Vulnerabilitatea dispozitivelor medicale de către Iuda și Cyber
La sfârșitul anului 2016 și începutul lui 2017, rapoartele de știri au ridicat spectrul potrivit căruia persoanele cu intenții proaste ar putea să se hrănească în dispozitivul medical implantabil al unui individ și să provoace probleme grave. În mod specific, dispozitivele în cauză sunt comercializate de St. Jude Medical, Inc. și includ stimulatoarele cardiace (care tratează bradicardia sinusală și blocul cardiac ), defibrilatoare implantabile (ICD) (care tratează tahicardia ventriculară și fibrilația ventriculară ) și dispozitivele CRT tratați insuficiența cardiacă ).
Aceste rapoarte de știri au generat temeri în rândul persoanelor care au aceste dispozitive medicale fără a pune problema într-o perspectivă suficientă.
Sunt implantate dispozitive cardiace la risc pentru atacuri cibernetice? Da, deoarece orice dispozitiv digital care include comunicarea wireless este cel puțin vulnerabil din punct de vedere teoretic, incluzând stimulatoarele cardiace, dispozitivele ICD și dispozitivele CRT. Dar până acum, un atac cibernetic real împotriva oricăruia dintre aceste dispozitive implantate nu a fost niciodată documentat. Și (datorită, în mare parte, publicității recente despre hacking, ambele dispozitive medicale și politicieni), FDA și producătorii de dispozitive lucrează acum din greu pentru a patch-uri astfel de vulnerabilități.
Sf. Iuda Dispozitive cardiace și hacking
Povestea a intrat prima dată în august 2016, când renumitul vânzător cu amănuntul Carson Block a anunțat în mod public că Sf. Iuda a vândut sute de mii de stimulatoare implantabile, defibrilatoare și dispozitive CRT care erau extrem de vulnerabile la hacking.
Block a declarat că o companie de securitate cibernetică cu care era afiliată (MedSec Holdings, Inc.) a făcut o investigație intensă și a constatat că dispozitivele St. Jude erau vulnerabile în mod unic la hacking (spre deosebire de aceleași tipuri de dispozitive medicale vândute de Medtronic, Boston Scientific, și alte companii).
În special, blocul menționat, sistemele St. Jude "nu aveau nici măcar cele mai de bază elemente de protecție a securității", cum ar fi dispozitivele anti-tamper, instrumentele de criptare și de depanare, de tipul celor utilizate în mod obișnuit de restul industriei.
Presupusa vulnerabilitate a fost legată de monitorizarea wireless la distanță, pe care toate dispozitivele le-au integrat. Aceste sisteme de monitorizare fără fir sunt concepute pentru a detecta în mod automat problemele emergente ale dispozitivelor înainte de a fi capabile să dăuneze și să comunice imediat aceste probleme medicului. Această funcție de monitorizare la distanță, utilizată acum de către toți producătorii de dispozitive, a fost documentată pentru a îmbunătăți semnificativ siguranța pacienților care au aceste produse. Sistemul de monitorizare de la St Jude este numit "Merlin.net".
Acuzațiile lui Block au fost destul de spectaculoase și au determinat o scădere imediată a prețului acțiunilor St Jude - care a fost exact obiectivul declarat al lui Block. De remarcat, înainte de a face acuzațiile sale despre St. Jude, compania lui Block (Muddy Waters, LLC), a preluat o poziție scurtă importantă în St. Jude. Aceasta a însemnat că firma lui Block ar fi făcut milioane de dolari dacă acțiunea St Jude a scăzut substanțial și a rămas suficient de scăzută pentru a scoate o achiziție convenită de Abbott Labs.
Dupa atacul bine publicat al lui Block, St Jude a tras imediat inapoi cu presa scrisa, in sensul ca afirmatiile lui Block au fost "absolut neadevarate". Sf. Iuda a dat in judecata si Muddy Waters, LLC pentru ca ar fi difuzat informatii false pentru a manipula St. Jude's prețurile acțiunilor. Între timp, anchetatorii independenți s-au uitat la întrebarea de vulnerabilitate a St Jude și au ajuns la concluzii diferite. Un grup a confirmat faptul că dispozitivele lui St. Jude erau deosebit de vulnerabile la atacurile cibernetice; un alt grup a concluzionat că nu au fost. Întreaga chestiune a fost abandonată în cadrul FDA, care a lansat o investigație viguroasă și puțin timp au fost auzite de această chestiune timp de mai multe luni.
În acel moment, acțiunile St Jude au recuperat o mare parte a valorii pierdute, iar la sfârșitul anului 2016 achiziția de către Abbott a fost încheiată cu succes.
Apoi, în ianuarie 2017, două lucruri s-au întâmplat simultan. În primul rând, FDA a lansat o declarație care indică faptul că există într-adevăr probleme de securitate cibernetică cu dispozitivele medicale St. Jude și că această vulnerabilitate ar putea să permită, într-adevăr, perturbări cibernetice și exploatări care ar putea fi dăunătoare pentru pacienți. Cu toate acestea, FDA a subliniat că nu s-au constatat dovezi că hacking-ul a avut loc efectiv la orice individ.
În al doilea rând, St Jude a lansat un patch de software pentru securitatea informatică, proiectat pentru a diminua în mod semnificativ posibilitatea de hacking în dispozitivele lor implantabile. Patch-ul software-ului a fost conceput să se instaleze automat și fără fir, în cadrul Merlin.net de la St. Jude. FDA a recomandat ca pacienții care au aceste dispozitive să continue să utilizeze sistemul de monitorizare fără fir al lui St Jude, deoarece "beneficiile pentru sănătate pentru pacienți din utilizarea continuă a dispozitivului depășesc riscurile de securitate cibernetică".
