Vücudumuz hacklenebilir mi? Entelgy’ye göre herkesin cilt altına çip yerleştirebilmesi ve bu cihazların genellikle güvenli teknolojiler kullanmaması nedeniyle cevap evet olabilir.
Bununla birlikte, biyolojik hackleme hakkında on yılı aşkın süredir konuşulanlara rağmen, implante edilebilir teknolojiler hala oldukça ilkel olduğundan, bunlara yönelik olası bir siber saldırının büyük sonuçlara yol açmaması gerekiyor. Bu durum, ihlali hastanın sağlığına ciddi şekilde zarar verebilecek vücuda yerleştirilebilir tıbbi cihazlar için farklıdır. Ancak erkeklerin birbirlerine kötü amaçlı yazılım bulaştırarak birbirlerini öldürebilen cyborglara dönüştüğü fütüristik çağ henüz gelmemiş gibi görünüyor.
İmplant teknolojisi güvenliğine öncelik verilmesi
Entelgy Innotec Security’nin Kırmızı Takım bölümündeki hackerlardan biri olan ve siber güvenlik forumlarında Fall olarak bilinen Pablo Martínez’e göre, “paniğe kapılmamalıyız, biyolojik hackleme düşündüğümüz kadar gelişmiş görünmüyor. Çalışmalar, deneysel durumlar var ama şu ana kadar bildiklerimiz oldukça ilkel ve bir siber suçlunun kötü niyetli bir amaçla vücudumuzu hacklemesi için pek fazla olasılık bırakmıyor. Şu anda akıllı telefonumuzu kafamızın içinde taşımıyoruz ve içimize virüs yerleştiremezler.
Cep telefonumuz bugün deri altına enjekte edilen deneysel bir çipten muhtemelen daha da savunmasızdır, çünkü bu çip, hacklenmeye karşı hassas olmasına rağmen çok sınırlı bir işleve sahiptir ve cep telefonu sayısız tehdide maruz kalmaktadır.
Tıbbi olanlar dışındaki implante edilebilir teknolojilerin çoğu, vücudunuzun ilk başta reddetmediği bir kapsülün içine yerleştirilen ve cilde enjekte edilen küçük bir cihazdan oluşur. Güvensizler mi? Çok. Hacklenmiş olabilirler mi? Evet. Elimizin derisinin altına çip taktığımızda bunun hacklenebileceğini anlayabilir miyiz? Evet.
Ancak Fall farklılaşmayı tercih ediyor. “Hacklenebilecek olan şey vücudun kendisi değil, teknolojidir. Savunmasız bir cihaz, vücudun hem dışından hem de içinden saldırıya uğrayabilir. Dikkat etmemiz gereken şey, yerleştirmeye çalıştığımız teknolojinin güvenliğidir” diye belirtiyor.
En savunmasız implante edilebilir teknolojinin belirlenmesi
RFID (Radyo Frekansı Tanımlaması) teknoloji muhtemelen en yaygın teknolojidir. Birkaç cihazın radyo dalgaları yayarak ve okuyarak birbirini tanımasına ve iletişim kurmasına olanak tanır. Bunlar düşük frekanslı teknolojilerdir. Fall, “Bu, bir saldırganın RFID ile çalışan bir çip üzerindeki bilgiyi ‘okumasına’, sahip olduğu başka bir çipte veya bir RFID emülatöründe klon yapabilmesine olanak tanıyor” diye açıklıyor. Diğer örnekler arasında evcil hayvanları tanımlamak veya kapıları açmak için kullanılan çipler yer alıyor.
İkincisi elin içine veya dışına takılabilir. “Bir evin kapısını açtıklarını görmedim ama kurumsal giriş kontrollerinde ve kapılarda gördüm. Güvenli bir çipin aynı zamanda güvenli bir okuyucuya ihtiyacı vardır ve bu da çok pahalı olabilir. Büyük dağıtımlara sahip birçok kuruluş buna yatırım yapmakla ilgilenmiyor, bu nedenle ucuz ve son derece güvensiz erişim kontrolleri oluşturuyorlar.”
