kumanda edilebilen bir insülin pompası vasıtasıyla nişanlısını zehirlemeye çalıştı. 3 çocuk babası olan Derek Turner, gece geç saatlerde yatağında kitap okurken insülin pompasından gelen kapanma sesini duymuş, cihazın bluetooth uzaktan kumandasını ararken ise, gün içerisinde tartıştığı nişanlısının uzaktan kumandayı saklamaya çalıştığını görmüş. Cihazın kapanmasının nedeni, Turner’ın nişanlısının normalde ufak dozlarda insülin enjekte etmesi gereken cihazı en yüksek doza ayarlamasıymış. Hem polis hem ambulans çağıran Turner, geceyi hastanede geçirmiş. Olayı fark etmemesi durumunda ise kendisini önce koma ardından da ölüm bekliyordu. Bu olay, bir bluetooth cihazı ile ne denli kolay bir cinayete kurban gidilebileceğini hatırlatırken aynı zamanda diğer medikal cihazların güvenlik durumlarını da gözden geçirmek gerektiğini düşündürdü.
Bu hafta ise “Medtronic firmasının implant olarak kullanılan (vücuda takılan) kalp defibrilatörleri saldırıya açık” haberi duyuldu. Kalp atımlarının düzenini elektrik akımı ile sağlayan bu cihazların, siber saldırganların uzaktan kontrolünü ele geçirebilmesine olanak tanıyan çok sayıda zafiyeti bulunduğu Amerika Ulusal Güvenlik Birimi tarafından açıklandı. Bu cihazlardaki zafiyetleri istismar edebilen saldırganların, cihaz fonksiyonlarını değiştirebileceği ve hassas verilere erişim sağlayabileceği söylendi. Durum açıkça görülebileceği üzere çok sayıda hastanın hayatını risk altında bırakıyor. Medtronic firma yetkililerinin yaptığı açıklamaya göre ise bu cihazların hacklenmesi “okadar da kolay değil” ve henüz hiçbir hastanın başına bir şey gelmemiş. İçiniz rahatladı mı?

Hacklenebilen medikal cihazlardan en büyük tehdit yaratan ilk 5 ve alınabilecek önlemler şöyle sıralanabilir:

