Medtronic

Recent schreef ik over insulinepompen die te hacken bleken. Prompt kreeg ik een mailtje van de PR & Communications Manager van Medtronic Benelux – de firma achter die kaduke insulinepompen. Of ik ze niet wou bellen? Hij had namelijk meer informatie. Ik antwoordde dat ik telefoons haat en dat ik zulke dingen voorts sowieso liever schriftelijk deed. Kort daarna ontving ik een e-mail waarin Medtronic zich verdedigde tegen mijn aantijgingen. Ik loop die mail graag even publiekelijk door. (Ja, ik heb mijn antwoord ook rechtstreeks verzonden.)

U vermeldt in uw artikel dat Medtronic de beveiligingsklacht over de insulinepompen niet serieus neemt. Dit is niet juist.

De praktijk wijst anders uit. Ja, Medtronic was aanwezig tijdens de presentatie van de hack, maar Medtronic weigerde zowel op voorhand als na afloop met Jay Radcliffe – de hacker in kwestie – te spreken, terwijl hij op zijn beurt alles op alles had gezet om het bedrijf op voorhand in te lichten over zijn bevindingen. Om een gesprek tussen hem en het bedrijf tot stand te brengen, was uiteindelijk nota bene bemiddeling en druk door de Amerikaanse overheid zelf nodig. Wat me vooral bevreemd is dat journalisten intussen wel toegang tot uw bedrijf kregen, maar Jay Radcliffe niet.

Medtronic neemt de informatiebeveiliging van haar producten zeer serieus. Het is een standaard onderdeel van het ontwerpproces van onze producten. Met de introductie van steeds meer technologische mogelijkheden worden er continu voorzorgsmaatregelen genomen om de informatieveiligheid van onze producten, en tevens de beoogde werking – het verbeteren van levenskwaliteit en verlengen van levens – te garanderen.

Ja, zulke verhalen horen we vaak: producenten doen hun uiterste best. Ook de Nederlandse producent van stemcomputers beweerde bij hoog en bij laag dat zijn machines veilig waren. Helaas bleken die stemcomputers veel kwetsbaarder dan iedereen lief was, en bleek de maker ervan geen benul te hebben van beveiliging.

Feit is dat de pacemaker van Medtronic al in 2008 is gehackt, en dat precies dezelfde zwakheid nu gebruikt kon worden voor een hack van de insulinepompen van Medtronic. Dat wijst erop dat Medtronic slecht leert, of erger: koppig vasthoudt aan haar eigen, interne definitie van ‘veiligheid’.

Zoals een goede vriend van me ooit zei: ‘Boeing mag gerust vliegtuigen maken, en Boeing moet ze vooral zelf ook terdege testen. Maar de definitie van de veiligheid en de uiteindelijke toetsing daarvan moet je heus aan buitenstaanders overlaten.’

In de afgelopen jaren hebben we ons al intensief beziggehouden met het toevoegen van krachtige encryptie- en veiligheidsmaatregelen in onze nieuwe generatie producten, waaronder de insulinepompen.

Des te tragischer dat die inspanning zo weinig heeft opgeleverd.

Ergens begrijp ik het wel: de techniek wordt ontworpen met de behoeften van medisch personeel en patiënten als uitgangspunt. Alles wat voor hen noodzakelijk en handig is, wordt ingebouwd. Er wordt gekeken naar wat kan en naaar wat wenselijk is. Daarnaast heeft de medische sector – nu ja, de medici dan, voor de producenten valt dat nog maar te bewijzen – van oudsher een open, positieve houding: informatie delen, uitgaan van vertrouwen, onderling samenwerken, geloven in het goede. Dat zit ingebakken in de discipline. De medische sector gaat voorts uit van de ouderwetse gedachte dat hun technologie een onderonsje van gelijkgezinden is, en abacadabra voor buitenstaanders.

Het probleem met die benadering is dat nooit wordt afgedekt wat ook kan maar onwenselijk is. Het uitgangspunt is sympathiek gebruik; zelden wordt nagedacht over antipathiek gebruik. De medische sector breekt zich met andere woorden zelden het hoofd over de vraag wat buitenstaanders – laat staan kwaadgezinden – met hun technologie kan doen.

Diezelfde houding hadden systeembeheerders in de jaren tachtig van de vorige eeuw. Ze vertrouwden op goed gebruik en op nobel beheer. En iedereen die aantoonde dat hun beveiliging niet deugde – hackers! – , werd weggezet: dat was atypisch (of zelfs crimineel) gedrag. Daar kon je een systeem toch niet tegenop bouwen!

Ja – dat kun je wel. Erger: dat moet je doen. Want geen enkele discipline is nog een onderonsje. Iedereen die een nieuwe technologie ontwikkelt, moet nadenken over vriendelijk (bedoeld) gebruik, en over onvriendelijk (ondermijnend, contraproductief) gebruik. Wie weigert na te denken over kwetsbaarheden van zijn technologie is honderd procent aansprakelijk voor de consequenties van misbruik ervan – zeker wanneer die kwetsbaarheden al jaren geleden bekend zijn geworden. Zoals in 2008 gebeurde bij de pacemakers van Medtronic, kwetsbaarheden die nu ook blijken te gelden in hun insulinepompen van 2011.

