- Vi må ta sikkerhet på alvor

Marie Moe, forskningsleder på Cybersikkerhet i SINTEF

– Jeg mener ikke at vi skal bremse innovasjonstakten, men det kan gå litt fort i svingene noen ganger. Vi har ikke sett de mest alvorlige konsekvensene ennå, men i verste fall kan manglende standardisering og sikkerhetskrav gå utover menneskeliv.

Det varsler forskningsleder på Cybersikkerhet i SINTEF, Marie Moe. Hun mener spesielt medisinsk-teknisk utstyr bør ha hatt en grundig gjennomgang av risikoen for hacking – før det kobles på nettet. 

Som pacemaker-bruker har hun selv fått kjenne på kroppen – bokstavelig talt – når software ikke fungerer. 

– En dag jeg var på vei til jobb besvimte jeg plutselig. Det viste seg at hjertet mitt hadde tatt seg “en liten pause”, og jeg hadde behov for pacemaker. Jeg husker spesielt en ubehagelig opplevelse jeg hadde for noen år siden, da det viste seg å være en feil med konfigurasjons-softwaren i pacemakeren jeg hadde fått operert inn. 

Etter å ha gått av t-banen på en stasjon langt under bakken valgte hun å ta trappene, men kom bare halvveis opp trappen før det ble bråstopp og hun fikk en følelse av å møte veggen, forteller hun.

Hacket sin egen pacemaker

Sykehuset fant senere ut at Moe hadde fått innstillingene til en pasient på 80 år. Som sikkerhetsforsker ble hun bekymret fordi apparatet kunne kobles til internett. – Ettersom jeg til daglig jobbet med cybersikkerhet og håndtering av cyberangrep begynte jeg å tenke, “hva om denne kan hackes?”, forteller hun. Det spørsmålet var det få andre som hadde tenkt eller forsket på da hun fikk operert inn pacemakeren sin i 2011. Det inspirerte Moe til å starte sin egen forskning og finne ut hvor sikker en pacemaker egentlig er. – Jeg begynte å spørre ut leger, sykepleiere og pacemaker-teknikere på sykehuset, men det var ikke mange som hadde vært utsatt for pasienter som meg, som stilte tekniske spørsmål om IT-sikkerheten til implantatene de brukte, forteller hun.

Få Telenors månedlige oppdatering om sikkerhet

Marie Moe, forskningsleder på Cybersikkerhet i SINTEF
Marie Moe, forskningsleder på Cybersikkerhet i SINTEF

Lite åpenhet rundt sikkerhetsløsninger

Ettersom ingen på sykehuset kunne hjelpe, måtte hun søke opp informasjonen selv. Det viste seg at utstyrsprodusentene var lite villige til å fortelle henne hva de hadde implementert inn i apparatene, sine. Moe kjøpte derfor gammelt og brukt medisinsk utstyr og pacemakere fra Ebay. Det som hadde startet som et hobbyprosjekt, ble etter hvert studentoppgaver og lab-prosjekter på NTNU. 

– Ved siden av jobben min i SINTEF hadde jeg en professor 2- stilling på NTNU, der jeg veiledet masterstudenter. Vi laget studentoppgaver hvor studentene skulle ta fra hverandre utstyret på laben og forsøke å hacke det, forteller hun. 

Moe oppdaget at mesteparten av kommunikasjons-softwaren og teknologien inni apparatene var gammel og utdatert. 

– Jeg vet hvor lang tid det tar før et medisin-teknisk utstyr kommer ut på markedet. På grunn av rigide godkjenningsprosesser, som isolert sett er veldig bra, kan det ta opptil fem år fra man designer produktet til det er godkjent for salg. I tillegg har dette utstyret veldig lang levetid. Min pacemaker har for eksempel en batterilevetid på ti år. 

– Det vil si at mange med meg går rundt med elektronikk i kroppen som kan være opptil 15 år gammelt. Det sier seg selv at cybersikkerheten vi opererer med i dag har endret seg mye på disse årene. 

Utstyr som opprinnelig ikke var ment å være på internett, blir nå en del av “Internet of Things”. Da må vi må være klar over at det finnes sårbarheter som kan utnyttes, påpeker Moe. 

– Det positive med å koble en pacemaker til internett er at mange pasienter ikke lenger trenger å besøke sykehuset for kontroll. Bor man langt unna er det mange fordeler ved å utføre pacemaker-sjekken fra sin egen stue. Men det må gjøres på en sikker måte, understreker hun. 

– Selv om mange tenker “ingen vil hacke meg” eller at noen vil være interessert i å hacke en pacemaker kan vi ikke unngå å tenke på sikkerheten i slike produkter. Samtidig kan vi ikke ha for høye sikkerhetskrav, jeg forstår at det er en kost/nytte-betraktning i det hele. 

