For rundt fem år siden jobbet Marie Moe med datasikkerhet i Nasjonal sikkerhetsmyndighet. En dag hun var på vei til jobb, hadde hun plukket opp et glass med appelsinjuice. Mens hun sto med glasset i hånda ble det plutselig svart.

Da hun våknet, lå hun på gulvet ved siden av et knust glass, og med en dundrende hodepine. Hun husket ingenting.

Les også: - Høyt aktivitetsnivå på hacking

- Det var dramatisk. Jeg dro til legevakta for å sjekke at jeg ikke hadde fått hjernerystelse. Da de hørte historien min, og at jeg ikke engang husket at jeg hadde falt, gikk det en alarm. De sjekket de hjertet mitt og fant ut at alt ikke var som det skulle. Jeg trengte en pacemaker, sier Moe.

Ingen kunne noe om sikkerhet

I løpet av en ukes tid fikk Moe operert inn pacemakeren. Operasjonen gikk fint og pacemakeren fungerte som den skulle. Nå er det pacemakeren som styrer Moes hjerte. Hun må møte opp til årlige kontroller for å sjekke at alt er som det skal med pacemakeren.

- Det de gjør under en slik kontroll, er at de legger en leser oppå huden over pacemakeren. Med et trykk på en skjerm kan legen styre hjerterytmen min opp og ned, til og med stoppe pacemakeren helt. Dette er en fryktelig sårbar situasjon, og det var da jeg begynte å tenke: Kan denne hackes? Kan andre ta over styringen over hjertet mitt og gjøre det samme som legen min gjør?

Les også: NTNU-rektorens epost brukt i forsøk på svindel

Da Moe begynte å spørre om dette, fikk hun et lite sjokk. Det var nemlig ingen av dem som håndterte det livsviktige instrumentet som hadde noe begrep om sikkerheten rundt dette. Heller ikke leverandøren ville gi ut informasjon.

- Det var da jeg bestemte meg. Jeg vil prøve å hacke denne typen pacemaker for å se om det er mulig.

Bildet viser et knippe av pacemakerne Marie Moe forsker på ved Sintef. Det er allerede bevist at enkelte pacemakere har hatt sikkerhetshull. Foto: Børge Sved

- Flaks at ingen har blitt skadet

Med sin doktorgrad i informasjonssikkerhet og bakgrunn fra Nasjonal sikkerhetsmyndighet var Moe, godt egnet til å forske på sikkerheten til medisinsk utstyr.

Hun startet først på fritiden, men har etter hvert fått et eget prosjekt på feltet innen Sintef-systemet. Hun vil foreløpig ikke fortelle om resultatene fra forskningen, men vet allerede at én produsent av pacemakere har fått avslørt sikkerhetshull.

- Produsenten St. Jude Medical fikk i fjor avslørt at det eksisterte sikkerhetshull som gjorde at det gikk an å hacke seg inn på den trådløse ruteren som står hjemme hos brukeren. I verste fall kunne noen ha utnyttet dette til å tømme batteriet på pacemakeren. De kunne også ha endret programmeringen sånn at hjerterytmen hos brukeren ikke fikk nødvendig stimulering, med dødelig utfall som en mulighet, sier Moene.

Hun understreker imidlertid at St. Jude Medical har kommet med en sikkerhetsoppdatering siden feilene ble avslørt og legger til at ingen har mistet livet som følge av hacking.

- Men det er bare flaks at ingen har blitt skadet og historien er ikke enestående. Det har vist seg at det går an å komme seg inn nettet til amerikanske sykehus gjennom usikrede MR-apparater, røntgenmaskiner og lignende. Problemet er at disse hadde utdaterte operativsystemer, og det baner vei for at hackere kommer seg inn, sier Moe.

- Et stort problem

Moe fortalte om sin forskning og sin historie på Lerchendal-konferansen onsdag. Konferansen arrangeres NTNU, SINTEF, Norges forskningsråd og Tekna og har blant annet som mål å gjøre beslutningstakere i stand til å formulere kunnskapsstrategier.

Årets tema var digital endringskraft, og et viktig undertema cybersikkerhet. Temaet er spesielt aktuelt i lys av blant andre NRKs avsløring om at en indiske IT-arbeider i fjor høst klarte å stanse hele produksjonen på Statoils raffineri på Mongstad kun ved et tastefeil. Samme kanal avslørte tidligere denne uken at IT-arbeidere fra India også hadde tilgang til det norske nødnettet, og med enkelhet kunne ha stengt av deler av nettet.

En annen foredragsholder på konferansen, Sofie Nystrøm, mener kritisk infrastruktur kan bli totalt lammet av fremmede makter fordi det er koblet opp til nett.

- Da Russland annekterte Krim så vi hvordan cyberangrep kan ramme. Mens annekteringen skjedde, tok digitale angrep vekk strømmen for flere tusen mennesker. Kraftbransjen i Norge har selv sagt at dette også kunne ha skjedd i Norge, sa Nystrøm, som er direktør for Center for Cyber and Information Security.

Mer og mer på nett

Flere av deltakerne på konferansen uttrykte bekymring for at sikkerheten ikke følger med i den teknologiske utviklingen. Stadig flere ting blir koblet til nett, både i hjem og i offentligheten. I løpet av ett års tid kommer både Telenor og internett å ha sitt mobilnett for tingenes internett oppe for kommersiell bruk. Det åpner for at stadig mer kommer på nett.

Moe er ikke imot den tekniske utviklingen, men mener det må gjøres et mye bedre arbeid med sikkerhet hvis nettet skal fungere positivt som i dag.

- Det vi ser er at mye medisinsk utstyr kanskje ikke burde vært koblet på nett, fordi teknologien ikke er moden nok. Dette gjelder nok en del av kritisk infrastruktur også, sier Moe.

- Hvordan kan man gjøre dette sikrere?

- Myndighetene kunne stilt leverandørene ansvarlig. Da ville de fått et ansvar hvis noe gikk galt. Det går også an å stille krav til sikkerhetstesting og dokumentasjon på sikkerhet på flere apparater, sier Moe.

- Har du fortsatt pacemakeren din koblet til internett?

- Nei, det gikk heldigvis an å slå av nettet. Når den skal byttes ut, vil jeg be om en som ikke er koblet til nett, sier hun.

Sintef-forsker Marie Moe ble sjokkert da hun fant ut at det i verste fall kunne være mulig å hacke og ta styringen over pacemakeren som styrer hjertet hennes. Det ble det et forskningsprosjekt ut av. Foto: Børge Sved
Lerchendalkonferansen arrangeres NTNU, SINTEF, Norges forskningsråd og Tekna og har blant annet som mål å gjøre beslutningstakere i stand til å formulere kunnskapsstrategier. Etter Marie Moes foredrag onsdag ble det blant annet avholdt en paneldebatt med cybersikkerhet som tema. Foto: Børge Sved