Ideeën over de hackbaarheid van pacemakers en ICD’s
Veerle van Harten, sociologe
In de serie ‘Homeland’, een populaire Amerikaanse televisieserie van Howard Gordon en Alex Gansa, komt een scène voor waarin door de Afghaanse terroristengroep Al-Qaeda een aanslag wordt gepleegd op de Amerikaanse vicepresident door zijn pacemaker te hacken. In de aflevering is te zien hoe een terrorist vanuit Afghanistan, met behulp van een gestolen serienummer en een laptop, de pacemaker de opdracht geeft om te gaan fibrilleren waarna de vicepresident overlijdt aan een hartaanval. De aflevering zorgde voor grote ophef in Amerika. De vraag rees in hoeverre dit in het echt ook mogelijk zou zijn?
Tegenwoordig worden ziektes niet alleen behandeld met medicatie, maar ook met medische implantaten, dat wil zeggen met apparaten die in het lichaam worden ingebracht. Medische implantaten bestaan al tientallen jaren, maar pas sinds kort zijn bepaalde medische implantaten ook draadloos toegankelijk. Hoe wordt er tegen deze nieuwe ontwikkelingen aangekeken? En in hoeverre wegen de voordelen op tegen eventuele risico’s die met deze ontwikkelingen gepaard gaan?
Het afgelopen half jaar heb ik onderzoek mogen doen naar het vertrouwen in medische implantaten die werken via een draadloos netwerk en in het bijzonder naar de ideeën over de hackbaarheid van dergelijke implantaten. De hackbaarheid is hierbij niet alleen gericht op eventuele onrechtmatige toegang tot medische informatie van patiënten, maar ook op het zodanig hacken van medische implantaten zelf dat deze niet goed meer functioneren.
Drie soorten medische implantaten staan in het onderzoek centraal: de insulinepomp, de pacemaker en de implanteerbare cardioverter defibrillator of ICD. Dat voor deze drie implantaten is gekozen, heeft te maken met het feit dat ze het meest onder de aandacht zijn gebracht met betrekking tot de mogelijke hackbaarheid.
Door middel van een enquête en interviews is gekeken naar de ideeën over de draadloze toegankelijkheid van medische implantaten. Hiervoor zijn patiënten, artsen, producenten en beveiligingsexperts op het gebied van medische implantaten benaderd. In dit artikel zal de nadruk liggen op de resultaten die betrekking hebben op pacemakers en ICD’s.
Is het mogelijk een medisch implantaat te hacken?
Vanaf 2008 zijn er een aantal onderzoeken gedaan waaruit blijkt dat het inderdaad mogelijk is om in een medisch implantaat in te breken. Het is gelukt om toegang te krijgen zonder het serienummer te kennen. Patiëntengegevens konden worden opgevraagd en instellingen worden aangepast wat levensbedreigende gevolgen zou kunnen hebben. De betrokken onderzoekers geven echter aan dat de kans dat zoiets daadwerkelijk gebeurt, momenteel zeer klein is. De huidige medische implantaten worden gezien als veilig. Er worden hiervoor twee redenen gegeven. Ten eerste wordt gewezen op het beperkte bereik van medische implantaten. De meeste maken namelijk gebruik van bluetooth met een bereik variërend van enkele centimeters tot enkele meters. Het idee dat een terrorist vanuit een ander land toegang zou kunnen krijgen tot een medisch implantaat wordt hiermee uitgesloten. Daarnaast moet iemand in dit specifieke geval over specialistische technische kennis beschikken om in te kunnen breken.
Hoe worden de draadloze toepassingen van medische implantaten gewaardeerd?
