Nieprawidłowe działanie urządzeń medycznych St. Jude i Cyber
Pod koniec 2016 r. I na początku 2017 r. Doniesienia prasowe podniosły widmo, że ludzie o złych intencjach mogą włamać się do implantowanego urządzenia medycznego i powodować poważne problemy. Konkretnie, przedmiotowe urządzenia są sprzedawane przez St. Jude Medical, Inc. i obejmują rozruszniki serca (które leczą bradykardię zatokową i blok serca ), wszczepialne defibrylatory (ICD) (które leczą częstoskurcz komorowy i migotanie komór ) oraz urządzenia CRT (które leczyć niewydolność serca ).
Te doniesienia informacyjne mogą wzbudzać obawy wśród osób, które mają te urządzenia medyczne, nie umieszczając problemu w wystarczającej perspektywie.
Czy wszczepione urządzenia kardiologiczne są zagrożone cyberatakami? Tak, ponieważ każde urządzenie cyfrowe zawierające komunikację bezprzewodową jest co najmniej teoretycznie bezbronne, w tym rozruszniki serca, ICD i urządzenia CRT. Jak dotąd jednak nigdy nie udokumentowano rzeczywistego ataku cybernetycznego na te wszczepione urządzenia. I (w dużej mierze dzięki niedawnemu rozgłosowi o hakowaniu, zarówno urządzeniom medycznym, jak i politykom), FDA i producenci urządzeń pracują obecnie nad poprawianiem takich luk.
St. Jude Cardiac Devices and Hacking
Historia pierwsza pękła w sierpniu 2016 roku, kiedy słynny sprzedawca Carson Block publicznie ogłosił, że St. Jude sprzedawał setki tysięcy wszczepialnych rozruszników serca, defibrylatorów i urządzeń CRT, które były wyjątkowo podatne na ataki hakerskie.
Block powiedział, że firma zajmująca się bezpieczeństwem cybernetycznym, z którą był powiązany (MedSec Holdings, Inc.), przeprowadziła intensywne dochodzenie i stwierdziła, że urządzenia St. Jude były wyjątkowo podatne na włamania (w przeciwieństwie do tego samego rodzaju urządzeń medycznych sprzedawanych przez firmę Medtronic, Boston Scientific i inne firmy).
W szczególności, powiedział Block, systemy St. Jude "nie posiadały nawet najbardziej podstawowych zabezpieczeń", takich jak urządzenia antywłamaniowe, szyfrowanie i narzędzia do debugowania, zwykle używane przez resztę branży.
Domniemana luka dotyczyła zdalnego, bezprzewodowego monitorowania, w który wbudowane są wszystkie te urządzenia. Te bezprzewodowe systemy monitorowania są zaprojektowane w taki sposób, aby automatycznie wykrywać pojawiające się problemy z urządzeniem, zanim zdążą wyrządzić szkodę, i natychmiast przekazać te problemy lekarzowi. Ta funkcja zdalnego monitorowania, obecnie stosowana przez wszystkich producentów urządzeń, została udokumentowana w celu znacznej poprawy bezpieczeństwa pacjentów, którzy mają te produkty. System zdalnego monitorowania St. Jude nazywa się "Merlin.net".
Zarzuty Block'a były dość spektakularne i spowodowały natychmiastowy spadek cen akcji St. Jude'a - co było dokładnie określonym celem Block'a. Warto zauważyć, że przed postawieniem swoich zarzutów na temat St. Jude, firma Blocka (Muddy Waters, LLC) zajęła ważną krótką pozycję w St. Jude. Oznaczało to, że firma Blocka mogła zarobić miliony dolarów, gdyby akcje St. Jude znacznie spadły i pozostała na tyle niska, by wynaleźć uzgodnione przejęcie przez Abbott Labs.
