Vinner av Akademikerprisen 2017:

Når pasienten kan hackes

Foto: Jon Helle

Ny medisinsk teknologi skaper en kompetanseutfordring. Når pasienten blir en kyborg med implantater og sensorer som kommuniserer over internett vil helsepersonell møte nye utfordringer relatert til sikkerhet og personvern. Hvordan skal helsepersonellet forholde seg til sårbarheter og sikkerhetshull i programvare? Hvem har kunnskapen som trengs for å gjøre en kost-nytte analyse av om en sikkerhetsoppdatering skal installeres på en pacemaker? En oppdatering som tetter et sikkerhetshull og senker risikoen for hacking, men som samtidig medfører en liten risiko for at koden i implantatet slår krøll på seg og slutter å gi riktig behandling.

Dagens pacemakere og implanterte hjertestartere har allerede trådløs kommunikasjon og kan kobles på ­internett. I fjor høst ble pacemaker-produsenten St. Jude Medical (nå Abbot) sterkt kritisert av forskere som hadde funnet sårbarheter. De amerikanske sikkerhetsforskerne publiserte en rapport som viste at den trådløse ruteren som står hjemme hos brukeren og kommuniserer med pacemakeren, hadde sikkerhetshull. Disse kunne åpne for at en hacker via internett kunne logge seg på og sende kommandoer til implantatet. Den amerikanske tilsynsmyndigheten FDA har gransket saken og bekreftet at sårbarhetene eksisterte. I verste fall kunne noen ha utnyttet dette til å tømme batteriet på pace­makeren, eller endre programmeringen slik at hjerterytmen hos brukeren ikke fikk nødvendig stimulering, med dødelig utfall som en mulighet.

I august i år, et helt år etter at sårbarhetene ble gjort kjent, kom en sikkerhetsoppdatering som skulle fikse ­sårbarheter i pacemaker-implantatene, 465 000 pasienter i USA og anslagsvis 750 000 pasienter på verdensbasis ­hadde implantert pacemakere med disse sårbarhetene. Sikkerhetsoppdater­- ingen sendes ikke over internett, slik som når man oppdaterer en PC eller mobiltelefon, men utføres av helsepersonell via programmereren som kommuniserer trådløst med implantatet. Oppdateringen av programvaren i pacemakeren tar ca. 3 minutter, så er sikkerhetshullet tettet og pasienten kan ikke hackes via dette. Men, programvareoppdateringen medfører også en liten risiko for at noe går galt med koden under oppdateringen. Pacemakeren kan få slettet konfigurasjonen eller pacemakeren kan slutte å fungere. Det er derfor viktig at pasienten blir informert om risikoen det innebærer å få utført en programvareoppdatering, og at legen og pasienten sammen har nok informasjon tilgjengelig til å vurdere om nytten av å utføre oppdateringen er større enn risikoen for at noe går galt.

Risikoen for at en hacker forsøker å bryte seg inn i pacemakeren til en pasient kan kanskje høres ut som science fiction, og heldigvis finnes ingen kjente tilfeller av denne typen hacking utenfor kontrollerte forsøk på lab i dag. Men, hvor alvorlig man skal ta trusselen avhenger av hvor kritisk sårbarheten er og hvilken teknisk kompetanse og utstyr som kreves for å utføre angrepet. Jeg tør påstå at å vurdere hvor kritisk et sikkerhetshull i en pacemaker er krever kompetanse som verken legen eller den vanlige pasienten besitter. Hvordan kan man da vurdere nødvendigheten av å installere sikkerhetsoppdateringen? Hvilken informasjon kreves for å utføre denne risikovurderingen og hvordan skal man snakke med pasienter om cyber- sikkerhet i deres medisinske implantat?

Dette er viktige tema og noe som leverandører, helseforetak og myndigheter må ta tak i umiddelbart. Heldigvis begynner bransjen å røre på seg. Jeg var så heldig å få delta på et møte hos Heart Rhythm Society (HRS) i min rolle som både pacemakerpasient og sikkerhetsforsker. Hva trenger leger å vite om cybersikkerhet? Hvordan kan man best kommunisere risikoen forbundet med sikkerhetshull og sårbarheter i implantatet? Hvem skal bli varslet om sårbarheter og hvordan skal varslingen utføres i praksis? Dette er noen av de viktige spørsmålene vi diskuterte på dette møtet og som skal inngå i et dokument som planlegges å publiseres offentlig av HRS i mai neste år. •