St. Jude és az orvostechnikai eszközök Cyber sérülékenysége
2016 végén és 2017 elején a híradások felvetették azt a kísértetet, hogy a rossz szándékú emberek potenciálisan behatolhatnak egy beültethető orvostechnikai eszközbe, és súlyos problémákat okozhatnak. Pontosabban a kérdéses eszközöket a St. Jude Medical, Inc. forgalmazza, és tartalmazzák a szívritmuszavarokat ( szívburok és szívblokk kezelésére), implantálható defibrillátorokat ( kamrai tachycardiát és kamrai fibrillációt ), valamint CRT eszközöket (amelyek szívelégtelenség kezelésére ).
Ezek a híradások talán félelmet keltettek azok között, akik ilyen orvostechnikai eszközökkel rendelkeznek, anélkül, hogy elegendő nézőpontba helyeznék a kérdést.
A beültetett kardiális eszközök veszélyeztetettek a számítógépes támadásokra? Igen, mert minden olyan digitális eszköz, amely magában foglalja a vezeték nélküli kommunikációt, legalább teoretikusan sérülékeny, beleértve a szívritmus-szabályozókat, az ICD-ket és a CRT-eszközöket. De eddig egyetlen tényleges számítógépes támadás sem történt ezekkel az implantált eszközökkel szemben. És (köszönhetően nagyrészt a közelmúltbeli nyilvánosságnak a hackelésről, mind az orvostechnikai eszközökről, mind a politikusokról), az FDA és az eszközgyártók már most keményen dolgoznak az ilyen sebezhetőségek felszámolásában.
St. Jude Cardiac Devices és Hacking
A történet először 2016 augusztusában tört ki, amikor a híres rövidárus Carson Block nyilvánosan bejelentette, hogy St. Jude már több ezer implantálható pacemakeret, defibrillátort és CRT eszközt értékesített, amelyek rendkívül kiszolgáltatottak voltak a hackeléssel szemben.
Block azt mondta, hogy egy kiberbiztonsági cég, amelyhez kapcsolódott (MedSec Holdings, Inc.), intenzív vizsgálatot végzett, és megállapította, hogy a St. Jude eszközök egyedülállóan sérülékenyek a hackeléssel szemben (ellentétben a Medtronic, Boston Scientific és más cégek).
Különösen az említett Block, a St. Jude rendszerek "hiányzott még a legalapvetőbb biztonsági védelem", mint például a hamisítás elleni eszközök, titkosítás és hibaelhárító eszközök, a fajta általában használt az iparág többi része.
Az állítólagos sérülékenység a távoli, vezeték nélküli megfigyeléshez kapcsolódott, amelybe ezek az eszközök beépítettek. Ezek a vezeték nélküli megfigyelő rendszerek úgy vannak kialakítva, hogy automatikusan érzékeljék a felmerülő eszközproblémákat, mielőtt ártalmasak lehetnek, és azonnal közölhetik ezeket a problémákat az orvosával. Ezt a távfelügyeleti szolgáltatást, amelyet most minden eszközgyártó alkalmazott, dokumentálták, hogy jelentősen javítsa a biztonságot azoknak a betegeknek a biztonságában, akik ilyen termékeket kapnak. St. Jude távfelügyeleti rendszerét a "Merlin.net" -nek hívják.
Blokk állításai meglehetősen látványosak voltak, és a St. Jude részvényárának azonnali csökkenését okozták - ami pontosan a Block által meghatározott cél volt. Érdemes megjegyezni, hogy a St. Jude-ról szóló állítása előtt a Block cégének (Muddy Waters, LLC) nagyszerű pozícióban volt St. Jude-ban. Ez azt jelentette, hogy a Block társasága több millió dollárt tudott készíteni, ha a St. Jude állománya jelentősen csökkent, és elég alacsony maradt ahhoz, hogy az Abbott Labs megállapodást kötött.