Zolang je redeneert vanuit je eigen groep is beveiliging zelden een probleem. Wanneer je breder denkt, is het dat helaas wel. En aangezien serieus nadenken over een resistente beveiliging ook serieuze ontwerp- en financiële consequentie heeft, is breed nadenken over betrouwbare beveiliging niet erg populair.

Dat is begrijpelijk. Maar ga dan alsjeblieft niet zeuren dat je zo eminent bent wanneer je op een ernstige fout bent betrapt – want ’eminent’ was je dan immers al lang niet meer. Dat je dat niet bent, was nu juist zo pijnlijk, venijnig bewezen.

Meneer Radcliffe heeft aangetoond dat de pompinstellingen met behulp van een computer en een USB-stick gewijzigd kunnen worden, terwijl het serienummer van de insulinepomp bekend is. De insulinepomp herkent opdrachten van de USB-stick echter niet zonder het juiste serienummer van de pomp.

Heus. Heeft u de beschrijvingen van de hack gelezen? Het gaat om een wireless hack. Zie hier en hier.

Het pijnlijkste element van de reactie van Medtronic was nu juist dat ze zich verdedigden met het argument dat ‘die wireless-functie ook door de patiënt kon worden uitgezet‘, met als suggestie dat dan alles weer veilig was. Waarna Radcliffe antwoorde dat het uitzetten van de wireless functie de kwetsbaarheid niet oploste, omdat die op een lager niveau lag – een feit waaraan ik ook in mijn column refereerde.

Begin dan alstublieft niet tegen mij te zeuren over ‘ja-maar-alleen-met-USB-sticks’. U gaat daarmee in tegen wat uw hoofdkantoor al lang heeft toegegeven.

Volgens Medtronic is het risico op opzettelijke, ongeoorloofde manipulatie van de werking van onze insulinepompen uiterst klein. Voor zover bij ons bekend, is er tot op heden geen enkel incident of opzettelijke ‘hack’-actie tegen een gebruiker van onze insulinepompen geweest in de 25 jaar dat onze insulinepompen op de markt zijn.

Het gaat niet over 25 jaar oude pompen, en het gaat niet om geoorloofde manipulaties. Het probleem is nu juist dat er ongeoorloofde manipulaties mogelijk zijn, dat Medrtonic dat al 4 à 5 jaar weet, en dat Medtronic daartegen al die tijd geen maatregelen heeft genomen.

Sterker: Medtronic US heeft inmiddels erkend dat de hack mogelijk is en dat ze aan encryptie moeten gaan doen. Hun enige resterende dispuut met Radcliffe is dat hij meent dat ze oude exemplaren moeten vervangen terwijl zij denken alleen nieuwe exemplaren beter te moeten beveiligen. U doet het onderwijl voorkomen alsof de hele kwestie onzin was. Misschien moet u zich nog even laten bijpraten…? Uw antwoord spoort niet helemaal met de internationale tak van uw bedrijf.

De pomp werkt niet via een ‘wifi’-verbinding en is dus ook niet via het internet benaderbaar. Communicatie tussen pomp en afstandsbediening gaat via een RF-verbinding (soort Bluetooth-verbinding) en de apparaten moeten via een code door de gebruiker met elkaar worden verbonden om te kunnen werken.

Kom nu toch. Om Bluetooth apparaten te benaderen is geen fysieke verbinding nodig, dat is – helaas – te uit en te na bewezen, en niets is makkelijker dan Bluetooth welcoming protocols te emuleren. Wanneer dat uw verdedigingslinie is, zie ik het somber in voor Medtronic.

Alle insulinepompfabrikanten maken gebruik van draadloze verbindingen tussen hun pomp en randapparaten, dus in principe bestaat de mogelijkheid dat iemand de pompinstellingen kan manipuleren als deze in het bezit is van het serienummer, voor alle insulinepompsoorten op de markt.

De man die uw insulinepomp heeft gehackt, heeft pupliekelijk gezegd dat hij na zijn exploratie is overgestapt op een insulinepomp van Johnson & Johnson. Hun pomp bleek aanzienlijk robuuster en was niet vatbaar voor deze hack. Wanneer iemand die beveiligingsdeskudige is en diabeet, zegt uw pomp niet meer te vertrouwen maar die van een andere fabrikant wel, heeft u een serieus probleem.

Wij willen verder nog vermelden dat intern onderzoek heeft uitgewezen dat de insulinepompgebruiker zich geen zorgen hoeft te maken.

Intern onderzoek heeft aangetoond dat wij van WC-eend vinden dat gebruikers van WC-eend…

Hoe vaak u het ook ontkent: Medtronic is in 2008 gewaarschuwd dat hun producten een ernstige fout bevatten, en kreeg toen tips hoe die fout te verhelpen. Nu diezelfde fout in 2011 nog steeds blijkt te bestaan, heeft Medtronic niemand anders iets te verwijten dan zichzelf.