St. Jude in Cyber Ranljivost medicinskih pripomočkov
Konec leta 2016 in v začetku leta 2017 so novinarska poročila sprožila spekter, da bi ljudje s slabimi nameni lahko prišli do posameznega implantabilnega medicinskega pripomočka in povzročili resne težave. Natančneje, zadevne pripomočke tržijo podjetje St. Jude Medical, Inc. in vključujejo spodbujevalnike (ki zdravijo sinusno bradikardijo in srčni blok ), implantabilne defibrilatorje (ICD) (ki zdravijo ventrikularno tahikardijo in ventrikularno fibrilacijo ) in naprave CRT (ki zdravljenje srčnega popuščanja ).
Te novice so morda povzročile strahove med ljudmi, ki imajo te medicinske pripomočke, ne da bi to vprašanje postavili v zadostno perspektivo.
Ali so implantirane srčne naprave ogrožene zaradi kibernetskih napadov? Da, ker je vsaka digitalna naprava, ki vključuje brezžično komunikacijo, vsaj teoretično ranljiva, vključno s srčnimi spodbujevalniki, ICD in napravami CRT. Toda doslej dejanski kibernetski napad na katero koli od teh implantiranih naprav ni bil nikoli dokumentiran. In (v glavnem zahvaljujoč nedavnim obveščanjem o taksistih, medicinskih pripomočkih in politiki), FDA in proizvajalci pripomočkov zdaj močno prizadevajo za popravilo takšnih ranljivosti.
Jude Cardiac naprave in Hacking
Zgodba se je prvič zlomila avgusta 2016, ko je znani kratkodelski Carson Block javno objavil, da je St Jude prodajal več sto tisoč implantabilnih spodbujevalnikov, defibrilatorjev in naprav CRT, ki so bili zelo ranljivi za taksist.
Blok je dejal, da je družba za kibernetsko varnost, s katero je bila povezana (MedSec Holdings, Inc.), opravila intenzivno preiskavo in ugotovila, da so naprave St. Jude edinstveno ranljive za taksiranje (v nasprotju z enakimi vrstami medicinskih pripomočkov, ki jih prodaja Medtronic, Boston Scientific in druga podjetja).
Zlasti, omenjeni blok, sistemi St. Juda "niso imeli niti najosnovnejših varnostnih obramb", kot so naprave za preprečevanje nedovoljenih posegov, šifriranje in orodja za odpravljanje napak, ki jih običajno uporablja ostala industrija.
Domnevna ranljivost je bila povezana z daljinskim, brezžičnim nadzorom, ki so jih vgradile vse te naprave. Ti sistemi brezžičnega spremljanja so zasnovani tako, da samodejno zaznajo nastajajoče težave naprave, preden lahko povzročijo škodo, in te težave nemudoma sporočite zdravniku. Ta funkcija daljinskega spremljanja, ki jo zdaj uporabljajo vsi proizvajalci naprav, je bila dokumentirana, da bi bistveno izboljšala varnost pri bolnikih, ki imajo te izdelke. Sistem daljinskega spremljanja St. Jude se imenuje "Merlin.net".
Blokove obtožbe so bile precej spektakularne in so povzročilo takojšnji padec tečaja St Jude, kar je bil natančno določen cilj Blocka. Opozoriti je, da je pred njegovimi obtožbami o podjetju St. Jude podjetje Block (Muddy Waters, LLC) prevzelo veliko kratko pozicijo v St. Jude. To je pomenilo, da je podjetje Block delalo na milijone dolarjev, če se je stožčasti St Jude bistveno zmanjšal in ostala dovolj nizka, da je Abbott Labs prevzel dogovorjeno prevzem.
Strelec Judeja je takoj po napadu, ki ga je napadel Blok, takoj odpustil z močno zasnovanimi sporočili za javnost, da so bile trditve Bloma "absolutno neresnične." St Jude je tudi tožil Muddy Waters, LLC za domnevno širjenje napačnih informacij, da bi manipulirali s St Jude cene delnic. Medtem so neodvisni preiskovalci pregledali vprašanje ranljivosti St. St. Juda in prišli do različnih zaključkov. Ena skupina je potrdila, da so pripomočki sv. Juda še posebej občutljivi na kibernetski napad; Druga skupina je ugotovila, da niso. Celotno vprašanje je padlo v krogu FDA, ki je sprožila močno preiskavo, malo je bilo slišati o zadevi več mesecev.
V tem času je stalež St Jude izterjal večino izgubljene vrednosti, konec leta 2016 pa je bila pridobitev družbe Abbott uspešno zaključena.
Nato se je januarja 2017 sočasno zgodile dve stvari. Prvič, FDA je objavila izjavo, ki kaže, da so s medicinskimi pripomočki St. Jude dejansko obstajale težave s kibernetsko varnostjo, in da ta ranljivost lahko resnično omogoča vdor in izkoriščanje kibernetskih podatkov, ki bi lahko bili škodljivi za paciente. Vendar pa je FDA poudaril, da ni bilo ugotovljeno, da je taka hacking dejansko prišlo pri nobenem posamezniku.
Drugič, St. Jude je izdal programski popravek za kibernetsko varnost, ki je zasnovan tako, da bistveno zmanjša možnost vdora v svoje naprave za vsaditev. Obliž programske opreme je bil zasnovan tako, da se samodejno in brezžično namesti preko Merlin.net na St. Jude. FDA je priporočil, da pacienti, ki imajo te naprave, še naprej uporabljajo brezžični sistem St Jude, saj "zdravje bolnikov zaradi nadaljnje uporabe pripomore k večji nevarnosti kibernetske varnosti".