Blokk jó hírű támadása után St Jude azonnal visszavágott erősen megfogalmazott sajtóközleményekkel, hogy Blokk állításai "teljesen hamisak". St. Jude szintén beperelte a Muddy Waters, LLC-t, hogy állítólagos hamis információkat terjesztett a St. Jude részvényárak. Eközben a független kutatók a St. Jude sebezhetőségi kérdésre gondoltak, és különböző következtetésekre jutottak. Egy csoport megerősítette, hogy a St. Jude eszközei különösen sebezhetők a számítógépes támadásokkal szemben; egy másik csoport arra a következtetésre jutott, hogy nem. Az egész kérdést az FDA ökölbe dobta, amely erőteljes nyomozást indított, és hónapok óta keveset hallottak az ügyről.
Ebben az időben a St. Jude állománya visszanyerte elvesztett értékének nagy részét, és 2016 végén sikeresen befejezte az Abbott felvásárlását.
Aztán 2017 januárjában két dolog történt egyszerre. Először az FDA nyilatkozatot adott ki, amely szerint a cyber-biztonság problémái voltak a St. Jude orvosi eszközökkel, és hogy ez a sebezhetőség valóban lehetővé tehetné a számítógépes behatolásokat és kizsákmányolókat, amelyek károsak lehetnek a betegek számára. Az FDA azonban rámutatott arra, hogy semmilyen bizonyítékot nem találtak arról, hogy a hackelés ténylegesen bármelyik személynél történt.
Másodszor, a St. Jude kiadott egy kiberbiztonsági szoftvercsomagot, melynek célja, hogy nagymértékben csökkentsék az implantálható eszközökbe való behatolás lehetőségét. A szoftvercsomagot úgy tervezték, hogy automatikusan és vezeték nélkül telepítse magát, a St. Jude's Merlin.net-en keresztül. Az FDA azt javasolta, hogy azok a betegek, akik rendelkeznek ilyen eszközökkel, továbbra is használják a St Jude vezeték nélküli megfigyelő rendszert, mivel "a betegek folyamatos használatából származó egészségügyi előnyök meghaladják a cybersecurity kockázatait".
Hol hagyja el?
A fentiek nagyjából leírják a tényeket, ahogyan a közönség ismeri őket. Mint valaki, aki szorosan részt vett az első beültethető eszköz távfelügyeleti rendszerének fejlesztésében (nem Szent Jude-nél), ezt a következőképpen értelmezem: Biztosnak tűnik, hogy valóban a cyberbiztonság sebezhetősége volt a St. Jude távfelügyeleti rendszerben , és ezek a sérülékenységek úgy tűnnek, hogy az egész iparág számára nem volt rendes. (Úgy tűnik, St. Jude kezdeti tagadásait eltúlozták.)
Továbbá, nyilvánvaló, hogy St. Jude gyorsan mozog, hogy orvosolja ezt a sebezhetőséget, együtt dolgozva az FDA-val, és hogy ezeket a lépéseket az FDA végül kielégítőnek ítélte. Valójában az FDA együttműködésével és az a ténytelenséggel, hogy a sebezhetőséget egy szoftverfolt által megfelelően kezelték, St. Jude problémája úgy tűnik, hogy nem annyira olyan súlyos, mint amilyet Mr. Block 2016-ban állít. Szóval Mr. Block kezdeti állításai eltúlzottak voltak). Ezenkívül a javításokat bárki kárát megelőzően tették.
Függetlenül attól, hogy Mr. Block a nyílt összeférhetetlenség (mikor a St. Jude árfolyama lecsapta a nagy dollárokat), lehetetlennek bizonyult ahhoz, hogy túlméretezze a lehetséges cyber-kockázati hangokat, de ez a kérdés a bíróságok számára .
Jelenleg valószínűnek tűnik, hogy a korrekciós szoftvercsík alkalmazásával a St. Jude eszközökkel rendelkező embereknek nincs különösebb oka, hogy túlzottan aggódnak a hacker támadások miatt.
Miért vannak beültethető, a cyber támadást sebezhető szívműködésű eszközök?
