St. Jude i Cyber ranjivost medicinskih uređaja
Krajem 2016. i početkom 2017. izvješća o vijestima podigla su predodžbu da bi ljudi s lošim namjerama mogli potkopati implantabilni medicinski uređaj pojedinca i izazvati ozbiljne probleme. Konkretno, uređaji u pitanju prodavali su tvrtka St. Jude Medical Inc., a uključuju pacemakers (koji se bave sinusna bradikardija i srčani blok ), implantabilni defibrilatori (ICD) (koji liječe ventrikularnu tahikardiju i ventrikularnu fibrilaciju ) i CRT uređaje (koji liječiti zatajenje srca ).
Ta izvješća o novostima možda su izazvala strahove među ljudima koji imaju te medicinske uređaje bez postavljanja pitanja u dovoljnu perspektivu.
Jesu li implantirani srčani uređaji ugroženi za cyber-napade? Da, jer je svaki digitalni uređaj koji uključuje bežičnu komunikaciju barem teoretski ranjiv, uključujući pacemakers, ICD i CRT uređaje. Ali do sada, stvarni kibernetički napad na bilo koji od ovih ugrađenih uređaja nikada nije dokumentiran. I (zahvaljujući velikom dijelu nedavnog publiciteta o sjeckanju, i medicinskih uređaja i političara), FDA i proizvođači uređaja sada naporno rade na zakrpavanju takvih ranjivosti.
St. Jude Cardiac Devices i hakiranje
Priča je prvi put prekinuta u kolovozu 2016. kada je poznati kratkovaličar Carson Block javno objavio da je St. Jude prodavao stotine tisuća implantacijskih pejsmejaka, defibrilatora i CRT uređaja koji su bili izuzetno osjetljivi na sjeckanje.
Block je rekao da je tvrtka za računalnu sigurnost s kojom je bio povezan (MedSec Holdings, Inc.), provodio intenzivnu istragu i utvrdio da su uređaji St. Jude jedinstveno osjetljivi na sjeckanje (za razliku od istih vrsta medicinskih proizvoda koje prodaje Medtronic, Boston Scientific i druge tvrtke).
Konkretno, rekao je Block, sustavi St. Jude "nedostajali su čak i najosnovnija sigurnosna obrana", poput uređaja za zaštitu od neovlaštenog pristupa, enkripcije i alata za uklanjanje pogrešaka, vrsta koja se obično koristi u ostatku industrije.
Navodna ranjivost bila je povezana s daljinskim, bežičnim nadzorom koji su svi uređaji ugrađeni u njih. Ovi bežični sustavi nadzora osmišljeni su za automatsko prepoznavanje problema s novim uređajima prije nego što mogu prouzročiti štetu i odmah prenose ove probleme liječniku. Ova značajka daljinskog nadzora, koju sada rabe svi proizvođači uređaja, dokumentirana je kako bi značajno poboljšala sigurnost pacijenata koji imaju ove proizvode. Sustav daljinskog nadzora St. Jude naziva se "Merlin.net".
Blokovi navodi bili su prilično spektakularni i uzrokovali su neposredan pad cijene dionica St. Judea - što je upravo Blockov cilj. Napomenuvši, prije nego što su svoje tvrdnje o St. Judeu, Blockova tvrtka (Muddy Waters, LLC), u St. Judeu imala veliki položaj. To je značilo da je Blockova tvrtka uspjela zaraditi milijune dolara ako se zaliha sv. Judea znatno smanjila, i ostala dovoljno niska da bi skottirala ugovorenu kupnju tvrtke Abbott Labs.
Nakon Blockovog dobro objavljenog napada, St Jude odmah otpustio natrag sa snažno formuliranim priopćenjima za tisak u vezi s time da su Blokovi navodi bili "apsolutno neistiniti". Sveti Jude također je tužio Muddy Waters, LLC za navodno širenje lažnih informacija kako bi manipulirao St. Jude's cijene dionica. U međuvremenu, nezavisni istražitelji pogledali su pitanje ranjivosti na St. Jude i došli do različitih zaključaka. Jedna grupa je potvrdila da su uređaji Svete Jude posebno osjetljivi na cyber napad; druga skupina zaključuje da nisu. Cijeli je problem stavljen u krilo FDA-e, koji je pokrenuo snažnu istragu, a malo se čulo za nekoliko mjeseci.
Tijekom tog vremena dionice Svete Jude oporavile su veći dio svoje izgubljene vrijednosti, a krajem 2016. godine uspješno je zaključila akvizicija tvrtke Abbott.
Zatim su u siječnju 2017. dogodile dvije stvari istodobno. Prvo, FDA je objavila izjavu koja ukazuje na postojanje kibernetičkih problema s medicinskim uređajima St. Jude i da bi ova ranjivost mogla dopustiti cyber upada i eksploatacije koje bi mogle dokazati štetne za pacijente. Međutim, FDA je istaknula da nema dokaza da je došlo do hakiranja u bilo kojem pojedincu.
Drugo, St. Jude je objavio patch softver za kibernetiku dizajniran kako bi uvelike umanjio mogućnost hakiranja u njihove implantable uređaje. Softverska zakrpa dizajnirana je kako bi se automatski i bežično instalirala, preko tvrtke St. Jude's Merlin.net. FDA je preporučila da pacijenti koji imaju te uređaje i dalje koriste bežični sustav praćenja St Jude-a, budući da "zdravstvene koristi pacijenata od daljnje upotrebe uređaja nadilazi rizike sigurnosti cyber-sigurnosti".
