Volgens onderzoekers kunnen bij hartpatiënten geïmplanteerde 'cardioverter-defibrillators' via een draadloze verbinding worden aangevallen. De apparaatjes kunnen door kwaadwillenden onder andere worden uitgezet.
Implanteerbare cardioverter-defibrillators - beter bekend als icd's - worden inwendig bij patiënten met een verhoogd risico op levensbedreigende hartritmestoornissen aangebracht. Het apparaat bewaakt continu het hartritme en geeft bij stoornissen korte elektronische pulsen af via aan de hartspier verbonden draadjes. Bij een hartstilstand kan een icd, net als een klassieke pacemaker, ook een krachtige stroomstoot afgeven om het hart weer op gang te krijgen.
De apparaatjes kunnen na implantatie door een arts draadloos geprogrammeerd en uitgelezen worden. Uit een onderzoeksrapport van het Medical Device Security Center blijkt echter dat hackers de communicatie tussen de icd en de uitleesapparatuur met behulp van een antenne en een pc kunnen onderscheppen, omdat de radiosignalen niet zijn versleuteld. Hierdoor kunnen zij niet alleen op de icd opgeslagen patiëntinformatie uitlezen, maar de defibrillator ook herprogrammeren, uitschakelen of het apparaatje zelfs een potentieel dodelijke schok laten uitdelen.
Om de mogelijke veiligheidsrisico's zoveel mogelijk te beperken, adviseren de opstellers van het rapport om de draadloze signalen die de icd's verzenden, te versleutelen. Een nadeel van deze oplossing is echter dat het stroomverbruik bij het toepassen van encryptie omhoog kan gaan, waardoor de gemiddelde levensduur van zes jaar van een icd verkort wordt. Een andere mogelijke maatregel is dat de icd een geluidssignaal afgeeft als een niet-geautoriseerde gebruiker toegang tot het apparaat probeert te krijgen.
Het Medical Device Security Center geeft in zijn rapport ook aan dat de kans dat kwaadwillenden zich op hartpatiënten zullen richten, erg klein is. Er zouden dan ook nog geen praktijkgevallen bekend zijn. Hackers moeten volgens de onderzoekers dicht in de buurt komen van de patiënt en bovendien moeten ze over apparatuur ter waarde van enkele tienduizenden dollars beschikken. Ook Medtronic, een fabrikant van cardioverter-defibrillators, zegt niets te weten over eventuele hackpogingen, maar laat wel weten dat het zijn toekomstige icd's van encryptie zal voorzien.