De hackbaarheid van medische implantaten is geen onderwerp waar mensen in hun dagelijks leven mee worden geconfronteerd. Het is nooit uitgebreid in de media behandeld en er wordt ook geen aandacht aan besteed in voorlichtingsfolders. Wel is sprake van een toename van het risicobesef met betrekking tot cybercriminaliteit in het algemeen. Dit wordt mede veroorzaakt doordat nieuws over cyberaanvallen steeds meer in de media onder de aandacht wordt gebracht. Het belangrijkste voorbeeld dat door de respondenten die aan dit onderzoek hebben deelgenomen wordt genoemd, zijn de cyberaanvallen op de banken. Banken vormen een onmisbaar onderdeel van de samenleving en sommige respondenten redeneren: ‘Als een bank gehackt kan worden, dan kan dit ook gebeuren met een medisch implantaat.’
Desondanks zien de meeste respondenten de draadloze toepassingen van medische implantaten als veilige hulpmiddelen die zorgen voor meer gebruiksgemak en inzicht in het ziekteproces. Ook binnen de interviews is vaak gewezen op het beperkte bereik van medische implantaten en de benodigde specialistische technische kennis die nodig is om in een medisch implantaat in te breken. Daarnaast kunnen respondenten zich moeilijk een voorstelling maken van een scenario waarin een medisch implantaat gehackt wordt. Wel zijn er respondenten die zich er zorgen over maken dat de risico’s toe zullen nemen naarmate de draadloze toepassingen verder worden uitgebreid.
De meest geavanceerde draadloze toepassing die pacemaker- en ICD-dragers momenteel tot hun beschikking hebben is telemonitoring. Hierbij worden de gegevens van de pacemaker of de ICD uitgelezen via een zender of ‘kastje’ bij de patiënt thuis en vervolgens draadloos doorgestuurd naar het ziekenhuis. Dit systeem houdt het functioneren van de pacemaker of ICD in de gaten en wordt ook wel liefkozend ‘waakhond’ genoemd. Het grootste voordeel voor de patiënten is dat fouten in de instellingen van medische implantaten eerder kunnen worden opgespoord en dat de gebruikelijke technische controles van twee keer per jaar kunnen worden teruggebracht tot één keer per jaar.
Telemonitoring is vooral van belang voor het verkrijgen van een globaal beeld van de hartaandoening en het verzamelen van grootschalige data voor het verbeteren van de medische zorg. Een opvallende conclusie is dat veel patiënten de functionaliteit van telemonitoring overschatten. Tevens overheerst de indruk dat artsen in het ziekenhuis zowel data kunnen ontvangen als verzenden terwijl de patiënt thuis zit. Dit is met de huidige systemen nog niet mogelijk. Hiervoor bestaan wel plannen maar uit veiligheidsoverwegingen kunnen via telemonitoring momenteel alleen data naar het ziekenhuis worden verzonden. Dit betekent ook dat het niet mogelijk is om vanuit het ziekenhuis toegang te krijgen tot een pacemaker of ICD wanneer de patiënt zich buiten het ziekenhuis bevindt.
Toekomstperspectieven
Bij pacemakers en ICD’s van de laatste jaren is standaard ingebouwd dat ze draadloos toegankelijk zijn voor de zender die de informatie moet uitlezen en versturen.Een volgende stap waar artsen en producenten zich mee bezighouden, is het zodanig aanpassen van telemonitoringsystemen dat ze ook toegankelijk zijn vanuit het ziekenhuis. Dit zorgt voor meer gebruiksgemak aangezien patiënten niet gelijk naar het ziekenhuis hoeven als het medische implantaat niet goed functioneert.
Dergelijke ontwikkelingen gaan helaas gepaard met aanzienlijk meer beveiligingslekken die het risico dat in medische implantaten wordt ingebroken, vergroten. De vraag die dan ook altijd gesteld moet worden, is, in hoeverre het voordeel van een draadloze toepassing opweegt tegen het risico dat er in het systeem wordt ingebroken en hackers controle krijgen over medische implantaten. Het wordt nu eenmaal steeds moeilijker systemen te beveiligen naarmate ze complexer worden. Wanneer een draadloze toepassing op een medisch implantaat vooral zorgt voor gebruiksgemak maar verder niet noodzakelijk is, kan men zich afvragen in hoeverre het verantwoord is om van dergelijke toepassingen gebruik te maken.