Alt du trenger å vite om Cybersikkerhet

Større fordeler enn ulemper

Det som skremte Marie var mangelen på en helhetlig sikkerhetsrutine i apparatene, med tilgang til logg og muligheten for oppdatering av programvare. Og at utstyret ikke var bedre skjermet for angrep. Ved hjelp av programvare kunne hun selv endre innstillingene på pacemakeren sin. 

– Det betyr at det går en hel del mennesker rundt med implantater i kroppen som faktisk kan hackes, forteller hun. 

Hun understreker likevel at fordelen ved å ha pacemaker er større enn ulempene, og ønsker ikke at hjertepasienter skal være redde for å bli hacket i hverdagen. Moes forskning ble gjort i laboratorium, med tilgang til både software og implantater. 

– Men ved å finne sikkerhetshull, snakke om det, sette fokus på problematikken og gi informasjon videre til leverandørene, gjør vi produktene sikrere for alle. Og det er grunnen til at vi forsker på dette, slik at vi kan være sikre på at utstyret faktisk ikke lar seg hacke i fremtiden, avslutter hun.

– Vi må tørre å diskutere ulempene

Sikkerhetssjef i Telenor, Hanne Tangen Nilsen leder et av Norges fremste ekspertmiljøer på cybersikkerhet. Hun synes historien til Marie Moe setter lys på et viktig aspekt ved utviklingen av digitale tjenester.

– Marie setter ting i et personlig perspektiv og viser godt hvilke konsekvenser unøyaktighet kan gi. Og hvordan robusthet ikke ble tatt på alvor i 2011 av leverandøren. Vi skal helt klart få flere ting på nett, men må samtidig tørre å diskutere nedsiden og risikoen det fører med seg, slik at vi er beredt om noe feiler, og gjør at vi vet hvordan vi skal håndtere konsekvensen av feilene. 

Hun er enig i at sikkerhet er viktig når alt kobles på nett. Dette, forteller hun, er noe Telenor tar på høyeste alvor.

– I Telenor har vi en helhetlig tilnærming til sikkerhet. Det betyr at for alle ledere i Telenor er sikkerhet en del av lederoppgaven. De må vurdere hva slags verdier de har ansvar for og aktivt jobbe med å redusere sårbarheten i sin del av organisasjonen. For eksempel ved å lage tiltak som hindrer at informasjon havner på avveie.

– Vi eier kritisk infrastruktur, og vi har derfor et stort ansvar, både i et samfunnssikkerhetsperspektiv og et individ-perspektiv, forteller hun.

Sikkerhet er nøkkelen til tingenes internett

Hanne Tangen Nilsenm Sikkerhetssjef i Telenor Norge.
Hanne Tangen Nilsenm Sikkerhetssjef i Telenor Norge.

Oppsøk veiledning og hjelp

Noe av risikoen når stadig flere ting havner på nettet, er at kriminelle utnytter sårbarheten som finnes, påpeker Tangen Nilsen. Mange produsenter av elektronisk utstyr har ikke forholdt seg til internett og IT-sikkerhet tidligere. Tangen Nilsens råd er at disse aktørene må ta et større ansvar.

– Nå kommer 5G-nettet, hvor vi ser mange mekanismer som er med på å øke sikkerheten, men det er ekstremt viktig at vi ikke snubler underveis, men tar med oss gode rutiner og systemer for sikkerhetsarbeid inn i utviklingen. Vi er også opptatt av at utviklere av IoT-tjenester ivaretar sin del av sikkerheten. Du må tenke på tingen din som et IT-system og sikre det deretter. 

Det finnes mange flinke partnere som en IoT-leverandør kan knytte seg opp mot, og anerkjente rammeverk og standarder. Bruk dette, ikke finn på noe selv, råder Tangen Nilsen.

– Du må også tenke livsløp. At IoT-en din kan oppdateres. Hvis du må skifte ut noe, må du legge til rette for det. Hvis du må ha flere leverandører inn i verdikjeden din, må du også ha tenkt på hvordan det best kan løses. Vi kaller det livsløpforvaltning.

Still krav

Nilsen råder oppstartsselskaper og gründere av IoT-løsninger til å jobbe med aktører som kan levere sikker kommunikasjon, men ber også om at forbrukere stiller krav.

– De som leverer produkter til forbrukere, produkter som før ikke har vært på nett, er de dårligste på å tenke sikkerhet. Og vi som forbrukere må begynne å stille krav. “Er softwaren på denne vaskemaskinen oppdatert? Kan den oppdateres i fremtiden?” Tenk deg for eksempel om du skal ha et alarmsystem i hjemmet ditt, hvor alt er koblet på nett og dataen sendes til et vekterfirma.

– Leverandøren bør kunne vise til standarder og retningslinjer for bruk av personlige data og ha systemer som gjør at informasjonen ikke havner på avveie.

– Det er dette sikkerhet handler om. Det er ikke gitt at selgeren i butikken kan svare på slike spørsmål, men det er et godt sted å starte, avslutter hun. 

Abonner på vårt nyhetsbrev om sikkerhet