Siber risk alanları giderek genişliyor
Diyabet hastalarının kullandığı insülin pompası ele geçirilebilir!
ESET Güvenlik Araştırmacısı Graham Cluley, ‘pes’ detirten bir riske dikkat çekti. Cluley, şeker hastalarının kullandığı ve aslında hayatlarını oldukça kolaylaştıran online bağlantılı insülin pompalarının başkaları tarafından ele geçirilebileceği uyarısını yaptı.
Avrupa ve ABD’de sağlık sektöründe gündeme gelen bir konu, nesnelerin interneti (Internet o thinks-IoT) sayesinde ‘zekileşen‘ cihazlardaki güvenlik açıklarını da gündeme taşıdı. Diyabet hastalarının kullandığı online bağlantılı insülin pompalarının hacklenebileceği ortaya çıktı. Cihazlarda suistimal edilebilecek zayıflıklar bulunduğu ve bunun kötü niyetli saldırganlar tarafından kullanılabileceği belirtildi.
Herkesi ilgilendiriyor
Dünyada yaklaşık 415 milyon diyabetli hasta var. Tüm devletlerde toplumun yaklaşık yüzde 10‘u şeker hastası. Türkiye’de de 8 milyon diyabet hastası olduğu tahmin ediliyor. Hem dünyada hem de dünyada sayı hızla artıyor. Bu nedenle diyabet konusunda geliştirilen kolaylaştırıcı uygulamalar ve teknolojiler, çok geniş bir kesim tarafından takip ediliyor. İnsülin pompasının hacklenebiliyor olması da tam bu nedenle pek çok kişiyi ilgilendiriyor.
İnsülin pompası nedir?
Diyabet (Şeker) hastalarının giderek daha yoğun olarak tercih etmeye başladığı insülin pompası, tüm gün boyunca sürekli ve az miktarda insülin salgılayarak, kan şekerinin dengede kalmasını sağlıyor. Hastalar bu yöntem sayesinde günde 4 defa enjeksiyon yapma zorunluluğundan kurtuluyor. ESET Güvenlik Araştırmacısı Graham Cluley’e göre yeni nesil kablosuz iletişim kurabilen pompalar, bu süreci ve kullanımı daha da kolay pratik getiriyor.
Şeker hastası meslektaşı tespit etti
Ancak Cluley, tam da bu noktada sıkıntılar olduğunu aktarıyor ve bir meslektaşının bu konuya dikkat çektiğini belirtiyor. Cluley’in verdiği bilgiye göre, ‘Tip I‘ diyabetik olan Jay Radcliffe adlı güvenlik araştırmacısı, bu tıbbi cihazın kablosuz iletişiminde güvenlik açıkları olduğunu keşfetti. Cihazdaki şifreleme eksikliği talimatların şifresiz metinle gönderildiği anlamına geliyor. Uzak konum ve pompa arasındaki zayıf eşlemeyle birlikte bu durum, uzaktan saldıran kişiler için kontrolü ele geçirme ve yetkisiz olarak insülin enjeksiyonlarını tetikleme olanakları sağlayabilir.
Ne olabilir?
Kullanıcı, pompada insülin iletimini iptal etmezse, saldırganların zarar verme potansiyeli oluşur ve hipoglisemik reaksiyon meydana gelebilir.
Üretici firma da uyardı
İnsülin pompalarına yönelik bir siber ihlal henüz meydana gelmedi ancak açığın tespit edildiği sözkonusu insülin pompasının üreticisi de kullanıcılarını bu gelişmelerle ilgili uyardı. Firma, cihazdaki kusurların istismar edilme riskinin düşük olduğunu ve paniğe gerek olmadığını iletti. Ancak yine de ‘radyo frekans iletişim sistemi üzerinden pompaya yetkisiz erişim sağlanabileceğine dair bir siber güvenlik sorunu‘ olduğunu kabul etti ve bu konuyu çözmeye çalıştıklarını duyurdu.
Tıbbı ekipmanlarda güvenlik sorunu
Sağlık endüstrisinde güvenlikle ilgili sorunların çoğu zaman mali kaynaklı olduğunu belirten Güvenlik Araştırmacısı Graham Cluley, su tespitlerde bulundu: “Bu durumlarda en önemli unsur, genelde ekipmanı ona ihtiyacı olan kitle için ulaşılabilir hale getirmektir. Ancak her şeyin birbirine bağlı olması gereken bir IoT ortamı oluşturmaya çabalarken bazen bu cihazlardaki güvenlik konusu ikinci plana itiliyor. Oysa güvenlikle ilgili konular da artık maliyetin içine katılmalıdır.“
Endişeler, cihazı kullanmamaya yol açmamalı
Cihazlardaki riski keşfeden Jay Radcliffe ise bu keşfine rağmen diyabeti olan kişilerin güvenlik endişelerinin korumasız cihazları kullanmamasına yol açmaması gerektiğine inanıyor. Radcliffe, “Diyabetinize dikkat etmeyi her zaman en başa koymalısınız. Yüksek kan şekeriyle düşük kan şekerinin tehlikelerini hepimiz biliyoruz. Bu riskler genelde, bu yazıda vurgulanan risklerden daha önemlidir“ açıklamasını yaptı.
Konuyla ilgili daha detaylı bilgi şu linkten takip edilebilir:
https://www.welivesecurity.com/2016/10/06/insulin-pumps-hacked-warns-johnson-johnson/