Insulinepomp Johnson & Johnson blijkt eenvoudig te hacken

vr 7 oktober 2016 - 07:52
Nieuws

Een bepaald type insulinepomp van Johnson & Johnson blijkt relatief eenvoudig te hacken te zijn. Daarmee is het in theorie mogelijk voor hackers om er voor te zorgen dat gebruikers van de pomp een overdosis aan insuline krijgen, aldus persbureau Reuters.

Het Amerikaanse farmaceutische concern heeft alle diabetespatiënten die de pomp gebruiken van de kwetsbaarheid op de hoogte gesteld. In de brief aan deze gebruikers benadrukt het concern wel dat de kans op misbruik van het lek zeer gering is. De brief die in handen kwam van Reuters, is verstuurd naar ruim 114.000 patiënten en artsen in de VS en Canada.

Het gaat om de Animas OneTouch Ping insulinepomp, sinds 2008 op de markt. De pomp zelf is niet verbonden met internet, maar is wel met een afstandsbediening aan te besturen. Reuters citeert en security-specialist die stelt dat de signalen van de afstandsbediening aangepast kunnen worden, waardoor een kwaadwillende een overdosis kan toedienen. De communicatie tussen de pomp en de afstandsbediening is namelijk niet beveiligd. Een hack zou wel binnen een straal van 7,5 meter moeten plaatsvinden.

Volgens Johnson & Johnson zijn er tot nu toe geen gevallen van hacks of aanvallen bekend. Bezorgde patiënten kunnen de mogelijkheid om de pomp met de afstandsbediening te besturen uitschakelen. Ook is de maximale insulinetoevoer van de pomp handmatig te begrenzen.

Hacken in healthcare acuut probleem

Het kunnen hacken van met internet verbonden (connected) medische devices  komt de laatste tijd regelmatig naar voren als potentieel groot probleem.  Eerder dit jaar bleek uit een onderzoek van Deloitte onder ziekenhuizen dat hun beveiliging vaak verouderd is.

Dankzij de slechte beveiliging zouden hackers ransomware kunnen installeren op zo’n device, dat dan pas na betaling van een bepaald bedrag weer vrijgegeven wordt.  Ook is het mogelijk om via een connected medisch device in te breken in platforms waar bijvoorbeeld EPD’s opgeslagen zijn. Dergelijke gegevens zijn veel meer waard dan bijvoorbeeld contactgevens, gebruikersnamen of wachtwoorden.
De mogelijkheid om patiënten kwaad te doen door een connected medisch device te hacken, is er ook, maar lijkt voor wat betreft financieel gewin minder interessant. Organisaties in de gezondheidszorg zijn ook een steeds aantrekkelijker doelwit voor hackers.

Groeiend aantal inbreuken

Recente studies van Gemalto en Intel Security geven aan dat het aantal hacks en data-inbreuken het snelst groeit in de gezondheidszorg. Reden: de vaak slechte beveiliging van IT-systemen.
De gezondheidssector was volgens Gemalto goed voor 27 procent van alle data-inbreuken (263 incidenten). Dat was een kwart mee dan in de voorgaande zes maanden.

Dit percentage geldt echter niet voor het aantal gecompromitteerde databestanden. In dat geval ging het bij de gezondheidssector om 5 procent, tegen 12  procent in de eerste zes maanden van 2015.
Ransomware heeft ook een steeds grotere impact op de zorgsector. Diverse ziekenhuizen werden begin 2016 het doelwit van een aantal gerichte ransomware-aanvallen. Intel- onderzoekers ontdekten dat er bijna $100.000 aan ‘losgeld’ is betaald aan specifieke Bitcoin-accounts, door ziekenhuizen die het slachtoffer waren geworden.