Bir bilgisayar korsanının bir adamın kalp piline saldırısı… Homeland adlı TV dizisini izleyenler bu sahneyi hatırlayacaktır. Dizinin Aralık 2012’de yayımlanan bölümlerinden birinde yer bulan bu konu birçok izleyiciye “bu kadarı da olmaz” dedirtirken bir taraftan da “acaba olur mu” diye düşündürmüştü. İnsani değerlere akıl almaz derecede ters düşen bu durum sadece kurgu değil, hatta gerçek hayatta maalesef dizide olduğundan çok daha kolay yapılıyor. Çünkü dizide bu işlem için izinsiz müdahale edilen cihazın seri numarası kullanılıyor, hâlbuki gerçek hayatta tıbbi cihazın seri numarasına bile gerek yok. Tehlike altında olan sadece kalp pili değil! Defibratörler hatta insülin pompaları bile izinsiz müdahaleye açık.
Bu tür cihazlara yapılabilecek muhtemel bir korsan saldırının örneğini bir gösteriyle tüm dünyanın gözü önünde gerçekleştirmeyi planlayan ve güvenlik firması McAfee’de araştırmacı olarak çalışan, aynı zamanda ünlü bir bilgisayar korsanı olan Barnaby Jack, bu gösterisini gerçekleştiremeden aniden yaşamını yitirdi. Aslında bu konu çok yeni sayılmaz, çünkü Massachusetts ve Washington üniversitelerinden bilim insanları 2008 yılında tıbbi cihazlarda güvenlik zafiyeti olduğunu gösteren bir çalışma yayımlamıştı. O dönemde de basında geniş yer bulan bu konu, bu TV dizisi ile birlikte yeniden birçok insanın ilgisini çekti.
Bilgisayar korsanlarının tehdidi altındaki tıbbi cihazlar arasında kandaki insülin miktarını düzenlemek amacıyla şeker hastalarının kullandığı insülin pompaları, kalbin anormal hızda attığı durumlarda normal hızda atmasını sağlayan kardiyak defibrilatörler veya yine kalp atışlarını düzenleyen kalp pillerini sayabiliriz. Vücuda yerleştirilen cihazların ana bilgisayarla iletişimlerini sağlayan kablosuz bağlantıları vardır. Bu bağlantı özellikleri sayesinde, doktorlar tarafından düzenli olarak kontrol edilebilirler, program güncellemeleri yapılabilir ve acil durumlarda cerrahi operasyona gerek kalmadan cihazlara müdahale edilebilir.
Tüm insanlığın faydası için üretilen bu cihazlar kablosuz bağlantı özellikleri yüzünden üçüncü şahısların müdahalesine maruz kalabilir. Bu müdahalelerle kalbin atış ritmini veya kandaki şeker miktarını değiştirmek mümkün olduğu için bu tip siber saldırılar pek çok defa ölümcül sonuçlara yol açabilir. Korsan saldırılara hedef olma riski taşıyan tıbbi cihazları sadece vücuda yerleştirilen tıbbi cihazlarla sınırlandırmak doğru değil.
Çünkü hastanelerde kullanılan pek çok cihaz, örneğin izleme cihazları veya bilgisayarlar da hem korsanların kolay ulaşabileceği işletim sistemleri olduğu hem de ortak bir ağa bağlandıkları için bilgisayar korsanlarının saldırısına uğrayabilir. Aslında tıbbi cihazlarda güvenliği sağlamak için genellikle şifre kullanılıyor. Fakat bu şifreler bilgisayar korsanları tarafından kolayca etkisiz hale getirilebildiği için kötü niyetli saldırılara engel olamayabiliyor.
Nitekim Cylance isimli bir güvenlik firmasının yayımladığı rapor bunu açıkça gösteriyor. Bu raporda, üç yüz tıbbi cihazın şifresinin çözümlendiği belirtiliyor.Çalışmayı yapan araştırmacılar BillyRios ve Terry McCorkle sadece bu konuya dikkat çekmek istedikleri için şimdilik üç yüz şifre elde ettiklerini, aslında aynı yolla 1000 hatta 10.000 şifreye de kolaylıkla ulaşabileceklerini söylüyor.
Kaynak: Tübitak Bilim ve Teknik dergisi Ocak 2014, Yıl: 47, Sayı: 554, Syf: 37