Genetisk information och säkerhetsrisker

Denna veckas blogg tar upp några olika säkerhetsrisker kopplade till hantering av genetisk information. Angrepp exemplifieras som nyttjar sårbarheter i mjukvara, maskeras i DNA:t eller exponerar användaruppgifter till individer som skickat DNA-prover för att släktforska.

Zero-day sårbarhet hos mjukvara för DNA-sekvensering

Det webbaserade verktyget LIMS är en bioinformatisk mjukvara för att analysera och hantera DNA sekvenseringsresultat som vanligtvis används av akademiska institutioner. Inloggningsportalen till LIMS exponeras mot internet vilket ledde till att det nyligen [1] riktades en cyberattack mot verktyget. En zero-day sårbarhet (som ännu inte patchats) hade utnyttjats av en grupp som i efterhand kunnat spåras till en IP-adress i Iran. Attacken hade intentionen att kontrollera den underliggande web-servern på distans. Man kan fundera över vad som ligger bakom detta och varför detta mål väljs ut. Till exempel skulle DNA sekvenser kunna extraheras och säljas på en svart marknad, eller så är det vissa personers DNA som är av specifikt intresse. Om och på vilket sätt den genetiska informationen är anonymiserad är då i högsta grad relevant i detta sammanhang. Andra teorier är att infekterade servrar skulle kunna användas i ett botnet eller att attacken syftade till att utnyttja de sårbara systemen för kryptovalutor. Dessa enheter är dock få till antalet (i storleksordningen ett tiotal) vilket talar emot att angriparen tänkt använda dem i botnets för exempelvis en DdoS-attack. En annan och kanske den mest troliga möjligheten är att slumpmässigt valda sårbarheter utnyttjats för att åstadkomma skada på ett stort antal system. Även om motivet till attacken är oklart är det ändå tänkvärt att sekvenseringssystem med denna typ av känslig information angrips och det bör inte uteslutas att detta kan hända igen.

DNA med infogat 176 baspar skadlig kod som attackvektor

 En proof-of-concept studie har tidigare visat [2] att det inom just DNA-sekvensering, är möjligt för en angripare att ta över sekvenseringsdatorer med hjälp av DNA-innehållet. Genom att inkorporera skadlig kod (146 baspar) i DNA som ska sekvenseras, kunde det påvisas att när avläsningen sker av just denna del DNA omskrivs koden till ett program som kan nå och kontrollera den underliggande datorn. Utmaningen i studien var att generera DNA som innehåller den skadliga koden med tillräcklig stabilitet, behålla den intakt under sekvenseringen och nyttja en buffer-overflow-sårbarhet som innebär repetition av datasträngar. Man lyckades med översättningen från DNA till det digitala formatet FASTQ som används för att lagra DNA sekvensen. När denna fil komprimerades hackades mjukvaran med sårbarheten (för ändamålet hade komprimeringsmjukvaran skapats och försetts med sårbarheten). Ett sofistikerat angrepp, men kanske inte det mest realistiska eller praktiska tillvägagångssättet vid ett angrepp. Exemplet visar att säkerhet hos beräkningssystem inom biologi utöver t.ex. mjuk-och hårdvara, nätverk, samt användarens roll även kan omfatta DNA-sekvensen som sådan.

Hantering av resultat från DNA-tester för släktforskning

DNA-släktforskning har blivit mer och mer populärt. Idag sker det utifrån olika behov, t.ex. för att hitta släktingar, få ledtrådar till släktens geografiska ursprung, hitta biologiska föräldrar vid adoption eller kartlägga släktträd innan skriftliga källor upprättats. Tester av det prov man bifogar testföretaget sker av autosomalt DNA, Y-kromosomalt DNA eller mitokondriellt DNA beroende på syfte. Hur långtgående slutsatser man kan dra utifrån resultat har diskuterats flitigt och är inget som detta blogginlägg kommer att fördjupa sig i. Däremot är det relevant att fråga sig hur resultat av analyserade DNA-prov hanteras av testföretag, i ljuset av lagstiftning avseende hantering av känsliga personuppgifter. Att det finns förbättringspotential uppdagades hos MyHeritage då databas med 92 miljoner användaruppgifter röjdes [3]. Responsen var att 2-faktors autentisering infördes och användare uppmanades byta lösenord till följd av exponeringen. Även om släktskapsdata eller kortuppgifter inte kunde härledas från de läckta användaruppgifterna i denna händelse kan man fråga sig hur prioriterat säkerhetsarbetet är hos de olika testföretagen. Vid en jämförelse mellan olika testföretags hemsidor går det att se substantiell variation i hur 7 testföretag beskriver sitt säkerhetsarbete [4]. Följande är axplock av hur denna beskrivning kan skilja sig åt:

 ⦁ Beskrivning av säkerhetsarbete saknas överhuvudtaget, enbart detaljer för kvalitetsarbete avseende laboratoriemiljö förtydligas

⦁ ”Ingen metod för att överföra eller lagra elektronisk data är fullständigt säker, därför lämnar vi inga garantier avseende avvikelser mot vår privacy policy”,

⦁ ”industristandard avseende lagring, utan namn”

 ⦁ ”rimliga kommersiella säkerhetsåtgärder” till

⦁ ”ISO 27001 certifiering”

Man får hoppas att det betyder att företagen med de förstnämnda beskrivningarna inte lägger fokus på hur de uttrycker säkerhetsarbetet på sin hemsida och att deras säkerhetsarbete faktiskt är dimensionerat efter konsekvenserna av att den känsliga informationen exempelvis skulle röjas.

Slutsatser

Exemplen visar på scenarios att ta hänsyn till och värdera när hotbilder kartläggs inom verksamheter med dessa typer av system i bruk eller som hanterar genetisk information. Att kunna ta riskmedvetna beslut om säkerhetsåtgärder kommer att fortsätta att vara centralt, även då ny typ av känslig information aktualiseras. Detta understryks av faktumet att DNA-sekvensering i större utsträckning centraliseras. En leverantörskedja innebär risk för bristande kontroll och att tjänster utförd av tredje part kan ske på känsliga system, vilket även i denna bransch kan vara problematiskt .

Referenser

[1] https://www.ibtimes.sg/cyber-attack-why-iranian-hackers-targeting-web-based-dna-sequencing-apps-31322 [2] https://dnasec.cs.washington.edu/dnasec.pdf [3] https://blog.myheritage.com/2018/06/myheritage-statement-about-a-cybersecurity-incident/ [4] MyHeritage, 23 and Me, Living DNA, Family Tree, Ancestry tree, NG Gene, Easy DNA hemsidor