Po dobrze nagłośnionym ataku Blacka, St Jude natychmiast odwołał się z mocno sformułowanymi komunikatami prasowymi, aby twierdzić, że zarzuty Blacka były "absolutnie nieprawdziwe." St. Jude również pozwał Muddy Waters, LLC za rzekome rozpowszechnianie fałszywych informacji w celu manipulowania St. Jude's ceny akcji. Tymczasem niezależni badacze przyjrzeli się kwestii podatności na St Jude i doszli do różnych wniosków. Jedna z grup potwierdziła, że urządzenia St. Jude były szczególnie narażone na ataki cybernetyczne; inna grupa doszła do wniosku, że tak nie jest. Cała sprawa została porzucona na okrążeniu FDA, która rozpoczęła energiczne śledztwo i niewiele było słychać o tej sprawie przez kilka miesięcy.
W tym czasie akcje St. Jude odzyskały dużo straconej wartości, a pod koniec 2016 r. Przejęcie firmy Abbott zakończyło się sukcesem.
Następnie, w styczniu 2017 r., Równolegle odbyły się dwie rzeczy. Po pierwsze, FDA wydało oświadczenie wskazujące, że rzeczywiście istniały problemy z cyberbezpieczeństwem ze sprzętem medycznym St. Jude i że ta luka może rzeczywiście umożliwić cyberprzestępstwa i exploity, które mogą okazać się szkodliwe dla pacjentów. Jednak FDA wskazał, że nie znaleziono żadnych dowodów na to, że hakowanie miało miejsce w jakiejkolwiek osobie.
Po drugie, St. Jude wypuściło łatkę na oprogramowanie do cyberbezpieczeństwa, która znacznie zmniejsza możliwość włamania się do ich wszczepialnych urządzeń. Łata oprogramowania została zaprojektowana tak, aby instalować się automatycznie i bezprzewodowo w St. Jude's Merlin.net. FDA zalecił, aby pacjenci korzystający z tych urządzeń nadal korzystali z bezprzewodowego systemu monitorowania St Jude, ponieważ "korzyści zdrowotne dla pacjentów wynikające z ciągłego korzystania z urządzenia przewyższają ryzyko związane z cyberbezpieczeństwem".
Gdzie to nas zostawia?
Powyższe dość dokładnie opisuje fakty, tak jak my w opinii publicznej je znamy. Jako ktoś, kto był bardzo zaangażowany w rozwój pierwszego systemu zdalnego monitorowania wszczepialnego urządzenia (nie St. Jude's), interpretuję to wszystko w następujący sposób: Wydaje się pewne, że rzeczywiście istniały luki w zabezpieczeniach cybernetycznych w systemie zdalnego monitorowania St. Jude. , i te luki wydają się być nietypowe dla całej branży. (Tak więc, początkowe zaprzeczenia św. Judy wydają się być przesadzone.)
Ponadto oczywistym jest, że św. Jude szybko przeprowadził naprawę tej luki, współpracując z FDA i że FDA ostatecznie uznała te kroki za zadowalające. W rzeczywistości, sądząc po współpracy z FDA i faktem, że luka była wystarczająco rozwiązana za pomocą łatki oprogramowania, problem St. Jude'a nie wydaje się być tak poważny, jak twierdził pan Block w 2016 r. ( Tak więc wstępne oświadczenia pana Blocka wydają się być przesadzone). Ponadto poprawki zostały wprowadzone, zanim ktokolwiek doznał uszczerbku.
Niezależnie od tego, czy jawny konflikt interesów pana Block'a (w wyniku którego obniżenie ceny akcji St. Jude'a miało na celu zarobienie mu wielkich pieniędzy), mógł spowodować przesadzenie z potencjalnym ryzykiem cybernetycznym, ale jest to pytanie do sądu .
Na razie wydaje się prawdopodobne, że przy zastosowaniu poprawki oprogramowania naprawczego ludzie z urządzeniami St. Jude nie mają szczególnego powodu, aby być nadmiernie zaniepokojeni atakami hakerskimi.
Dlaczego implanty kardiologiczne są podatne na atak cybernetyczny?
