med hjertet på internett - owaspsintef ikt hvordan få bedre sikkerhet? • cybersafety-by-design:...
TRANSCRIPT
![Page 1: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/1.jpg)
SINTEFIKT 1
MarieMoe,PhD,ForskervedSINTEFIKT,Systemutviklingogsikkerhet
MedhjertetpåInternettSikkerhetidetmedisinskeIoT
@MarieGMoe@SINTEF_Infosec
Oslo18.april 2016
![Page 2: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/2.jpg)
SINTEFIKT 2
Dagens Næringsliv Magasinet 9.januar 2016
![Page 3: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/3.jpg)
SINTEFIKT
Hjertets elektriske system
3
![Page 4: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/4.jpg)
SINTEFIKT
Pacemaker
https://www.youtube.com/watch?v=-f2FKmMneXY
![Page 5: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/5.jpg)
SINTEFIKT
Nyeste generasjon pacemaker
5
![Page 6: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/6.jpg)
SINTEFIKT
Ienganskenærfremtid...
https://www.youtube.com/watch?v=ZiQJIpd2n8k
![Page 7: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/7.jpg)
SINTEFIKT 7
Fremtiden er nå
https://youtu.be/JzjXLtR5vkE?list=PLI6tVViVpg8gwKwWjYl8MOMUK8b0Rmm6v
![Page 8: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/8.jpg)
SINTEFIKT
Det”medisinskeInternet of Things”
Nårsensorsystemeneimplanteresikroppenmåvibeskyttevårpersonligekritiskeinfrastruktur!
![Page 9: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/9.jpg)
SINTEFIKT
Pacemaker/ICDProgrammer
Homemonitoringunit
CellularorTelephoneNetwork Webportal
Inductivenearfieldcommunication
MICS/ISM
POTS/SMS
![Page 10: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/10.jpg)
SINTEFIKT
Hva kan gå galt?
Sårbarheter i pacemakeren?
Sårbarheteriaksesspunktet?
Kanvistolepåmobilnettet?
Erleverandørensserver/skytjenestesikret?
Sårbarheter i web-portalen?Menneskelige feil?
![Page 11: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/11.jpg)
SINTEFIKT
Mulige konsekvenser
11
• Pasientinformasjon på avveie• Tømming av batteri• Feiltilstander og feilkonfigurasjon• Livstruende feilbehandling• Trusler og utpressing
![Page 12: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/12.jpg)
SINTEFIKT
Utfordringerforsikkerhetimedisinskutstyr
• Proprietæreløsningerutenvelkjenteogstandardiserteprotokoller• Leverandørkreverhullibrannmurforfjerntilgang• Standardellerhardkodedepassord,dårlignøkkelhåndtering• Ikkeimplementerttilfredsstillendemekanismerellerrutinerforsoftware-oppdatering• Detfysiskeproduktetharlanglevetidogblirhengendeetteriforholdtilnye
sikkerhetsmekanismerogutviklingenitrusselbildet• Produktersomtradisjoneltharfungertilukkedemiljøkoblespånett• Mangelfullreguleringoglovverk• Lavbruker- ogbestillerkompetanse
![Page 13: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/13.jpg)
SINTEFIKT
Mankan ikke alltid stolepå utstyrsleverandøren…
13
![Page 14: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/14.jpg)
SINTEFIKT
Hva skjer medminpasientdata i skyen?
14
![Page 15: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/15.jpg)
SINTEFIKT
Enveldiglangtrapp...
![Page 16: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/16.jpg)
SINTEFIKT
Når det som står på skjermen ikke stemmer…
![Page 17: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/17.jpg)
SINTEFIKT
Fordelene utveier ulempene!
17
![Page 18: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/18.jpg)
SINTEFIKT
JayRadcliffe:Hacket sinegen insulinpumpe
18
![Page 19: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/19.jpg)
SINTEFIKT
HugoCampos:Tilgang til egen datafra ICD
19
![Page 20: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/20.jpg)
SINTEFIKT
Dr. KevinFu:Forsker på sikkerhet i pacemakere/ICDer
20
![Page 21: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/21.jpg)
SINTEFIKT
Noen referanser
Pacemakere:• KevinFuetal:
– Pacemakersandimplantablecardiacdefibrillators:Softwareradioattacksandzero-powerdefenses (2008)– MitigatingEMIsignalinjectionattacksagainstanalogsensors(2013)
• BarnabyJack
Annet medisinsk utstyr:• Hardkodede passord og “medicaldevicehoneypots”(ScottErven)• Insulinpumper(JayRadcliffe)• Medisinpumper(BillyRios)
21
![Page 22: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/22.jpg)
SINTEFIKT
Første eksempel på tilbaketrekking pga cybersikkerhet
22
![Page 23: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/23.jpg)
SINTEFIKT 23
http://www.fda.gov/NewsEvents/Newsroom/PressAnnouncements/ucm481968.htm
![Page 24: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/24.jpg)
SINTEFIKT
Hvordanfåbedresikkerhet?• Cybersafety-by-design:Sikkerhetiprogramvareutviklingsløpetformedisinskutstyr
hosprodusenterogiheleleverandørkjeden• Bevissikring: Bevissikringogloggingvilkunnebrukesihendelseshåndteringog
etterforskningietterkantavenhendelsedermedisinskeimplantatkanhablittutsattforcyberangrep
• Testing:Metodikkogrammeverkfortredjepartstesting• Patching: Løsningerforraskogsikkerpatching avsårbarheterogsikkerhetshulli
medisinskeimplantat• Resilience:Hvordansørgeforatkomponenteridetmedisinskeimplantatetfortsetter
åleverekritiskpasientbehandlingogsåunderfeiltilstanderellerforsøkpåangrep
![Page 25: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/25.jpg)
SINTEFIKT
![Page 26: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/26.jpg)
SINTEFIKT
![Page 27: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/27.jpg)
SINTEFIKT
Våravhengighetavsystemersomstyresavprogramvareøkerraskereennvårevnetilåsikresystemene
• Utstyrsprodusentermåbyggeinnsikkerhetiproduktene• Brukeremågjøreegnerisikoanalyserogfølgemedpåutviklingenirisikobildet• Vimåinnseatdetvilgågalt,ogplanleggefordette• Meruavhengigforskningogtredjepartstestingtrengs• Standardisering,ansvarsavklaringogbedrelovregulering
27
Konklusjon
![Page 28: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/28.jpg)
TakktilÉireann Leverett (@blackswanburst)
TonyNaggs (@xa329)GunnarAlendal (@gradoisageek)
HugoCampos (@HugoOC)ScottErven (@scotterven)
Alexandre Dulaunoy (@adulau)ClausCramon Houmann (@ClausHoumann)
JoshuaCorman (@joshcorman)BeauWoods(@beauwoods)SuzanneSchwartz(USFDA)
Familie &venner
![Page 29: Med hjertet på Internett - OWASPSINTEF IKT Hvordan få bedre sikkerhet? • Cybersafety-by-design: Sikkerhet i programvareutviklingsløpet for medisinsk utstyr hos produsenter og](https://reader031.vdocuments.site/reader031/viewer/2022041717/5e4c43339e2a5952bd3aabc7/html5/thumbnails/29.jpg)
SINTEFIKTSINTEFIKT
Takkforoppmerksomheten!
[email protected]://infosec.sintef.nohttp://iamthecavalry.org
@MarieGMoe@SINTEF_Infosec