RT Dissertation/Thesis T1 Cybersecurity in implantable medical devices A1 Cámara Núñez, María Carmen AB Implantable Medical Devices (IMDs) are electronic devices implanted withinthe body to treat a medical condition, monitor the state or improve thefunctioning of some body part, or just to provide the patient with a capabilitythat he did not possess before [86]. Current examples of IMDsinclude pacemakers and defibrillators to monitor and treat cardiac conditions;neurostimulators for deep brain stimulation in cases such as epilepsyor Parkinson; drug delivery systems in the form of infusion pumps; and avariety of biosensors to acquire and process different biosignals.Some of the newest IMDs have started to incorporate numerous communicationand networking functions—usually known as “telemetry”—,as well as increasingly more sophisticated computing capabilities. Thishas provided implants with more intelligence and patients with more autonomy,as medical personnel can access data and reconfigure the implantremotely (i.e., without the patient being physically present in medical facilities).Apart from a significant cost reduction, telemetry and computingcapabilities also allow healthcare providers to constantly monitor the patient’scondition and to develop new diagnostic techniques based on anIntra Body Network (IBN) of medical devices [25, 26, 201].Evolving from a mere electromechanical IMD to one with more advancedcomputing and communication capabilities has many benefits butalso entails numerous security and privacy risks for the patient. The majorityof such risks are relatively well known in classical computing scenarios,though in many respects their repercussions are far more critical in the caseof implants. Attacks against an IMD can put at risk the safety of the patientwho carries it, with fatal consequences in certain cases. Causing an intentionalmalfunction of an implant can lead to death and, as recognized by theU.S. Food and Drug Administration (FDA), such deliberate attacks couldbe far more difficult to detect than accidental ones [61]. Furthermore, thesedevices store and transmit very sensitive medical information that requiresprotection, as dictated by European (e.g., Directive 95/46/ECC) and U.S.(e.g., CFR 164.312) Directives [94, 204].The wireless communication capabilities present in many modern IMDsare a major source of security risks, particularly while the patient is in open(i.e., non-medical) environments. To begin with, the implant becomes nolonger “invisible”, as its presence could be remotely detected [48]. Furthermore,it facilitates the access to transmitted data by eavesdroppers whosimply listen to the (insecure) channel [83]. This could result in a major privacy breach, as IMDs store sensitive information such as vital signals,diagnosed conditions, therapies, and a variety of personal data (e.g., birthdate, name, and other medically relevant identifiers). A vulnerable communicationchannel also makes it easier to attack the implant in ways similarto those used against more common computing devices [118, 129, 156],i.e., by forging, altering, or replying previously captured messages [82].This could potentially allow an adversary to monitor and modify the implantwithout necessarily being close to the victim [164]. In this regard,the concerns of former U.S. vice-president Dick Cheney constitute an excellentexample: he had his Implantable Cardioverter Defibrillator (ICD)replaced by another without WiFi capability [219].While there are still no known real-world incidents, several attacks onIMDs have been successfully demonstrated in the lab [83, 133, 143]. Theseattacks have shown how an adversary can disable or reprogram therapieson an ICD with wireless connectivity, and even inducing a shock state tothe patient [65]. Other attacks deplete the battery and render the deviceinoperative [91], which often implies that the patient must undergo a surgicalprocedure to have the IMD replaced. Moreover, in the case of cardiacimplants, they have a switch that can be turned off merely by applying amagnetic field [149]. The existence of this mechanism is motivated by theneed to shield ICDs to electromagnetic fields, for instance when the patientundergoes cardiac surgery using electrocautery devices [47]. However, thiscould be easily exploited by an attacker, since activating such a primitivemechanism does not require any kind of authentication.In order to prevent attacks, it is imperative that the new generation ofIMDs will be equipped with strong mechanisms guaranteeing basic securityproperties such as confidentiality, integrity, and availability. For example,mutual authentication between the IMD and medical personnel isessential, as both parties must be confident that the other end is who claimsto be. In the case of the IMD, only commands coming from authenticatedparties should be considered, while medical personnel should not trust anymessage claiming to come from the IMD unless sufficient guarantees aregiven.Preserving the confidentiality of the information stored in and transmittedby the IMD is another mandatory aspect. The device must implementappropriate security policies that restrict what entities can reconfigure theIMD or get access to the information stored in it, ensuring that only authorizedoperations are executed. Similarly, security mechanisms have tobe implemented to protect the content of messages exchanged through an insecure wireless channel.Integrity protection is equally important to ensure that information hasnot been modified in transit. For example, if the information sent by theimplant to the Programmer is altered, the doctor might make a wrong decision.Conversely, if a command sent to the implant is forged, modified,or simply contains errors, its execution could result in a compromise of thepatient’s physical integrity.Technical security mechanisms should be incorporated in the designphase and complemented with appropriate legal and administrative measures.Current legislation is rather permissive in this regard, allowing theuse of implants like ICDs that do not incorporate any security mechanisms.Regulatory authorities like the FDA in the U.S or the EMA (EuropeanMedicines Agency) in Europe should promote metrics and frameworks forassessing the security of IMDs. These assessments should be mandatoryby law, requiring an adequate security level for an implant before approvingits use. Moreover, both the security measures supported on each IMDand the security assessment results should be made public.Prudent engineering practices well known in the safety and security domainsshould be followed in the design of IMDs. If hardware errors aredetected, it often entails a replacement of the implant, with the associatedrisks linked to a surgery. One of the main sources of failure when treatingor monitoring a patient is precisely malfunctions of the device itself.These failures are known as “recalls” or “advisories”, and it is estimatedthat they affect around 2.6% of patients carrying an implant. Furthermore,the software running on the device should strictly support the functionalitiesrequired to perform the medical and operational tasks for what it wasdesigned, and no more [66, 134, 213].In Chapter 1, we present a survey of security and privacy issues inIMDs, discuss the most relevant mechanisms proposed to address thesechallenges, and analyze their suitability, advantages, and main drawbacks.In Chapter 2, we show how the use of highly compressed electrocardiogram(ECG) signals (only 24 coefficients of Hadamard Transform) is enoughto unequivocally identify individuals with a high performance (classificationaccuracy of 97% and with identification system errors in the order of10−2). In Chapter 3 we introduce a new Continuous Authentication schemethat, contrarily to previous works in this area, considers ECG signals ascontinuous data streams. The proposed ECG-based CA system is intendedfor real-time applications and is able to offer an accuracy up to 96%, withan almost perfect system performance (kappa statistic > 80%). In Chapter 4, we propose a distance bounding protocol to manage access control ofIMDs: ACIMD. ACIMD combines two features namely identity verification(authentication) and proximity verification (distance checking). Theauthentication mechanism we developed conforms to the ISO/IEC 9798-2standard and is performed using the whole ECG signal of a device holder,which is hardly replicable by a distant attacker. We evaluate the performanceof ACIMD using ECG signals of 199 individuals over 24 hours,considering three adversary strategies. Results show that an accuracy of87.07% in authentication can be achieved. Finally, in Chapter 5 we extractsome conclusions and summarize the published works (i.e., scientificjournals with high impact factor and prestigious international conferences). AB Los Dispositivos Médicos Implantables (DMIs) son dispositivos electrónicosimplantados dentro del cuerpo para tratar una enfermedad, controlarel estado o mejorar el funcionamiento de alguna parte del cuerpo, o simplementepara proporcionar al paciente una capacidad que no poseía antes[86]. Ejemplos actuales de DMI incluyen marcapasos y desfibriladorespara monitorear y tratar afecciones cardíacas; neuroestimuladores para laestimulación cerebral profunda en casos como la epilepsia o el Parkinson;sistemas de administración de fármacos en forma de bombas de infusión; yuna variedad de biosensores para adquirir y procesar diferentes bioseñales.Los DMIs más modernos han comenzado a incorporar numerosas funcionesde comunicación y redes (generalmente conocidas como telemetría)así como capacidades de computación cada vez más sofisticadas. Estoha propiciado implantes con mayor inteligencia y pacientes con más autonomía,ya que el personal médico puede acceder a los datos y reconfigurarel implante de forma remota (es decir, sin que el paciente estéfísicamente presente en las instalaciones médicas). Aparte de una importantereducción de costos, las capacidades de telemetría y cómputo tambiénpermiten a los profesionales de la atención médica monitorear constantementela condición del paciente y desarrollar nuevas técnicas de diagnósticobasadas en una Intra Body Network (IBN) de dispositivos médicos[25, 26, 201].Evolucionar desde un DMI electromecánico a uno con capacidades decómputo y de comunicación más avanzadas tiene muchos beneficios perotambién conlleva numerosos riesgos de seguridad y privacidad para el paciente.La mayoría de estos riesgos son relativamente bien conocidos en losescenarios clásicos de comunicaciones entre dispositivos, aunque en muchosaspectos sus repercusiones son mucho más críticas en el caso de losimplantes. Los ataques contra un DMI pueden poner en riesgo la seguridaddel paciente que lo porta, con consecuencias fatales en ciertos casos.Causar un mal funcionamiento intencionado en un implante puede causarla muerte y, tal como lo reconoce la Food and Drug Administration (FDA)de EE.UU, tales ataques deliberados podrían ser mucho más difíciles dedetectar que los ataques accidentales [61]. Además, estos dispositivos almacenany transmiten información médica muy delicada que requiere seprotegida, según lo dictado por las directivas europeas (por ejemplo, la Directiva 95/46/ECC) y estadunidenses (por ejemplo, la Directiva CFR164.312) [94, 204].Si bien todavía no se conocen incidentes reales, se han demostrado conéxito varios ataques contra DMIs en el laboratorio [83, 133, 143]. Estosataques han demostrado cómo un adversario puede desactivar o reprogramarterapias en un marcapasos con conectividad inalámbrica e inclusoinducir un estado de shock al paciente [65]. Otros ataques agotanla batería y dejan al dispositivo inoperativo [91], lo que a menudo implicaque el paciente deba someterse a un procedimiento quirúrgico para reemplazarla batería del DMI. Además, en el caso de los implantes cardíacos,tienen un interruptor cuya posición de desconexión se consigue simplementeaplicando un campo magnético intenso [149]. La existencia de estemecanismo está motivada por la necesidad de proteger a los DMIs fretea posibles campos electromagnéticos, por ejemplo, cuando el paciente sesomete a una cirugía cardíaca usando dispositivos de electrocauterización[47]. Sin embargo, esto podría ser explotado fácilmente por un atacante,ya que la activación de dicho mecanismo primitivo no requiere ningún tipode autenticación.Garantizar la confidencialidad de la información almacenada y transmitidapor el DMI es otro aspecto obligatorio. El dispositivo debe implementarpolíticas de seguridad apropiadas que restrinjan qué entidadespueden reconfigurar el DMI o acceder a la información almacenada en él,asegurando que sólo se ejecuten las operaciones autorizadas. De la mismamanera, mecanismos de seguridad deben ser implementados para protegerel contenido de los mensajes intercambiados a través de un canal inalámbricono seguro.La protección de la integridad es igualmente importante para garantizarque la información no se haya modificado durante el tránsito. Por ejemplo,si la información enviada por el implante al programador se altera, elmédico podría tomar una decisión equivocada. Por el contrario, si un comandoenviado al implante se falsifica, modifica o simplemente contieneerrores, su ejecución podría comprometer la integridad física del paciente.Los mecanismos de seguridad deberían incorporarse en la fase de diseñoy complementarse con medidas legales y administrativas apropiadas.La legislación actual es bastante permisiva a este respecto, lo que permiteel uso de implantes como marcapasos que no incorporen ningún mecanismode seguridad. Las autoridades reguladoras como la FDA en los EstadosUnidos o la EMA (Agencia Europea de Medicamentos) en Europa deberíanpromover métricas y marcos para evaluar la seguridad de los DMIs.Estas evaluaciones deberían ser obligatorias por ley, requiriendo un nivelde seguridad adecuado para un implante antes de aprobar su uso. Además,tanto las medidas de seguridad implementadas en cada DMI como los resultadosde la evaluación de su seguridad deberían hacerse públicos.Buenas prácticas de ingeniería en los dominios de la protección y laseguridad deberían seguirse en el diseño de los DMIs. Si se detectan erroresde hardware, a menudo esto implica un reemplazo del implante, conlos riesgos asociados y vinculados a una cirugía. Una de las principalesfuentes de fallo al tratar o monitorear a un paciente es precisamente elmal funcionamiento del dispositivo. Estos fallos se conocen como “retiradas”,y se estima que afectan a aproximadamente el 2,6 % de los pacientesque llevan un implante. Además, el software que se ejecuta en eldispositivo debe soportar estrictamente las funcionalidades requeridas pararealizar las tareas médicas y operativas para las que fue diseñado, y no más[66, 134, 213].En el Capítulo 1, presentamos un estado de la cuestión sobre cuestionesde seguridad y privacidad en DMIs, discutimos los mecanismos más relevantespropuestos para abordar estos desafíos y analizamos su idoneidad,ventajas y principales inconvenientes. En el Capítulo 2, mostramoscómo el uso de señales electrocardiográficas (ECGs) altamente comprimidas(sólo 24 coeficientes de la Transformada Hadamard) es suficiente paraidentificar inequívocamente individuos con un alto rendimiento (precisiónde clasificación del 97% y errores del sistema de identificación del ordende 10−2). En el Capítulo 3 presentamos un nuevo esquema de AutenticaciónContinua (AC) que, contrariamente a los trabajos previos en estaárea, considera las señales ECG como flujos de datos continuos. El sistemapropuesto de AC basado en señales cardíacas está diseñado para aplicacionesen tiempo real y puede ofrecer una precisión de hasta el 96%,con un rendimiento del sistema casi perfecto (estadístico kappa > 80 %).En el Capítulo 4, proponemos un protocolo de verificación de la distanciapara gestionar el control de acceso al DMI: ACIMD. ACIMD combinados características, verificación de identidad (autenticación) y verificaciónde la proximidad (comprobación de la distancia). El mecanismo de autenticaciónes compatible con el estándar ISO/IEC 9798-2 y se realiza utilizandola señal ECG con todas sus ondas, lo cual es difícilmente replicablepor un atacante que se encuentre distante. Hemos evaluado el rendimientode ACIMD usando señales ECG de 199 individuos durante 24 horas, yhemos considerando tres estrategias posibles para el adversario. Los resultadosmuestran que se puede lograr una precisión del 87.07% en la au tenticación. Finalmente, en el Capítulo 5 extraemos algunas conclusionesy resumimos los trabajos publicados (es decir, revistas científicas con altofactor de impacto y conferencias internacionales prestigiosas). YR 2017 FD 2017-12-19 LK https://hdl.handle.net/10016/27319 UL https://hdl.handle.net/10016/27319 LA eng NO Mención Internacional en el título de doctor DS e-Archivo RD 16 jun. 2024