Obecnie większość z nas zdaje sobie sprawę, że każde cyfrowe urządzenie, którego używamy w życiu, które wymaga komunikacji bezprzewodowej, jest co najmniej teoretycznie podatne na cyberatak. Obejmuje to wszelkie wszczepialne urządzenia medyczne, z których wszystkie muszą komunikować się bezprzewodowo ze światem zewnętrznym (czyli światem poza ciałem).
Możliwość, że ludzie lub grupy nastawione na zło może faktycznie włamać się do urządzeń medycznych, w ciągu ostatnich kilku lat stała się bardziej realnym zagrożeniem. W tym świetle rozgłos wokół luk w St. Jude mógł mieć pozytywny wpływ. Jest oczywiste, że zarówno branża urządzeń medycznych, jak i FDA obecnie poważnie podchodzą do tego zagrożenia i teraz działają z dużą energią, aby to osiągnąć.
Co FDA robi na temat problemu?
Uwaga FDA została niedawno skoncentrowana na tej kwestii, prawdopodobnie w dużej mierze ze względu na kontrowersje dotyczące urządzeń St. Jude. W grudniu 2016 r. FDA opublikowała 30-stronicowy dokument "przewodnika" dla producentów urządzeń medycznych, określający nowy zestaw przepisów dotyczących eliminowania podatności na cyberkobiety w urządzeniach medycznych, które już są na rynku. (Podobne zasady dotyczące produktów medycznych, które wciąż są opracowywane, zostały opublikowane w 2014 r.) Nowe zasady opisują, w jaki sposób producenci powinni zajmować się identyfikowaniem i naprawą luk w zabezpieczeniach cybernetycznych w produktach wprowadzanych na rynek oraz jak tworzyć programy do identyfikowania i zgłaszania nowych problemów związanych z bezpieczeństwem.
Dolna linia
Biorąc pod uwagę ryzyko cybernetyczne związane nieodłącznie z dowolnym systemem komunikacji bezprzewodowej, pewien stopień podatności na ataki jest nieunikniony w przypadku wszczepialnych urządzeń medycznych. Ale ważne jest, aby wiedzieć, że w tych produktach można wbudować mechanizmy obronne, aby hakowanie stało się tylko odległą możliwością, a nawet Pan Block zgadza się, że w przypadku większości firm tak się stało. Jeśli św. Jude był w tej sprawie nieco leniwy, wydaje się, że firma została wyleczona z tego negatywnego rozgłosu, jaki otrzymali w 2016 r., Który na pewien czas poważnie zagroził ich interesom. Między innymi, St. Jude zlecił niezależnemu Cyberbezpiecznemu Medycznemu Komitetowi Doradczemu, aby nadzorował jego wysiłki w przyszłości. Inne firmy produkujące urządzenia medyczne mogą pójść w ich ślady. Dlatego zarówno FDA, jak i producenci urządzeń medycznych zajmują się tym zagadnieniem ze zwiększoną energią.
Osoby, które wszczepiły rozruszniki serca, ICD lub urządzenia CRT, powinny z pewnością zwrócić uwagę na problem podatności na cybernetyczną sieć, ponieważ prawdopodobnie z czasem usłyszymy o tym więcej. Ale na razie ryzyko wydaje się być niewielkie i z pewnością przewyższają je korzyści wynikające z monitorowania urządzeń zdalnych.
> Źródła:
> FDA. Zagrożenia związane z bezpieczeństwem cybernetycznym zidentyfikowane w implantowanych implantach serca St Jude Medical i nadajniku Merlin @ home: FDA Safety Communication. 9 stycznia 2017 r.
> Muddy Waters. Oświadczenie MW w sprawie STJ / ABT Uznanie za słabe punkty w cyberprzestrzeni. Komunikat prasowy z 9 stycznia 2017 r.
> St Jude Medical. St Jude Medical ogłasza komunikat prasowy Cybersecurity Updates. 9 stycznia 2017 r.