Medische moord

Ook insulinepompen zijn te hacken. Eerder deze maand toonde Jay Radcliffe aan dat buitenstaanders de hoeveelheid insuline die een pomp afgeeft, met behulp van een speciale afstandsbediening kan worden verhoogd of verlaagd. Zo’n pomp is in iemands lichaam ingebouwd; de enige manier om van buitenaf tegen het ding te ‘praten’ – bijvoorbeeld om uit te lezen hoe het met drager ervan of met het apparaat zelf is gesteld – verloopt via een wifi-verbinding.

Radcliffe toonde overtuigend aan dat de pomp slecht is beveiligd en dat zodoende ook buitenstaanders op afstand commando’s kunnen geven: een hack met potentieel dodelijke gevolgen.

Ik kon me ogenblikkelijk allerlei griezelige scenario’s voorstellen. Politieke tegenstanders die elkaar uitschakelen met zo’n medische moord, geheime diensten die geheime operaties doen, maffiabazen die de concurrentie willen uitschakelen. Je hoeft maar kort in de buurt van je opponent te zijn, en niemand die na een insulline-insult aan moord denkt.

Radcliffe, die als beveiligingsdeskundige bij IBM werkt, was doelbewust terughoudend over zijn werkwijze. Hij wilde zelfs niet kwijt om welk type pomp het ging, eerst wilde hij met de fabrikant praten. Zijn voorzichtigheid was begrijpelijk: Radcliffe is zelf diabeet, en die pomp zit in zijn eigen lichaam.

Toen de fabrikant echter Oost-Indisch doof bleef en elk contact met ontweek, maakte Radcliffe alsnog bekend wie de maker was. Het ging om Medtronic, zo ongeveer ’s werelds grootste leverancier van insulinepompen.

Nog reageerde het bedrijf niet. Pas toen journalisten begonnen te bellen en ook de Amerikaanse overheid aandrong op een gesprek, kwam er commentaar. ‘Dragers kunnen de wifi van de pomp ook uitzetten, hoor,’ zei Medtronics. Dat is waar, zei Radcliffe, maar dat beschermt ze niet tegen deze specifieke hack. Het probleem zit namelijk dieper.

Nu ja, zei Medtronics toen, we zullen zien of we het probleem in latere modellen kunnen verhelpen. Met encryptie, ofzo. Dat zou mooi zijn, antwoordde Radcliffe, maar eh, de bestaande pompen dan? Alleen al in de VS dragen ruim twee miljoen mensen zo’n ding! Medtronic deed er prompt opnieuw het zwijgen toe.

Extra pijnlijk is dat eenzelfde hack al in 2008 is uitgevoerd en indertijd breed is uitgemeten. Het ging toen om pacemakers. Het betrof precies dezelfde kwetsbaarheid: gebruik maken van de ingebouwde wifi van het apparaat. En ook toen ging het om Medtronics.

Radcliffe is inmiddels overgestapt op een pomp van Johnson & Johnson. Hij vertrouwt Medtronics niet meer.


Aantal reacties: 15