  1. Kalp pilleri: Son teknoloji kalp pilleri, bağlantı veya “uzaktan görüntüleme” özellikleri ile doktorların cihazın doğru çalışıp çalışmadığını gözlemlemesine yardımcı olduğu gibi, hacklenmek için de ideal bir hedef olmalarına yol açıyor.
    Kalp pili hackleme fikri ilk olarak 2012 yılında yayımlanan popüler televizyon dizisi Homeland’de karşımıza çıkmıştı. Bunun gerçek olabileceği fikri ile eski ABD başbakanı Dick Cheney ve kardiolojisti ise üreticiden kendisine ait kalp pilinin kablosuz bağlantı özelliğini kaldırmasını istemişti.
    Amerika FDA (Food and Drug Administration) tarafından dünyanın en büyük medikal cihaz üreticilerinden biri olan Abbott firmasının 465.000 adet cihazının geri çağırılması ile kalp pillerinin major bir hacklenme riski taşıdığı da açıkça kabul edilmiş oldu.
    Üreticisi kim olursa olsun “uzaktan görüntüleme ve bağlantı” özelliği bulunan bütün kalp pillerinin potansiyel olarak hacklenebilir olduğunu bilmek gerekiyor.
    Güvende olabilmek için, hastaların hastanelere giderek ve uzmanlar ile görüşerek kullandıkları cihazların yazılım güncellemelerinin yapılmasını sağlamaları lazım. Ameliyat gerektirmeyen bir işlem ancak mutlaka yetkili medikal personel tarafından yapılmalı. Eğer kalp piliniz varsa şunu unutmayın, hacklenme riskinin düşük olmasının yarattığı tehdit, uzaktan görüntüleme yapılabilmesinin faydalarından daha büyük. Bu nedenle, çıkar çıkmaz güvenlik güncellemelerinin yapılması, istenmeyen bir şok veya arıza durumu ile karşılaşılmasını engellerken, hem cihazın hem de sizin ömrünüzü uzatabiliyor.
  2. İlaç enjeksiyon pompaları: Eylül 2017’de Endüstriyel Kontrol Sistemleri Siber Acil Durum Takımı (ICS-CERT) Amerikan hastanelerindeki bazı şırınga infüzyon pompalarında problemler tespit etti. Hastaya sıvı halde enjekte edilen; gıda, insülin, hormon, antibiotik, kemoterapi ilaçları ve ağrı kesiciler için kullanılan ilaç infüzyon pompalarında çok sayıda zafiyet tespit edildi. Söz konusu cihazlar dünyanın her yerindeki yenidoğan yoğun bakım, pediatrik yoğun bakım ve ameliyathane prosedürleri dahil olmak üzere akut kritik bakım bağlamında küçük dozlarda ilaç verilmesi için kullanılıyor. Tespit edilen güvenlik tehditleri ise uzaktaki bir saldırganın yetkisiz erişim sağlamasına ve ölümcül olabilecek aşırı dozların verilmesi de dahil olmak üzere pompanın amaçlananın dışında çalışmasına neden olabiliyor.
  3. MRI Sistemleri: 2017 yılında yaşanan ve ABD hastanelerinde 200.000 Windows sistemi etkilediği tahmin edilen WannaCry’ın sadece bilgisayarlara değil medikal görüntüleme yapmaya yarayan bir çok hassas radyoloji ekipmanına da zarar verdiği biliniyor. Hasta sağlığı açısından acil görüntüleme yapılması gereken durumlarda yaşanacak aksaklıkların veya alınabilecek hatalı sonuçlar nedeniyle hastaya zarar verilebilme olasılığının yanı sıra hastanelere maddi olarak büyük zarar verdiği de söylenebilir.
  4. Kalp atış monitörleri: İlk olarak 2008 yılında Washington Üniversitesi, kalp atış monitörlerinde ciddi bir güvenlik açığı keşfetti. Kalp atış monitörleri hastaya cerrahi yöntemler ile takılan (implant) cihazlar. Üniversitenin araştırması gösterdi ki, kalp rahatsızlıklarını tedavi etmek için kullanılan cihazların hacklenmesi için bir osiloskop, bir bilgisayar, bir kablosuz radyo ve ücretsiz bir takım yazılımlar yeterli olabiliyor.
  5. Hastane bilgisayar ağları: Medikal güvenlik konusunda en büyük tehdit hastane bilgisayar ağının tamamının iş göremez hale gelmesi. Bireysel olarak hastalara ve onlara bağlı tekil cihazlara yoğunlaşmak yerine, hastane sisteminin tamamını hedeflemek siber saldırganlar için daha cazip. Geçtiğimiz yıllarda birçok büyük olay ile karşımıza çıkan fidye yazılımı saldırıları (İngiltere’nin hasta sağlık sistemini (NHS – National Health Service) komple durduran WannaCry ve benzerleri) hastanelerin bu gibi durumlar için ne kadar hazırlıksız olduğunu bize gösterdi.
    Hastane bilgisayar ağları saldırıya uğradığında yalnız hasta verileri çalınmıyor, Bayer Medrad medikal cihazlarının hacklenmesi olayında gördük ki hastanelerdeki bir çok ekipman birbirine bağlı. Hastane ağına sızılması siber saldırganların çok sayıda hastayı hedef alarak doktorlara hatalı bilgiler gönderilmesi veya medikal cihazların spesifik parçalarının hedef alınması gibi olaylara yol açabiliyor.

2018 yılının Kasım ayında, ABD Sağlık Bakanlığı bir rapor yayımlayarak kalp pilleri ve insülin pompaları gibi tıbbi cihazların saldırıya uğramasını engellemeye yönelik yeterli uygulama bulunmadığını bildirdi ve bu konuda FDA (Food and Drug Administration) tarafından alınması gerekli görülen önlemler açıklandı. Rapor; FDA’nın tıbbi cihaz siber güvenlik riskleri konusundaki planlarını ve stratejilerini sürekli olarak değerlendirmesini ve güncellemesini, siber güvenlik olaylarıyla ilgili bilgileri doktorlar gibi kilit paydaşlarla paylaşmak için yazılı prosedürler ve uygulamalar oluşturmasını ve zafiyet barındıran cihazların geri çağrılması için bir prosedürün kurulmasını, siber güvenlik misyonunu geliştirmek için gerekli çalışmaların yapılmasını istedi. Benzer tedbirlerin acilen ülkemizde de alınması gerekiyor.

2 yorum

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*