Unde ne lasă asta?
Cele de mai sus descriu destul de mult faptele pe care le cunoaștem în public. Ca pe cineva care a fost implicat in mod intim cu dezvoltarea primului sistem de monitorizare la distanta a dispozitivelor implantabile (nu a lui St. Jude), interpretez toate acestea in felul urmator: Se pare sigur ca exista intr-adevar vulnerabilitati de cybersecurity in sistemul de monitorizare de la distanta St. Jude , iar aceste vulnerabilități par să fi fost neobișnuite pentru industria în general. (Deci, negările inițiale ale Sfântului Iuda par să fi fost exagerate.)
Mai mult, este evident că St Jude sa mutat rapid pentru a remedia această vulnerabilitate, lucrând în colaborare cu FDA și că aceste măsuri au fost în cele din urmă considerate satisfăcătoare de către FDA. De fapt, judecând după cooperarea FDA și faptul că vulnerabilitatea a fost suficient de tratată printr-un patch de software, problema lui St. Jude nu pare să fie aproape la fel de severă cum a fost susținută de domnul Block în 2016. ( Deci, declarațiile inițiale ale domnului Block par să fi fost exagerate). În plus, corecțiile au fost făcute înainte ca cineva să fie rănit.
Chiar dacă conflictul de interese al domnului Block (prin care scade prețul acțiunilor St Jude, ar fi putut să-l provoace să depășească riscurile potențiale ale ciberneților, este posibil ca instanțele de judecată să determine .
Pentru moment, se pare că, odată cu aplicarea patch-urilor de corecții software, persoanele cu dispozitive St. Jude nu au nici un motiv special să se preocupe prea mult de atacurile de hacking.
De ce dispozitivele cardiace implantabile sunt vulnerabile la atacurile Cyber?
Până acum majoritatea dintre noi realizăm că orice dispozitiv digital pe care îl folosim în viața noastră, care implică comunicații fără fir, este cel puțin teoretic vulnerabil la cyberattack. Aceasta include orice dispozitiv medical implantabil, toate acestea trebuie să comunice fără fir cu lumea exterioară (adică lumea din afara corpului).
Posibilitatea ca oamenii sau grupurile aplecate spre rău să se hrănească de fapt în dispozitivele medicale a ajuns, în ultimii ani, să pară mai mult o amenințare reală. În acest sens, publicitatea din jurul vulnerabilităților Sf. Iuda poate avea un efect pozitiv. Este evident că atât industria de dispozitive medicale cât și FDA sunt acum foarte serioase cu privire la această amenințare și acum acționează cu o importanță deosebită pentru ao face față.
Ce face FDA despre problema?
Atenția FDA sa axat recent pe această problemă, probabil în mare parte din cauza controversei asupra dispozitivelor St. Jude. În decembrie 2016, FDA a lansat un document "de orientare" de 30 de pagini pentru producătorii de dispozitive medicale, stabilind un nou set de reguli pentru abordarea vulnerabilităților cibernetice în dispozitivele medicale care sunt deja pe piață. (Reguli similare pentru produsele medicale aflate încă în curs de elaborare au fost publicate în 2014.) Noile reguli descriu modul în care producătorii ar trebui să identifice și să fixeze vulnerabilitățile de securitate cibernetică în produsele comercializate și cum să stabilească programe pentru a identifica și raporta noi probleme de securitate.
Linia de fund
Având în vedere riscurile cibernetice asociate în mod inerent cu orice sistem de comunicații fără fir, un anumit grad de vulnerabilitate cibernetică este inevitabil cu dispozitive medicale implantabile. Dar este important să știm că aceste produse pot fi construite pentru a face hacking-ul doar o posibilitate îndepărtată, și chiar domnul Block este de acord că pentru majoritatea companiilor acest lucru sa întâmplat. Dacă St Jude a fost anterior oarecum labilă în legătură cu această chestiune, compania pare să fi fost vindecată de aceasta prin publicitatea negativă pe care au primit-o în 2016, care pentru un timp a amenințat grav afacerea lor. Printre altele, Sf. Iuda a comandat un consiliu consultativ independent de securitate medicală Cyber Security să-și supravegheze eforturile. Alte companii de dispozitive medicale pot urma exemplul. Astfel, atât FDA, cât și producătorii de dispozitive medicale abordează problema cu o intensitate sporită.
Persoanele care au implantat stimulatoare cardiace, ICD-uri sau dispozitive CRT ar trebui să acorde cu siguranță atenție problemei vulnerabilității cibernetice, deoarece probabil că vom auzi mai multe despre aceasta în timp. Dar, pentru moment, cel puțin, riscul pare să fie destul de mic și este cu siguranță depășit de beneficiile monitorizării de la distanță a dispozitivelor.
> Surse:
> FDA. Vulnerabilitatile Cybersecurity identificate in dispozitivele cardiace implantabile ale St. Jude Medical si transmiterul Merlin @ home: Comunicarea de siguranta a FDA. 9 ianuarie 2017.
> Muddy Waters. Declarație MW privind confirmarea STJ / ABT a vulnerabilităților Cyber. Comunicat de presă 9 ianuarie 2017.
> St Jude Medical. St Jude Medical anunță comunicatul de presă privind actualizările Cybersecurity. 9 ianuarie 2017.