Mangelen på digital sikkerhet i mange produkter fikk Sintef-forsker og førsteamanuensis Marie Elisabeth Gaup Moe ved NTNU til å tenke seg om den dagen hun fikk operert inn en pacemaker. Kunne den hackes?

Det ville ikke produsenten svare på. Et klart «ja», tolket forskeren det som.

– Jo mer man oppdager og får fikset, jo bedre blir pasientsikkerheten. Prosjektet er jo ikke for min del, men det vil gagne meg også, sier Moe.

Resultatet ble til et forskningsprosjekt, og flere masterstudenter prøver nå å hacke nettopp utstyret som hjelper veilederens hjerte å fungere som det skal.

Les også: Studenter skal lære å tenke som kriminelle magasinetPlus

Avdekker sikkerhetshull

En pacemaker er et elektronisk apparat som opereres inn under brystet og produserer elektriske impulser til hjertet. Apparatet inneholder en liten datamaskin med batteri, koblet til ledninger som går til hjertet. Ved hjelp av en pacemaker kan dermed hjerterytmen hos pasienten holdes stabil.

Pacemakere kan kobles opp mot internett via en boks, eller en «home monitoring unit» på fagspråket, slik at data kan hentes ut av sykehuset for oppfølging.

Denne funksjonen vil ikke Moe bruke på sin egen pacemaker.

Men hvis masterstudent Anniken Wium Lie lykkes med masterprosjektet sitt, som Moe er veileder på, kan hun kanskje det i fremtiden. Lie studerer kommunikasjonsteknologi ved NTNU, og er snart ferdig utdannet sivilingeniør med fordypning i informasjonssikkerhet.

Masteroppgaven hennes har avdekket flere hull i sikkerheten når denne boksen «snakker» med en pacemaker via internett.

Masterstudent Anniken Wium Lie har sittet mye på datalab og pirket på forskjellige komponenter i boksen som kommuniserer med pacemakere via internett.
Masterstudent Anniken Wium Lie har sittet mye på datalab og pirket på forskjellige komponenter i boksen som kommuniserer med pacemakere via internett.

Disse må rapporteres til pacemakerprodusentene før de kan offentliggjøres. Inntil de har fått sjansen til å rette opp feilene, må Lies resultater holdes hemmelige.

– Vi kan ikke risikere at noen får tak i oppgaven så de kan utnytte sikkerhetshullene før de er fikset, sier Lie.

– Men hvorfor skulle noen være interessert i å hacke en pacemaker?

– Hver og en må jo vurdere sin egen trusselmodell. Men la oss si at Donald Trump fikk en pacemaker – da kunne det jo tenkes at enkelte var interessert i å hacke den.

En av mange pacemakere på laboratoriet Marie Moe og flere masterstudenter jobber med å finne ut om slikt medisinsk utstyr kan hackes.
En av mange pacemakere på laboratoriet Marie Moe og flere masterstudenter jobber med å finne ut om slikt medisinsk utstyr kan hackes. (Foto: Nora Rydne)

I tillegg til det åpenbart skumle ved at en hacker kan endre funksjonen eller tømme batteriet til en pacemaker, finnes det enormt med data i et slikt apparat.

– Det er som en pulsklokke med veldig presis data. Forsikringsselskaper kan være interessert i slik informasjon, for eksempel, sier Moe.

Les også: 22. juli utløste Julies (29) interesse for sikkerhet. Nå leder hun dem som sikrer noen av Norges viktigste bygg dnPlus

Førsteamanuensis Marie Elisabeth Gaup Moe ramser opp en rekke dataangrep som har funnet sted det siste tiåret: Stuxnet-viruset som ødela utstyr på et iransk kjernefysikkanlegg – trolig et angrep i regi av USA og Israel, som ønsket å motvirke atomvåpenproduksjon. En hotell-lobby oversvømt av kloakk i Australia, fordi en sint oppsagt ansatt hevnet seg ved å leke med radiostyringen av systemet. Løsepengeviruset som tvang Hydro i kne i vår.

– Veldig ofte kan cyberangrep skyldes dårlig grunnsikring. Enkle tiltak kunne hindret det.

– I tillegg til å kunne gjøre fysisk skade, koster slike angrep enormt mye. Egentlig burde alle ingeniører ha en minimumskompetanse på digital sikkerhet. Det er mye å spare på å tenke sikkerhet fra starten når man lager et produkt eller et system, istedenfor å tro at man kan legge det på til slutt, legger Moe til.

Ettertraktet kompetanse

Lie valgte å skrive master innenfor Moes forskningsprosjektet fordi hun ville gjøre noe praktisk rettet.

– Det er både utfordrende og spennende. Jeg har brukt mye tid på labben, sittet og jobbet med små komponenter, sier Lie.

Vis alle stillinger

Hun fikk jobb i et konsulentselskap allerede for et år siden – i likhet med de fleste av de andre studentene som spesialiserer seg i informasjonssikkerhet. Kunnskapen er ettertraktet i næringslivet.

Den økende interessen har ikke vært vanskelig for NTNU å oppdage. Sivilingeniørlinjen for kommunikasjonsteknologi som Lie studerer ved har hatt relativt jevne søkertall, men den snart ferdigutdannede masterstudenten merker at akkurat hennes spesialisering blir mer populær.

Den spesialiserte bachelorgraden i cybersikkerhet NTNU tilbyr på Gjøvik, og til høsten også i Trondheim, har hatt en eksplosiv økning i søkere. I første søkerrunde for graden i Trondheim var det 2354 søkere på de 90 plassene.

Også mastergraden i informasjonssikkerhet i ved NTNU Trondheim har fått god fart siden 2014.

– Det er en utfordring å rekruttere folk til å gå videre med doktorgrad, fordi folk med kompetanse på it-sikkerhetsfeltet er så ettertraktet, sier Moe.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.