Säkerheten på Internet of things
Det ställer stora krav på säkerheten.
På den stora medical informatics- mässan HIMMS i Chicago fanns en hel avdelning av utställningen dedicerad till Internet of Things, skriver Torbjörn Kronander, vd på Sectra direkt. Här rapporterar han direkt från mässan för MedTech Magazine.
”Internet of things”, innebärande att i stort sett alla system, apparater med mera ligger direkt på internet, är den starkaste växande delen av all IT idag. Det gäller i hög grad även medtech. På HIMMS i Chicago, som jag är på när detta skrivs, finns en hel avdelning av utställningen dedicerad till Internet of Things.
Snart kommer nära nog alla elektriska apparater vara ständigt uppkopplade och åtkomliga. Och många apparater och system som tidigare var mekaniska kommer att bli elektriska för att kunna kopplas upp de med. Detta är redan fallet med de större och mer komplexa systemen, som idag nästan undantagslöst monitoreras och servas över internet.
Snart kan vi räkna med att vartenda dörrlås, kylskåp, steriliseringsutrustning, insulinpump, rullstol, patient-övervakningssystem, transportbår, blodtrycksmanschett ja till och med stetoskop kommer att kommunicera med omvärlden.
Självklart kommer detta att erbjuda fantastiska fördelar, men det kommer också att skapas nya risker, inte minst inom datasäkerhetsområdet.
Det finns ett slående exempel inom bilindustrin som visar hur det kan gå om man inte tänker efter först, innan man kopplar ihop allt för mycket. I moderna bilar övergår man numera mer och mer till ett eller flera interna lokala nätverk istället för kabelhärvor. Styrning och mätning sker sedan genom att ge adressen till exempel höger blinklampa och kommendera den att slå på och av. Kabellängden i bilarna sjunker dramatiskt, vilket ger stora fördelar i såväl driftsäkerhet som produktionskostnad. Givetvis ligger även bilens lås, musikanläggning, motor, bromsar mm på ”bilnätet”. När dessa nätverk bara fanns internt i bilarna var det inget större problem med datasäkerheten, man måste ju då fysiskt komma åt kabeln för att kunna göra något, och det kan vara svårt (även om det går, man lär kunna slå sönder en baklampa och öppna låset därefter t.ex.). Men sedan kom Bluetooth, 3G och WiFi. Givetvis skulle även t.ex. musikingången via Bluetooth då kopplas in via samma nätverk. Det är ju den tekniskt sett elegantaste lösningen.
Men det ingen riktigt tänkte på var att om man nu hackade sig in i Bluetooth (vilket inte är allt för svårt) så öppnade sig hela bilens styrsystem, lås mm. Detta lär innebära att för vissa bilar kan man idag köra upp med en bil parallellt på t.ex. motorvägen. Sedan i 110 km/h hacka sig in i den första bilen via Bluetooth och t.ex. slå av bromsarna. Eller om man så vill låsa upp dörrarna på en parkeringsplats och sen starta bilen via Bluetooth och köra iväg utan nyckel.
”Vi tänkte in på det” måste väl ha gått som en löpeld genom teknikernas fikarum när detta uppdagades. Nu arbetar bilindustrin febrilt med att öka säkerheten i bilarna, men det finns miljontals bilar där ute i trafiken med mycket allvarliga säkerhetshål.
I vår medtech-värld kan man ju tänka sig vad som skulle hända om någon illasinnad person hackade sig in via nätet och slog av sjukhusens strömförsörjning och samtidigt reservaggregaten på en och samma gång. Nu tror jag inte reservaggregaten för el ligger på nätet än.
Det hela sätter fingret på en helt avgörande faktor inom IT. Innan man kopplar ihop olika, tillsynes ofarliga, system över internet, system som hittills har varit helt säkra eftersom det inte gått att fysiskt komma åt dem, så bör man tänka efter noga i form av en professionellt utförd sårbarhetsanalys vad ett intrång kan leda till ”in worst case”. Frågan är inte om, eller när, de uppkopplade systemen blir hackade, utan om man kan leva med, eller minimera, konsekvenserna av att de blir det. Det är därför som en metodisk säkerhetsanalys behövs. Det gäller såväl sjukvårdshuvudmännen som oss leverantörer.
Torbjörn Kronander