Forskerforum
29.08.2016
Hun var vant til å fortelle andre dårlige nyheter om datasystemene deres. Så oppdaget Marie Moe digital risiko inne i sin egen kropp.
En dag våknet sikkerhetsforsker Marie Elisabeth Gaup Moe opp på gulvet fordi hjertet hennes hadde stoppet noen sekunder. På intensiven ble det raskt klart at hun måtte få en pacemaker.
Nå, fire år senere, er hun frisk og rask der hun sitter på kontoret sitt på SINTEF i Trondheim. Godt hjulpet av et implantat som står bak hvert eneste av hjerteslagene hennes.
- Jeg hadde aldri tenkt på sikkerhet i medisinsk utstyr før, men når du er forsker, har du lyst til å skjønne ting ordentlig, forklarer hun.
Hun hadde knapt kommet hjem fra operasjonen før hun begynte å google «sin» pacemakermodell, og oppdaget forbløffet at den hadde en wifi-oppkobling ingen hadde fortalt henne om. Hun begynte å teste ut pacemaker-sikkerhet på egen hånd, noe som etter hvert førte til at hun ble intervjuet i Dagens Næringsliv og internasjonale medier, og i dag holder foredrag om emnet verden over. Interessen er naturlig, for worst case-scenarioet hun beskriver, er skremmende: Hva om noen kan hacke seg inn på pacemakere via nettet og stoppe hjertene på folk?
Moe ønsker ikke å spre ubegrunnet frykt - avstandsdrap med pacemaker hører foreløpig fiksjonen til. Men forskere i samme ærend som henne har vist at en hacker kan finne og koble seg på pacemakere så lenge hun er i samme rom som bæreren. Moe har selv erfart hvordan det føles når pacemakeren uventet halverer pulsrytmen. Etter operasjonen opplevde hun i flere måneder at anstrengelser som lange trapper eller å løpe etter bussen ble avbrutt av brå utmattelse og en følelse av å skulle dø. Etter mange undersøkelser viste det seg at pacemakeren hadde en feil innstilling som sykehusets programmerere ikke kunne se på sine skjermer - på grunn av en feil i programvaren. Om slike «bugs» og sikkerhetshull skal bli oppdaget, er det bra at uavhengige testere får tilgang, mener Moe.
- Noen tenker at de kan beskytte sikkerheten ved å holde ting hemmelig, men et prinsipp i krypto , som jeg jobber med, er at flere skal se på koden, så man kan få tredjeparts-verifisiering. Jeg har trua på at produsentene har strenge interne rutiner for kvalitetssikring, men som pasient og forsker vil jeg se åpne publiserte resultater, ikke bare at de sier «ja, vi har alt under kontroll».
- Hvordan reagerer produsentene når du tar kontakt?
- Noen har vært åpne for dialog, men vi har fortsatt en prosess foran oss. Grunnen til at vi ikke har publisert noen resultater ennå, er blant annet at vi vil gjøre det i forsvarlig samarbeid med produsentene. Man går ikke bare ut med info om sikkerhetshull.
Siden Moe ikke får alle data fra produsentene, må hun undersøke implantatene via såkalt «omvendt utvikling» - å koble seg til eksisterende utstyr og forske seg fram til hvordan det fungerer «fra utsiden». Hun har rigget seg til i laben med en rekke medisinske maskiner og pacemakere, noen er donert av pasienter og andre som støtter arbeidet, andre er kjøpt fra Ebay . I USA og andre land har pasienter og forskere gjort lignende prosjekter med insulinpum
Gå til medietNå, fire år senere, er hun frisk og rask der hun sitter på kontoret sitt på SINTEF i Trondheim. Godt hjulpet av et implantat som står bak hvert eneste av hjerteslagene hennes.
- Jeg hadde aldri tenkt på sikkerhet i medisinsk utstyr før, men når du er forsker, har du lyst til å skjønne ting ordentlig, forklarer hun.
Hun hadde knapt kommet hjem fra operasjonen før hun begynte å google «sin» pacemakermodell, og oppdaget forbløffet at den hadde en wifi-oppkobling ingen hadde fortalt henne om. Hun begynte å teste ut pacemaker-sikkerhet på egen hånd, noe som etter hvert førte til at hun ble intervjuet i Dagens Næringsliv og internasjonale medier, og i dag holder foredrag om emnet verden over. Interessen er naturlig, for worst case-scenarioet hun beskriver, er skremmende: Hva om noen kan hacke seg inn på pacemakere via nettet og stoppe hjertene på folk?
Moe ønsker ikke å spre ubegrunnet frykt - avstandsdrap med pacemaker hører foreløpig fiksjonen til. Men forskere i samme ærend som henne har vist at en hacker kan finne og koble seg på pacemakere så lenge hun er i samme rom som bæreren. Moe har selv erfart hvordan det føles når pacemakeren uventet halverer pulsrytmen. Etter operasjonen opplevde hun i flere måneder at anstrengelser som lange trapper eller å løpe etter bussen ble avbrutt av brå utmattelse og en følelse av å skulle dø. Etter mange undersøkelser viste det seg at pacemakeren hadde en feil innstilling som sykehusets programmerere ikke kunne se på sine skjermer - på grunn av en feil i programvaren. Om slike «bugs» og sikkerhetshull skal bli oppdaget, er det bra at uavhengige testere får tilgang, mener Moe.
- Noen tenker at de kan beskytte sikkerheten ved å holde ting hemmelig, men et prinsipp i krypto , som jeg jobber med, er at flere skal se på koden, så man kan få tredjeparts-verifisiering. Jeg har trua på at produsentene har strenge interne rutiner for kvalitetssikring, men som pasient og forsker vil jeg se åpne publiserte resultater, ikke bare at de sier «ja, vi har alt under kontroll».
- Hvordan reagerer produsentene når du tar kontakt?
- Noen har vært åpne for dialog, men vi har fortsatt en prosess foran oss. Grunnen til at vi ikke har publisert noen resultater ennå, er blant annet at vi vil gjøre det i forsvarlig samarbeid med produsentene. Man går ikke bare ut med info om sikkerhetshull.
Siden Moe ikke får alle data fra produsentene, må hun undersøke implantatene via såkalt «omvendt utvikling» - å koble seg til eksisterende utstyr og forske seg fram til hvordan det fungerer «fra utsiden». Hun har rigget seg til i laben med en rekke medisinske maskiner og pacemakere, noen er donert av pasienter og andre som støtter arbeidet, andre er kjøpt fra Ebay . I USA og andre land har pasienter og forskere gjort lignende prosjekter med insulinpum