NFC (Kısa Menzilli İletişim) kablosuz iletişimler genellikle önceki duruma göre daha güvenlidir ancak aynı zamanda genellikle güvensizdir. RFID teknolojisinin bir dalıdır, ancak bileşenler NFC’ye göre daha uzak bir mesafede çalışır ve iletişim kurar. Bazı insanlar, örneğin ‘kişi kartlarını’ değiştirmek, otomatlardan yiyecek satın almak veya işyerinde mesai yapmak için bu teknolojiyi zaten kullanıyor. Ancak İspanya’daki bankalar tarafından verilen kredi kartları da yüksek frekanslı NFC ile çalışır ve güvenli cihazlar olarak kabul edilir.
İmplante edilebilir tıbbi cihazlar: Tıbbi amaçlar için genellikle belirli kişiler için zorunlu olan ve güvenliği gerekli olan başka vücuda yerleştirilebilir cihazlar da vardır. Bunlar arasında kalp pilleri her zaman ilgi odağı olmuştur. “Özellikle de güvenlik açığı kaydı bulunan eskileri. Yıllar önce karanlık güvenlik yöntemini kullanıyorlardı. Yani kalp pili kimsenin bilmediği bir frekansta çalışıyordu ve bu nedenle hacklenmesi kolay değildi.
Vücuda yerleştirilebilir tıbbi cihazlar siber saldırılara açık
Zamanla bu güvenlik artık etkili olmadı. Bu cihazlar internet sitelerinde satılır satılmaz nasıl çalıştıklarını öğrendik. Ayrıca bu cihazların konuşlandırıldıktan sonra kablosuz olarak yapılandırılması gerekiyor.” Son yıllarda, implante edilebilir kalp defibrilatörlerinde (anormal ritimleri düzelten ve izleyen) güvenlik açıkları da tespit edildi. Bu güvenlik kusurları küçük cihazların ele geçirilmesine olanak sağladı.
Siber suçluların amacı nadiren hastanın sağlığını doğrudan etkilemek olsa da, bu onların bazı eylemlerinin, özellikle de hastanelere yönelik siber saldırıların bir sonucu olabilir. Avrupa Birliği Siber Güvenlik Ajansı’nın (ENISA) yakın tarihli raporuna göre “hastalara holter, insülin pompası, kalp pili, mide ve beyin stimülatörleri gibi implante edilebilir tıbbi cihazlar; hatta diğerlerinin yanı sıra şeker ölçüm cihazları gibi giyilebilir cihazlar da hastanelerin dijital sistemlerine elektronik olarak bağlanıyor”.
Bir hastanenin dijital sistemlerine yönelik herhangi bir siber saldırı, hem fiziksel hem de dijital olarak ağına bağlı tüm tıbbi cihazların güvenliğine yönelik bir saldırıya yol açacaktır. Ayrıca hastalara implante edilen cihazlara da. “Günümüzde tıbbi yazılımların çoğu destek dışıdır ve kullanılan sistemlerin çoğu eskimiş ve derinlere yerleştirilmiştir. Bir hastanenin makine ve araçlarının dijital ortamın tüm tehditlerine maruz kalması büyük bir risktir,” diyor Entelgy Innotec Security’nin OT Siber Güvenlik Küresel Direktörü Alejandro Villar.
Fall, kablosuz iletişim, radyo frekansı, wifi veya bluetooth ile ilgili her şeyin “kötü göründüğünü” ekliyor. “Kablosuz iletişim kurduğunuzda güvenlik riskleri katlanarak artıyor; bu, herkesin bu iletişime erişebileceği bir spektrum. Ayrıca, dışarıda aynı işlevi yerine getirecek bir muadili varken cildinize bir RFID veya NFC çipi yerleştirmek gereksizdir” diyor.
Bu örneklere rağmen teknoloji tutkunları, cyborgların insanlarla aynı sahneyi paylaştığı, teknolojinin beden ve zihinde tam entegre bir varlık olarak varsayıldığı bir dünya hayal etmeyi sevse de herkesin umduğu gelecek henüz gelmemiş gibi görünüyor. Belki de bu gerçekleştiğinde, hem kullanıcılar hem de kuruluşlar önümüzdeki tehlikelerle yüzleşmeye daha hazırlıklı olacak ve siber güvenliğe bir can simidi gibi tutunacak.