Gdje nas to ostavlja?
Gore navedeno mnogo opisuje činjenice koje ih poznajemo u javnosti. Kao netko tko je bio blisko uključen u razvoj prvog implantacijskog sustava daljinskog nadzora (a ne St. Judea), to sve protumačim na sljedeći način: Čini se sigurno da su doista postojale ranjivosti cybersecuritya u sustavu daljinskog nadzora St. Jude , i čini se da su ove ranjivosti uobičajene za industriju u cjelini. (Dakle, izgleda da su početni poricaji sv. Judea pretjerani.)
Nadalje, očito je da je sveti Jude brzo krenuo da remedira ovu ranjivost, radeći u suradnji s FDA, te da su ovi koraci u konačnici bili zadovoljavajući od strane FDA. Zapravo, sudeći prema suradnji FDA i činjenici da je ranjivost dostatno riješena softverskim zakrpama, problem Svetog Judea se ne čini gotovo jednako teškim kao što ju je blokirao gospodin Block 2016. ( Dakle, izgleda da su početne izjave gospodina Blocka bile pretjerane). Nadalje, ispravke su napravljene prije nego što je netko bio povrijeđen.
Bez obzira na to je li zagonetni interes gospodina gospodina Blocka (pri čemu je smanjenje dionice St. Judea bilo veće za njega), moglo bi ga dovesti do previsokog mogućeg mogućeg cyber rizika, ali to je pitanje za sudove da odrede ,
Za sada je izgleda vjerojatno da, s primjenom ispravka zakrpe softvera, osobe s uređajima St. Jude nemaju osobit razlog da budu pretjerano zabrinuti zbog napada hakera.
Zašto su implantatni srčani uređaji ranjivi na cyber napad?
Do sada većina nas shvaća da je svaki digitalni uređaj koji upotrebljavamo u našem životu koji uključuje bežičnu komunikaciju barem teoretski podložan cyberattacku. To uključuje bilo koji implantabilni medicinski uređaj, koji svi moraju bežično komunicirati s vanjskim svijetom (tj. Svijetom izvan tijela).
Mogućnost da se ljudi ili grupe koje su se zaokupljene zlom zapravo upale u medicinske uređaje, u posljednjih nekoliko godina, postaju više stvarne prijetnje. U tom svjetlu, javnost koja okružuje ranjivost St. Jude mogla je imati pozitivan učinak. Jasno je da su i industrija medicinskih uređaja i FDA sada vrlo ozbiljni u vezi s tom prijetnjom, a sada djeluju s velikom snagom kako bi se zadovoljili.
Što FDA radi o problemu?
Pozornost FDA-e je novo usmjerena na ovo pitanje, vjerojatno u velikoj mjeri zbog kontroverzi nad uređajima St. Jude. U prosincu 2016. godine FDA je objavila dokument "smjernice" za 30 stranica za proizvođače medicinskih proizvoda, postavljajući novu skup pravila za rješavanje kibernetskih ranjivosti u medicinskim uređajima koji su već na tržištu. (Slična pravila za medicinske proizvode koji su još u razvoju objavljeni su 2014.). Nova pravila opisuju kako proizvođači trebaju krenuti u identificiranju i popravljanju ranjivosti cybersecuritya u prodanim proizvodima te kako uspostaviti programe za prepoznavanje i prijavljivanje novih sigurnosnih problema.
Donja linija
S obzirom na cyber rizike inherentno povezane s bilo kojim bežičnim komunikacijskim sustavom, neki stupanj kibernetske ranjivosti je neizbježan s implantabilnim medicinskim uređajima. No, važno je znati da obrana može biti ugrađena u ove proizvode kako bi se sjeckanje činila samo nekom udaljenom mogućnošću, pa je i gospodin Block suglasan da se za većinu tvrtki to dogodilo. Ako je sv. Jude prije bio pomalo lijen u vezi s tim pitanjem, čini se da je tvrtka izliječila negativna javnost koju su zaprimili u 2016. godini, što je neko vrijeme ozbiljno ugrozilo njihovo poslovanje. Između ostalog, St. Jude je naručio neovisnu savjetodavnu komisiju Cyber Security za nadgledanje svojih napora. Druge tvrtke s medicinskim uređajima vjerojatno će slijediti tu odijelo. Dakle, i FDA i proizvođači medicinskih uređaja rješavaju problem s povećanom snagom.
Ljudi koji su implantirali pacemakers, ICDs ili CRT uređaje zasigurno bi trebali obratiti pažnju na pitanje cyber ranjivosti, jer ćemo vjerojatno čuti više o tome kako vrijeme prolazi. No, za sada, barem, čini se da je rizik prilično mali, a zasigurno nadmašuje prednosti daljinskog nadgledanja uređaja.
> Izvori:
> FDA. Ranjivosti otkrivene u cybersecurity u St. Jude Medical implantatornim srčanim uređajima i Merlin @ home odašiljač: FDA Safety Communication. 9. siječnja 2017.
> Muddy Waters. MW Izjava o STJ / ABT priznanju Cyber ranjivosti. Priopćenje za javnost 9. siječnja 2017.
> St Jude Medical. St Jude Medical najavljuje objave za ažuriranja za Cybersecurity. 9. siječnja 2017.