Mostanra legtöbben rájövünk, hogy minden olyan digitális eszköz, amelyet az életünkben használunk, amely magában foglalja a vezeték nélküli kommunikációt, legalább elméletileg sebezhető a számítógépes támadással szemben. Ez magában foglalja az implantálható orvosi eszközöket, amelyek mindegyike vezeték nélkül kommunikál a külvilággal (vagyis a testen kívüli világgal).
Az a lehetőség, hogy az emberek vagy a gonosz csoportok valóban behatolhatnak az orvostechnikai eszközökbe, az elmúlt néhány évben egyre inkább valóságos veszélyt jelentett. Ebben a fényében a St. Jude sebezhetőségeket körülvevő nyilvánosság kedvező hatással lehet. Nyilvánvaló, hogy mind az orvostechnikai eszközök, mind az FDA ma már nagyon komolyan foglalkozik ezzel a fenyegetéssel, és most már nagy erőfeszítéssel jár el, hogy megfeleljen.
Mi a probléma az FDA-val?
Az FDA figyelmét erre a kérdésre újonnan összpontosították, valószínűleg nagyrészt a St. Jude készülékekkel kapcsolatos ellentmondás miatt. 2016. decemberében az FDA kiadott egy 30 oldalas "útmutatás" dokumentumot az orvostechnikai eszközök gyártói számára, és új szabálycsomagot állított fel a már piacon lévő orvostechnikai eszközök internetes sebezhetőségeinek kezelésére. (A még fejlesztés alatt álló orvostechnikai termékekre vonatkozó szabályok 2014-ben jelentek meg.) Az új szabályok leírják, hogyan kell a gyártóknak megismerkedniük a kibertudatos biztonsági rések megtalálásában és rögzítésében a forgalomba hozott termékekben, és hogyan kell programokat létrehozni az új biztonsági problémák azonosítására és bejelentésére.
Alsó vonal
Tekintettel a vezeték nélküli kommunikációs rendszerhez eredetileg kapcsolódó számítógépes kockázatokra, az implantálható orvostechnikai eszközöknél bizonyos fokú internetes sebezhetőség elkerülhetetlen. De fontos tudni, hogy védelmet lehet beépíteni ezekbe a termékekbe, hogy a hackelés csak távoli lehetőség, és Mr. Block is egyetért azzal, hogy a legtöbb vállalatnál ez történt. Ha a St. Jude korábban kissé laza volt ebben a kérdésben, úgy tűnik, hogy a vállalat 2016-ban megszerezte a negatív nyilvánosságot, amely egy ideig komolyan fenyegette üzleti tevékenységét. Többek között a St. Jude megbízta a független Cyber Security Medical Advisory Boardt, hogy felügyelje erőfeszítéseit. Más orvosi eszközgyártó vállalatok valószínűleg követik majd. Így mind az FDA, mind az orvostechnikai eszközök gyártói fokozott erővel foglalkoznak a kérdéssel.
Azok a személyek, akik beültetették a szívritmus-szabályozókat, az ICD-ket vagy a CRT-eszközöket, minden bizonnyal figyelmet fordítanak a számítógépes sebezhetőség kérdésére, mivel valószínűleg többet hallunk róla az idő múlásával. De mostanáig, legalábbis úgy tűnik, hogy a kockázat meglehetősen kicsi, és minden bizonnyal felülmúlja a távoli eszközök felügyeletének előnyeit.
> Források:
> FDA. A kiberbiztonsági sérülékenységek azonosítása a St. Jude Medical Implantálható Kardiális Eszközökben és Merlin @ home Transmitter: FDA Safety Communication. 2017. január 9-én.
> Muddy Waters. MW Nyilatkozat az STJ / ABT-ről A cyber sérülékenységek elismerése. Sajtóközlemény 2017. január 9.
> St Jude Medical. A St Jude Medical bejelentette a Cybersecurity Updates sajtóközleményt. 2017. január 9-én.