måndag 22 augusti 2011

Sjukvårdsutrustning behöver ingen säkerhet

... det tycker åtminstone Medtronic, som kommenterar att deras insulinpump kan styras trådlöst till att ändra dosering samtidigt som den fortsätter rapportera normala värden.
"To our knowledge, there has never been a single reported incident outside of controlled laboratory experiments in more than 30 years of device telemetry use, which includes millions of devices worldwide,"


Strutsmentaliteten är påtaglig, och så brukar den faktiskt vara. Till och med då liv står på spel alltså. Jag har genom åren stött på åtskilliga diskussioner där tillverkaren går in i förnekelseläge. Några exempel på kommentarer:
  • "Det är inget som kravställts."
  • "Vi levererar bara det våra kunder efterfrågat."
  • "Vi har inte hört att det skulle vara några problem." (+1 exempel)
  • "Ingen kommer göra så."
  • "Det är bara ett felmeddelande, inte en säkerhetsbrist." (SQL Injection)
  • "Vår produkt är avsedd att köras bakom brandvägg."
Jag brukar bemöta dessa genom att prata om kundernas förväntningar, visa på att det visst händer saker(publika incidenter), och göra proof of concepts. Kan ta ett tag, men så småningom trillar poletten ner. Ofta sitter jag dessutom i positionen att jag har en irriterad kund som stöd, eftersom jag sällan rapporterar något privat eftersom risken är att förnekelsereaktionen åtföljs av en polisanmälan.

Och precis som i de fall jag varit inblandade i så visar sig omvärlden även i detta fall reagera på ett helt annat sätt än leverantören när de får höra hur verkligheten ser ut. Hur förbluffande det än må vara för en tillverkare av sjukvårdsutrustning, så får de nu från statligt håll höra att man faktiskt ser på det som mycket viktigt att livsviktig utrustning också är säker. *gasp* Who could have known!? Det har de ju aldrig framfört som något krav tidigare!

P.S. Det här är symptomatisk för all utrustning som numera kan kommunicera via IP. De har tidigare levt i en skyddad verkstad, gör det inte längre. Fungerar till en början, men allteftersom uppmärksamhet riktas mot de här enheterna så upptäcks att säkerheten är så usel att man tappar andan. Inga problem så länge det inte inträffar några incidenter? Problemet är att de här enheterna kan ha en livstid på upp till 20 år. Att det inte hänt något under de tre första åren är ett väldigt dåligt argument för de kommande 17. Hur gör man då med alla de tusentals enheter som redan är i drift när väl incidenter börjar inträffa? Säkerheten höjs inte på en dag.

1 kommentar: