Select your country

Not finding what you are looking for, select your country from our regional selector:

Search

Data jag älskar dig: I nöd och lust

Vi hänvisar till två tv-serier i detta blogginlägg: Homeland och The Circle.

Är det möjligt att hacka en pacemaker?

Homeland pacemaker hack
Homeland pacemaker hack

Utdrag från avsnitt 10 i den andra säsongen av Homeland. Källa: Källa: Showtime

Sjukvårdsutrustning, t.ex. uppkopplade insulinpumpar eller den nya generationens pacemakers, har stora säkerhetsbrister. I avsnitt 10 av den andra säsongen av Homeland, en amerikansk serie som fokuserar på spionage efter den 11 september 2001, är Nicholas Brody en före detta marinsoldat som är krigsfånge hos al-Qaida. Han släpps av den amerikanska armén, ger sig in i politiken och träffar William Walden, vicepresident i USA och tidigare chef för CIA. Så snart de börjar prata har han ont: hans pacemaker har hackats av en cyberkriminell.

Att hacka en pacemaker: fakta eller fiktion? Under 2017 återkallade Food and Drug Administration (FDA) - den amerikanska administration som bland annat godkänner marknadsföring av läkemedel - 465 000 pacemakers för att uppdatera dem. "FDA-forskare visade att det var möjligt att ta kontroll över apparaten på ett relativt kort avstånd eller att accelerera hjärtfrekvensen", skrev Usbek&Rica i september 2017.

Enligt 01net.com hittade forskare vid WhiteScope under tiden 8 600 säkerhetsbrister i pacemakers tillverkade av fyra olika företag, även detta under 2017. Observera att denna siffra även inkluderar de komponenter och programvaror från tredje part som får enheten att fungera.

Uppgifter som inte undgått Marie Moe, en cybersäkerhetsforskare som själv har en pacemaker. "Kan hackare bryta mitt hjärta? ", är den nästan poetiska (om än inte så bokstavliga) titeln hon gav sitt TEDx-talk.

2016, efter att defibrillatorn hade installerats i hennes kropp, kände hon en oro: vad skulle hända om cyberkriminella kunde hacka sig in i hennes utrustning på distans? För att ta reda på det bestämmer hon sig för att hacka den själv. Med hjälp av sitt forskarlag köper hon pacemakers på eBay eller från sjukvårdspersonal.

Forskaren upptäckte inte bara att det var möjligt att hämta data från pacemakers utan också att stänga av dem på distans (samtidigt som de var ganska nära de personer som de riktade sig till). Hennes forskning har också avslöjat ett stort antal konfigurationsfel och buggar som hon själv är offer för. Hennes arbete har alltså först och främst tjänat till att förbättra funktionen hos hennes egen apparat, och i förlängningen hos en hel sektor.

För eller emot att hälsouppgifter blir handelsvaror: för eller emot?

Ännu en cybersäkerhetsspecialist, ännu en TEDx, ännu en patologi. År 2015 höll Salvatore Iaconesi, en etisk hackare, konsult för multinationella företag och professor, ett föredrag om en upplevelse som kunde ha varit tragisk. Han drabbas av en hjärntumör och kämpar för att få ett foto av den från sin läkare. Han bestämmer sig för att hacka sjukhuset som behandlar honom och får tag på hela hans medicinska journal. Han lägger ut den på nätet och uppmanar internetanvändarna att hjälpa honom.

Han får då nästan en halv miljon kontakter, en del mycket seriösa (90 läkare och forskare hjälper honom), andra mer personliga (meddelanden om stöd, dikter...). En konstnär gör till och med en 3D-utskrift av hans tumör. Varje ny information som han får från sin läkare diskuteras sedan med ett team av specialister via den plattform han skapat för att fastställa den bästa strategin för att bota. I dag mår Salvatore Iaconesi bra och som specialist på öppen källkod vill han vara ett perfekt exempel på att göra medicinska data tillgängliga för så många som möjligt.

Liksom Salvatore är det många röster som talar för att göra så mycket hälsodata som möjligt offentligt, för att främja forskningen och/eller låta patienterna dra nytta av att tjäna pengar på sina data.

Michèle Anahory, Olivier Spreux (båda advokater inom hälsorätt), Robert Chu och Alexis Normand (chefer för det nystartade företaget Embleema) har alla fyra undertecknat en debattartikel som publicerades i Le Monde i januari 2019. För dem bör varje "medborgare kunna godkänna utnyttjandet av sina uppgifter, i form av licenser, för definierade ändamål och få betalt i form av royalties".

För dem är iakttagelsen enkel: "När läkemedelsforskningen riktar in sig på en patologi förvärvar den digitaliserade medicinska journaler till stora kostnader. Roche förvärvade till exempel mjukvaruföretaget Flatiron i början av 2018 för 1,9 miljarder dollar (1,65 miljarder euro), vilket gav laboratoriet händerna på de fullständiga medicinska historierna för cirka 200 000 cancerpatienter eller cirka 10 000 dollar per fil. Även om syftet är legitimt, eftersom det handlar om att påskynda utvecklingen av behandlingar, vet patienterna ingenting om det.

I kollektivet sägs vidare följande: "Våra uppgifter betraktas faktiskt som tillgångar av plattformarna, som sammanställer och säljer dem. Värdet av EU-medborgarnas uppgifter kommer att uppgå till cirka 1 000 miljarder euro år 2020. Individerna gynnas inte av denna blomstrande verksamhet.

Två av undertecknarna, Robert Chu och Alexis Normand, vet något om detta. Deras nystartade företag Embleema tog in 3 miljoner euro i februari 2019. Denna insamling genomfördes särskilt i samarbete med Pharmagest, ett franskt företag som specialiserat sig på marknadsföring av digitala lösningar för apotek.

Embleema har utvecklat en digital plattform kallad PatientTruth, baserad på blockkedja, som "vill ge patienterna tillbaka kontrollen över sina medicinska data för att påskynda lanseringen av nya behandlingar", förklarade Les Echos i februari 2019.

"Detta är en enorm förbättring jämfört med den nuvarande modellen där mellanhänder [...] fångar upp allt värde av data vars källa: patienten, sjukhuset eller forskningscentret inte får någon ersättning, eller till och med är omedvetna om att de säljs", förklarar Robert Chu, ordförande för Embleema, för Les Echos.

 

Hälsodata, en ny affärsutmaning för GAFAM?

Detta samförstånd om delning av medicinska data har belysts i en ny film - som är den andra filmen i denna artikel. Det är The Circle, en film från 2017 som är anpassad efter romanen med samma namn (skriven av Dave Eggers).

I en nära framtid har den unga Mae precis fått sitt drömjobb: hon ansluter sig till ett av teamen i The Circle, världens största grupp för tekniktjänster (detta är varken mer eller mindre än en ohöljd karakterisering av Alphabet, Googles moderbolag). Företaget lever och andas av de data som det samlar in, analyserar och säljer. En av de tjänster som företaget erbjuder kommer att gynna Maes far som har multipel skleros. I utbyte mot gratis behandling måste han gå med på att bli permanent övervakad av The Circle. Alla hans hälsouppgifter kommer därför att gå till företaget.

Är GAFAM-företag - nämligen Google, Amazon, Facebook, Apple och Microsoft - verkligen intresserade av våra medicinska uppgifter? För var och en av dem är svaret ja. Det finns så många artiklar om deras projekt inom den medicinska sektorn att vi måste begränsa oss till Googles artiklar. Först och främst för att behålla kopplingen till fiktionsverket The Circle, och helt enkelt för att undvika att tynga ner analysen.

År 2017 lanserade Verily, Googles dotterbolag för hälsovård, projektet Baseline: 10 000 frivilliga rekryterades för att utrustas med ett batteri av uppkopplade föremål (och det går till och med så långt som till sensorerna under deras madrass). Målet? Att följa utvecklingen av deras hälsa på distans och under fyra år.

Inom medicinsk forskning kallas detta för en kohortstudie. Det är en ganska vanlig metod som går ut på att observera utvecklingen av hälsotillståndet hos en definierad population över tid. Det enda nya faktumet är att Google är den första icke-akademiska aktören att lansera en sådan. Baseline-projektet har inrättats i samarbete med universiteten Stanford och Duke. Antalet medel som krävs: 100 miljoner dollar. Observera att Verily tog in 1 miljard dollar i januari 2019.

Laurent Alexandre, kirurg och essäist, intervjuad av Les Echo deklarerade 2017: "Baseline är ett testområde för Google, som börjar i liten skala för att lära sig innan man går in i det stora. Min föraning är att inom tio eller tjugo år kommer plattformarna att ha skapat sina kohorter, av inte 200 000 utan flera tiotals miljoner människor, och kommer att använda dem för att göra om medicinska studier i industriell skala som hittills har varit tveksamma."

Och kirurgen kan ha en poäng. Baselines slogan är: "Vi har kartlagt världen, låt oss nu kartlägga människors hälsa.

Skaffa hälsouppgifter via internet

När Google inte får medicinska uppgifter från frivilliga patienter köper det multinationella företaget dem från webbplatser som hänvisas till i sökmotorn. Det är åtminstone vad som framkom i en undersökning av Financial Times som togs upp avLes Echos i november 2019.

"Den brittiska affärstidningens utredning avslöjar att de mest populära hälsovårdssidorna i Storbritannien delar sina användares mest känsliga medicinska uppgifter med dussintals annonsföretag på nätet runt om i världen. Och de gör det utan att tydligt be om samtycke, vilket krävs enligt EU:s allmänna dataskyddsförordning [...]. Ungefär 80 procent av de 100 undersökta webbplatserna är berörda", skriver Les Echos.

Och den ekonomiska dagstidningen fortsätter: "De exempel som Financial Times ger är tillräckliga för att få en läkarkår som är bunden av den hippokratiska eden att rysa. Drugs.com skickade läkemedelsnamn till Googles dotterbolag DoubleClick [...] BabyCenter skickade information om ägglossningscykeln till Amazon. British Heart Foundation eller Bupa, en privat vårdgivare, skickade nyckelord som "hjärtsjukdom" eller "överväger abort" till Scorecard Research och BlueBay, ett dotterbolag till Oracle."

Storbritannien är inte ett isolerat fall. I september 2019 gjordes en annan undersökning, den här gången av Privacy International - en icke-statlig organisation som kämpar mot kränkningar av den personliga integriteten - där man tittade på 136 särskilt populära webbsidor, som alla fokuserade på depression. Dessa fanns i Frankrike, Tyskland och Storbritannien.

"76,04 % av dessa sidor innehåller spårare från tredje part med marknadsföringssyfte", beskrivs det i artikeln. Även här hör Googles dotterbolag DoubleClick, men även AdSense, till de företag som har placerat flest spårare på dessa sidor.

"Information som avslöjar när någon känner sig ledsen eller orolig - särskilt när den kombineras med andra uppgifter om deras intressen och vanor - kan användas för att rikta sig till internetanvändare när de är som mest sårbara", analyserar Privacy International.

Oavsett om det handlar om att sälja produkter eller tjänster till internetanvändare, marknadsföra deras hälsouppgifter till jättarna inom sektorn, låta patienterna få en extra inkomst genom att sälja sina uppgifter och/eller främja medicinen och utvecklingen av nya behandlingar, så är frågan om hälsouppgifter fortfarande en svår fråga. Med tanke på att tillämpningen av lagen ibland är stapplande och ojämlik från ett land till ett annat, är denna fråga en fråga som berör oss alla, eftersom dessa uppgifter framför allt är våra.

Långt ifrån att ge ett färdigt svar, oavsett om det handlar om våra hälsouppgifter, våra barns uppgifter, de uppgifter som samlas in i våra hem, de uppgifter som vi kommer att lämna efter oss efter vår död eller de uppgifter som vi delar med vår intelligenta intelligenta samtalsfunktion, hoppas vi att den här innehållsserien kommer att få dig att tänka efter. Användningen av våra data är nämligen inte en fråga om framtiden, vilket visas av alla dessa föregripande verk som vi har lyft fram, utan en fråga om nutiden.

 

Data, I love you: Voice Assistants

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.