20.09.2017
4 min læsetid

"Hospitaler er oplagt hackermål, men vi skal ikke gå offline"

Internet of Things-bølgen vælter i de kommende år ind over verdens hospitaler, når senge, pacemakere og andet hospitalsudstyr går online. Men der er lige et sikkerhedsaspekt, vi er nødt til at tale om, mener ekspert

af Morten Scriver Andersen

I en omdiskuteret scene i 2014 af den populære amerikanske tv-serie Homeland hacker terrorister sig ind i den amerikanske vicepræsidents pacemaker og fremprovokerer et hjertestop. Scenen var af mange set som dybt urealistisk, men det kom senere frem, at den byggede på reelle sikkerhedsmæssige bekymringer om den tidligere amerikanske vicepræsident Dick Cheney, som ligeledes havde en pacemaker.

Men forskere har i mange år afsløret enorme sikkerhedsmæssige sårbarheder ved medicinske enheder, der er forbundet til internettet. Det er ellers del af en megatrend, Internet of Things, som den er blevet døbt, hvor klassiske analoge enheder udstyres med sensorer og kan kommunikere med omverdenen gennem internettet.

Alligevel mener Jens Myrup Pedersen lektor på Institut for elektroniske systemer ved Aalborg Universitet ikke, vi skal lade os skræmme af sådanne tænkte skræmmehistorier som den i Homeland-episoden.

"Det er vigtigt, at man holder sig for øje, at det her er en risikodisciplin. Worst case er jo altid rigtig slem. Men er det så et argument for, at man ikke skal koble noget som helst til internettet, og vi skal have gammeldags patientjournaler, fordi der er en risiko ved at bruge IT?" Spørger han retorisk inden han selv svarer på sit spørgsmål.

"Der er en risiko ved alting, og det handler i virkeligheden, om hvordan vi kan minimere den i forhold til hvilke gevinster, vi får ved at bruge den nye teknologi."

Store fordele ved IoT-hospitaler

Der synes at være bred enighed om, at der er store gevinster at hente på verdens hospitaler, hvis man kan få koblet alt fra lægejournaler til små medicinske enheder til internettet. Det kan være hospitalssenge, der giver et digitalt vink, når de er ledige eller livsvigtige medicinske apparater, der råber op, hvis de er i stykker.

Ifølge leder for IBM's healthcare-afdeling, John Crawford, er det afgørende for udviklingen, at få skabt en infrastruktur på hospitalerne, der kan skabe ny mening ud af den enorme mængde data, der bliver genereret.

"Vi er nødt til at tænke på en IoT-platform til hospitaler. Det er det, der kommer til at gøre den store teknologiske forskel," siger John Crawford.

Det er Jens Myrup Pedersen enig i. Han peger på, at der både kan være store praktiske og økonomiske gevinster ved omfavnelsen af Internet of Things på hospitalerne. Det forbedrer behandlingsforløbenes kvalitet, giver data, vi ellers ikke havde fået og det gør i nogle tilfælde patienter i stand til at være hjemme i stedet for at være indlagt.

Omvendt må man også tænke sig ekstra grundigt om, når man kobler skrøbelige patienter og livsvigtige dingenoter på internettet. For det giver unægtelig ondsindede hackere bedre kort på hånden.

"IT i sundhedssektoren er som udgangspunkt et godt mål for stort set alle de mennesker, der laver IT-kriminalitet eller hacking. Man bliver jo mål både for andre nationalstater og almindeligt kriminelle, økonomisk kriminalitet og noget mere strategisk."

16 engelske hospitaler lagt ned

Eksemplerne på hacker-angreb på hospitaler er heldigvis stadig begrænsede. Men i maj blev 16 engelske hospitaler lagt ned i cyberspace af det verdensomspændende WannaCry-angreb. Da medarbejderne forsøgte at åbne deres computere, blev de afkrævet 300 dollars i bitcoins for at få adgang. En klassiske hacker-metode.

"Det, der gør cyberangreb specielle, er, at man kan angribe i meget stor skala, så man kan lægge rigtig meget ned på en gang, og man kan i nogle tilfælde gøre det rigtig langt væk fra," siger Jens Myrup Pedersen

Hvis man kigger uden for hospitalernes verden er en af de mere foruroligende eksempler blot et år gammelt. I 2016 lykkedes hackere gennem det såkaldte Mirai-botnet at overtage omkring 100.000 enheder bestående primært af overvågningskameraer. Og det blot ved hjælp af 62 kombinationer af brugerord og passwords.

"Hvis man kigger på hvad der er sket uden for sundhedssektoren, hvor man har haft IoT-enheder i noget længere tid, så viser det sig, at rigtig mange af de enheder, man kan købe står pivåbne. Det svarer til, at man under en sikkerhedstest af et hus tror, at man skal hen og tage i en lukket dør, men det viser sig, at huset hverken har døre eller vinduer sat i, så man bare kan vade lige ind," eksemplificerer Jens Myrup Pedersen

Han påpeger dog, at man ved forholdsvis simple metoder kan komme meget langt i forsøget på at beskytte de mange IoT-enheder.

"Hvis man lukker porte, der ikke burde være åbne, krypterer sine forbindelser og i øvrigt sørger for at bruge fornuftige og unikke brugernavne og passwords, så har man lukket rigtig meget af den her usikkerhed," siger han.

Og så skal man i øvrigt huske på, siger Jens Myrup Pedersen, at cyberangreb bare er ét af mange angreb. Og truslen derfra kan aldrig elimineres.