Kje nas to pusti?
Navedeno precej opisuje dejstva, saj jih v javnosti poznamo. Kot nekdo, ki je bil intimno vključen v razvoj prvega implantable naprave daljinskega nadzora (ne St Jude), vse to razlagam na naslednji način: Zdi se gotovo, da so v St. Jude sistemu daljinskega spremljanja dejansko obstajale ranljivosti s cybersecurity in te ranljivosti se zdi, da niso bile navadne za industrijo na splošno. (Torej, zdi se, da so prvotne zavrnitve St. Juda pretirano.)
Poleg tega je očitno, da je St Jude hitro premagal to sanacijo, ki je delal v povezavi s FDA, in da so FDA v tem primeru zadovoljivo ocenili. Pravzaprav, sodeč po sodelovanju FDA in dejstvu, da je bila ranljivost zadostno obravnavana s pomočjo programske obliže, se zdi, da problem St Jude ni skoraj tako resen, kot je zatrjeval g. Block leta 2016. ( Torej, zdi se, da so bili začetni izjavi gospoda Blocka pretiravani). Poleg tega so bili popravki opravljeni, preden je bil kdorkoli poškodovan.
Ne glede na to, ali je g. Blok razkril navzkrižje navzkrižja interesov (pri čemer je bilo znižanje cene delnic St Judeja, ki mu je privedlo do velikih dolarjev), morda povzročil, da bi lahko nadzoroval morebitna kibernetska tveganja, je to mogoče, vendar je to vprašanje, .
Za zdaj se zdi verjetno, da se s popravljalnim programskim popravkom ne uporabljajo ljudje z napravami St. Jude, ki nimajo nobenega posebnega razloga, da bi bili preveč zaskrbljeni zaradi napadov na vdorov.
Zakaj so implantacijske srčne naprave ranljive za Cyber Attack?
Do sedaj se večina od nas zaveda, da je vsaka digitalna naprava, ki jo uporabljamo v naših življenjih, ki vključuje brezžično komunikacijo, vsaj teoretično občutljiva na kibernetski napad. To vključuje vse medicinske pripomočke za vsaditev, ki morajo brezžično komunicirati z zunanjim svetom (to je svet zunaj telesa).
Možnost, da bi se ljudje ali skupine, ki se skrivajo na zlo, morda dejansko vdrli v medicinske pripomočke, se je v zadnjih nekaj letih pojavilo kot resnična grožnja. V tej luči je lahko morda prišlo do pozitivnega učinka javnosti glede ranljivosti St. Jude. Jasno je, da sta industrija medicinskih pripomočkov in FDA zdaj zelo resni glede te grožnje in zdaj delujejo z močno močjo, da bi jo spoznali.
Kaj je FDA, ki se ukvarja s problemom?
FDA pozornost je bila na novo osredotočena na to vprašanje, verjetno v veliki meri zaradi spornosti nad napravami St. Jude. Decembra 2016 je FDA izdal 30-stranski "navodila" za proizvajalce medicinskih pripomočkov in določil nov sklop pravil za obravnavo kibernetskih ranljivosti v medicinskih pripomočkih, ki so že na trgu. (Podobna pravila za medicinske izdelke, ki so še v razvoju, so bila objavljena leta 2014.) Nova pravila opisujejo, kako naj proizvajalci poskušajo prepoznati in določiti ranljivosti pri kibernetski varnosti v trženih izdelkih in kako vzpostaviti programe za prepoznavanje in poročanje o novih varnostnih težavah.
Spodnja črta
Glede na kibernetska tveganja, povezana s katerim koli brezžičnim komunikacijskim sistemom, je pri medicinskih pripomočkih za vsaditev neizogibna določena raven kibernetske ranljivosti. Pomembno pa je vedeti, da se lahko v teh izdelkih vgradijo obrambe, da bi se taksist lahko oddaljil le na daljavo, in tudi gospod Block se strinja, da se je to zgodilo v večini podjetij. Če je bil St Jude v tej zadevi že nekoliko ohlapen, se zdi, da je družba iz nje izčrpala negativna javnost, ki so jo prejeli leta 2016, kar je nekoč resno ogrozilo njihovo poslovanje. St Jude je med drugim naročil neodvisni medicinski svetovalni odbor za nadzor Cyber Security, ki bo nadziral prizadevanja. Druga podjetja za medicinske pripomočke bodo verjetno sledila. Tako proizvajalci FDA in proizvajalci medicinskih pripomočkov rešujejo težavo s povečano energijo.
Ljudje, ki so vsadili srčne spodbujevalnike, ICD ali naprave CRT, morajo vsekakor posvečati pozornost vprašanju kibernetske ranljivosti, saj bomo verjetno slišali več o tem, ko bo čas trajal. Toda za zdaj se zdi, da je tveganje precej majhno in zagotovo prevlada nad prednostmi daljinskega nadzora naprav.
> Viri:
> FDA. Ugotovitve v zvezi s cybersecurity, ugotovljene v Implantabilnih srčnih napravah St. Jude Medical in Merlin @ home oddajnik: Varnostna komunikacija FDA. 9. januar 2017.
> Muddy Waters. Izjava MW o STJ / ABT Potrditev ranljivosti na Cyber. Sporočilo za javnost 9. januarja 2017.
> St Jude Medical. St Jude Medical napovedal sporočilo za javnost Cybersecurity Updates. 9. januar 2017.