"I know when you brush your teeth" - Cyber Security on Personal Medical Devices

Abstract

This thesis addresses the cyber security issues on personal medical devices. Such devices are for example electric toothbrush, blood glucose monitors and personal scales.

Cyber security can be defined as information security with potential impact on the society. One individual blood glucose monitor or a smart thermometer and their information security does not have any significance in the big picture. However, all the smart features, wireless interfaces and connectivity options, and various cloud-based services may significantly increase the number of potential targets and may put the data of very large user base at risk.

In addition to general introduction on the field of cyber security this thesis addresses the common cyber security testing methods used, and the cyber security in medical devices in general. This thesis also presents a security assessment process that can be used for assessing personal medical devices. The presented process is the first technical testing guideline for technical testing of personal medical devices from information security point of view.

The security assessment process is applied to assess the technical security of selected common personal medical devices. A general observation drawn is that on assessed devices the wireless interfaces have such vulnerabilities that may leak personal data to outsiders, and which may be exploited to assist in other attacks.

The key finding is that there should be special attention on cyber security on personal medical devices. All medical devices for consumer use should be assessed properly before releasing into market.

Tämä opinnäytetyö käsittelee henkilökohtaiseen käyttöön tarkoitettujen lääkinnällisten laitteiden kyberturvallisuutta. Tällaisia laitteita ovat esimerkiksi hammasharjat, verensokerimittarit ja henkilövaa’at.

Kyberturvallisuuden voidaan käsittää olevan tietoturvallisuutta, johon voi liittyä yhteiskunnallisia vaikutuksia. Vaikka yksittäisellä omaan käyttöön tarkoitetulla verensokerimittarilla tai älykkäällä kuumemittarilla ja niiden tietoturvalla ei sinänsä ole laajempaa merkitystä, langattomat rajapinnat ja eri pilvipohjaiset palvelut voivat asettaa erittäin laajan käyttäjäjoukon tiedot vaaralle alttiiksi.

Yleisen alaan tutustumisen lisäksi tässä opinnäytetyössä esitellään sellainen kokonaisvaltainen henkilökohtaiseen käyttöön tarkoitettujen lääkinnällisten laitteiden tietoturvatarkastukseen soveltuva prosessi, joka kattaa laitteet, niiden käytön, eri rajapinnat ja oheispalvelut. Kehitettyä prosessia käytetään teknisen tarkastuksen osalta tarkistamaan muutamien erityyppisten laitteiden turvallisuus.

Yleisen tason tekninen havainto on, että tarkastettujen laitteiden langattomissa rajapinnoissa on tyypillisesti sellaisia haavoittuvuuksia, jotka vuotavat henkilökohtaista tietoa sivullisille ja mitä on mahdollista käyttää edelleen muiden hyökkäysten ohessa.

Henkilökohtaiseen käyttöön tarkoitettujen laitteiden kyberturvallisuuteen tulisikin siis kiinnittää erityistä huomiota. Kaikki kuluttajien käyttöön tarkoitetut laitteet, niiden rajapinnat ja oheispalvelut tulisikin testata tietoturvallisuuden osalta huolellisesti ennen laitteiden saattamista markkinoille.