Korsan saldırılara hedef olma riski taşıyan tıbbi cihazlar

Bilişim korsanlığı haberlerine her gün bir yenisi ekleniyor. Web sitesi çökertenler, resmi kurumların güvenlikli iç ağlarına girenler, kişisel bilgileri ve şifreleri ele geçirip banka hesaplarından para çalanlar, başkalarının bilgisayarlarındaki tüm verilere kolayca ulaşanlar ile ilgili sayısız haber okuyoruz. Bilişim korsanlarının ulaşabildiği cihazlar maalesef her geçen gün çeşitleniyor. Öyle ki artık bazı tıbbi cihazlar da bu listede yer alıyor.

Bilgisayar korsanlarının tehdidi altındaki tıbbi cihazlar arasında kandaki insülin miktarını düzenlemek amacıyla şeker hastalarının kullandığı insülin pompaları, kalbin anormal hızda attığı durumlarda normal hızda atmasını sağlayan kardiyak defıbrilatörler veya yine kalp atışlarını düzenleyen kalp pillerini sayabiliriz. Vücuda yerleştirilen cihazların ana bilgisayarla iletişimlerini sağlayan kablosuz bağlantıları vardır. Bu bağlantı özellikleri sayesinde, doktorlar tarafından düzenli olarak kontrol edilebilirler, program güncellemeleri yapılabilir ve acil durumlarda cerrahi operasyona gerek kalmadan cihazlara müdahale edilebilir.

Tüm insanlığın faydası için üretilen bu cihazlar kablosuz bağlantı özellikleri yüzünden üçüncü şahısların müdahalesine maruz kalabilir. Bu müdahalelerle kalbin atış ritmini veya kandaki şeker miktarını değiştirmek mümkün olduğu için bu tip siber saldırılar pek çok defa ölümcül sonuçlara yol açabilir.

Korsan saldırılara hedef olma riski taşıyan tıbbi cihazları sadece vücuda yerleştirilen tıbbi cihazlarla sınırlandırmak doğru değil. Çünkü hastanelerde kullanılan pek çok cihaz, örneğin izleme cihazları veya bilgisayarlar da hem korsanlarm kolay ulaşabileceği işletim sistemleri olduğu hem de ortak bir ağa bağlandıkları için bilgisayar korsanlarının saldırısına uğrayabilir.

Aslında tıbbi cihazlarda güvenliği sağlamak için genellikle şifre kullanılıyor. Fakat bu şifreler bilgisayar korsanları tarafından kolayca etkisiz hale getirilebildiği için kötü niyetli saldırılara engel otamayabiliyor. Nitekim Cylance isimli bir güvenlik firmasının yayımladığı rapor bunu açıkça gösteriyor. Bu raporda, üç yüz tıbbi cihazın şifresinin çözümlendiği belirtiliyor. Çalışmayı yapan araştırmacılar BillyRios ve Terry McCorkle sadece bu konuya dikkat çekmek istedikleri için şimdilik üç yüz şifre elde ettiklerini, aslında aynı yolla 1000 hatta 10.000 şifreye de kolaylıkla ulaşabileceklerini söylüyor.

Artan riskler aslmda pek çok çevrenin de harekete geçmesini sağladı. Bunlardan biri de geçtiğimiz Temmuz ayında bir belge yayımlayan ABD Gıda ve İlaç İdaresi (American Food and Drug Administra-tion, FDA). FDA, bu belgeyle durumun ciddiyetine dikkat çekerek tıbbi cihaz üreticilerini, bu tip cihazları doğrudan etkileyebilecek olası saldırılara karşı uyararak bu konuda acil önlem alınması gerektiğini vurguluyor.

Kalp ritmi ya da kandaki şeker miktarı gibi hayati önem taşıyan faktörlerin bilgisayar korsanları tarafından değiştirilebilme ihtimaliyle yaşama korkusu, bir diğer deyişle kendini savunamadan, bilgisayar korsanlarının parmaklarının ucuna bağlı bir hayat yaşamaya çalışmak, bu tip cihaz kullanan birçok insanın kâbusu olmaya başladı. Bu korkular nedeniyle kullandıkları cihazların kablosuz iletişim özelliğini devre dışı bırakmak isteyenler var, ama bilgisayar korsanlarına göre bu bile kötü niyetli saldırıların önüne geçmek için yeterli olmayabilir.

Tıbbi cihazlardaki güvenlik boşluklarının kullanıcılarına yaşattığı kâbuslara son vermeyi hedefleyen çalışmalardan biri Rice Üniversitesinde yapıldı.

Bu çalışmada, tıbbi cihaz kontrollerinin ve programlarının kimlik doğrulamasını sağlayacak Heart-to-Heart (H2H) adı verilen yeni bir sistem geliştirildi. Bu sistemde vücuda cerrahi müdahale ile yerleştirilen cihazlar, örneğin kalp pilleri şifre olarak -yine aynı kişiye dışarıdan takılan küçük bir cihaz sayesinde-kalp atış çizelgesi (elektrokardiyogram, EKG) verilerini kullanıyor.

Bu çalışmayı yapan bilim insanları EKGdeki değişimleri, anlık olarak değişen borsa bilgilerine benzetiyor. Kalp atışlarının ritmini gösteren verilerdeki detaylara bakıldığında, verilerin mikrosaniyede bile değişebildiği görülüyor. EKG verileri her saniye değişiklik gösterdiği için şifrede sürekli yeniden tanımlanıyor, yani kullanılan bir şifre çok kısa sürede geçerliliğini kaybediyor.

Bu sistemde hastanın EKG verilerinin istatistiksel değerleri, hastaya temas eden şifreli (kriptolu) bir cihaz yardımıyla çözümleniyor. Bu veriler vücuda yerleştirilen cihazlarm okuduğu değerler ile karşılaştırılıyor. Eğer değerler birbiriyle uyum gösterirse kimlik doğrulama başlatılıyor ve programa erişim sağlanıyor.

H2H programı, aslında vücutta anlık olarak değişen başka bir fizyolojik değer üzerine de kurulabilirdi. Fakat bu çalışmayı yapan bilim insanları özellikle EKG verisi kullandıklarını, bu sayede en yaygın cihazlar olan kalp pilleri ve kardiyak defîbrilatörler üzerinde tam bir başarı sağladıklarını, bu yöntemin vücudun herhangi bir yerine yerleştirilen ve EKG verisi okuyabilen herhangi bir cihazda da kullanılabileceğini savunuyor.

Kalp atış ritmine ait istatistiksel verileri kimlik doğrulamak için kullanarak, vücuda yerleştirilen tıbbi cihazların kötü niyetli saldırılara maruz kalmasını engelleyebilecek bu yöntemle birçok bilgisayar korsanının hain planları suya düşecek gibi görünüyor.

Vücuda yerleştirilen cihazların sadece sahiplerinin kullanabileceği kilidi olmaya aday kalp ritmi, bir bileklik sayesinde hayatımızın birçok alanında kullandığımız anahtarların ve şifrelerin yerini alacak gibi görünüyor.


forivia

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir