Zraniteľnosť zdravotníckych pomôcok pre Jude a Cyber
Koncom roka 2016 a začiatkom roku 2017 sa v spravodajských správach objavil strach, že ľudia so zlými úmyslami by mohli potenciálne narušiť implantovateľné zdravotnícke pomôcky a spôsobiť vážne problémy. Konkrétne, príslušné zariadenia sú uvádzané na trh firmou St. Jude Medical, Inc. a zahŕňajú kardiostimulátory (ktoré ošetrujú sínusovú bradykardiu a blok srdca ), implantovateľné defibrilátory (ICD) (ktoré liečia ventrikulárnu tachykardiu a ventrikulárnu fibriláciu ) a CRT zariadenia liečbu zlyhania srdca ).
Tieto spravodajské správy môžu vyvolať obavy medzi ľuďmi, ktorí majú tieto zdravotnícke pomôcky, bez toho, aby sa otázka dostala do dostatočnej perspektívy.
Sú implantované srdcové zariadenia ohrozené počítačovými útokmi? Áno, pretože všetky digitálne zariadenia, ktoré obsahujú bezdrôtovú komunikáciu, sú aspoň teoreticky zraniteľné, vrátane kardiostimulátorov, zariadení ICD a zariadení CRT. Zatiaľ však skutočný počítačový útok proti ktorémukoľvek z týchto implantovaných zariadení nebol nikdy zdokumentovaný. A (vďaka veľkej časti nedávnej publicite o hackingu, zdravotníckych pomôckach a politikoch), výrobcovia zariadení FDA a výrobcov zariadení teraz pracujú tvrdo na to, aby zablokovali všetky takéto chyby.
St Jude Kardiologické zariadenia a hackovanie
Príbeh sa prvýkrát zlomil v auguste roku 2016, keď známy krátky predajca Carson Block verejne oznámil, že sv. Júd predával stovky tisíc implantovateľných kardiostimulátorov, defibrilátorov a zariadení CRT, ktoré boli mimoriadne zraniteľné voči hackingu.
Block povedal, že spoločnosť cybersecurity, s ktorou bol pridružený (MedSec Holdings, Inc.), vykonala intenzívne vyšetrovanie a zistila, že zariadenia St. Jude boli jednoznačne zraniteľné voči hackingu (na rozdiel od tých istých druhov zdravotníckych pomôcok predávaných spoločnosťou Medtronic, Boston Scientific a ďalšie spoločnosti).
Konkrétne povedal blok, systémy sv. Júdda "postrádali ani tie najzákladnejšie bezpečnostné obrany", ako sú zariadenia proti falšovaniu, šifrovanie a anti-ladenie nástroje, ktoré bežne používajú zvyšok priemyslu.
Táto údajná zraniteľnosť súvisí so vzdialeným bezdrôtovým monitorovaním, do ktorého boli všetky tieto zariadenia zabudované. Tieto bezdrôtové monitorovacie systémy sú navrhnuté tak, aby automaticky rozpoznali problémy so vznikajúcimi zariadeniami predtým, ako môžu spôsobiť škody, a okamžite oznamujú tieto problémy lekárovi. Táto funkcia diaľkového monitorovania, ktorú teraz používajú všetci výrobcovia zariadení, bola zdokumentovaná, aby výrazne zvýšila bezpečnosť pacientov, ktorí majú tieto produkty. Systém diaľkového monitorovania St. Jude sa nazýva "Merlin.net".
Obvinenia bloku boli dosť veľkolepé a spôsobili okamžitý pokles ceny akcií sv. Júdu - čo bol presne vyhlásený cieľ bloku. Je zrejmé, že predtým, než urobil svoje obvinenia týkajúce sa svätého Juda, spoločnosť Block (Muddy Waters, LLC), prevzala významnú krátku pozíciu v St. Jude. To znamenalo, že spoločnosť Block dosiahla milióny dolárov, ak by sa zásoby sveta Juda podstatne znížili a zostali dostatočne nízke na to, aby spoločnosť Abbott Labs získala dohodnutú akvizíciu.
Po storočnom útoku bloku sa St Jude okamžite prepustil späť s dôrazne formulovanými tlačovými správami, podľa ktorých boli obvinenia Block "absolútne nepravdivé". Svätý Júda taktiež žaloval Muddy Waters, LLC za údajné šírenie nepravdivých informácií s cieľom manipulovať so sv. Júdom ceny akcií. Medzitým nezávislí vyšetrovatelia skúmali otázku zraniteľnosti v St. Jude a dospeli k rôznym záverom. Jedna skupina potvrdila, že zariadenia sv. Júda boli obzvlášť zraniteľné voči počítačovému útoku; iná skupina dospela k záveru, že nie. Celá záležitosť bola vynechaná v okruhu FDA, čo začalo dôkladné vyšetrovanie a niekoľko mesiacov bolo o tejto veci počuť málo.
Počas tohto obdobia akcia sv. Júda získala veľkú časť svojej stratenej hodnoty a koncom roka 2016 bola úspešne uzavretá akvizícia spoločnosťou Abbott.
Potom sa v januári 2017 stalo súčasne dve veci. Po prvé FDA vydala vyhlásenie, v ktorom sa uvádza, že s medicínskymi zariadeniami St. Jude sú skutočne problémy s počítačovou bezpečnosťou a že táto zraniteľnosť by mohla naozaj umožniť prenikaniu a zneužívaniu počítača, ktoré by mohli byť škodlivé pre pacientov. FDA však poukázal na to, že nebol nájdený žiadny dôkaz o tom, že hackovanie skutočne prebehlo u každého jedinca.
Po druhé, St. Jude vydal softvérovú náplasť proti počítačovým bezpečnostným technológiám, ktorá bola navrhnutá tak, aby výrazne znižovala možnosť hackovania do implantovateľných zariadení. Softvérová náplasť bola navrhnutá tak, aby sa sama a bezdrôtovo nainštalovala cez Merlin.net St. Jude. Úrad FDA odporúčal, aby pacienti, ktorí majú tieto zariadenia, naďalej používali bezdrôtový monitorovací systém St Jude, pretože "prínosy pre pacientov pri ďalšom používaní prístroja prevažujú nad rizikami kybernetickej bezpečnosti".
Kde nás to necháva?
Predchádzajúce veci skoro popisujú fakty, ako ich poznáme verejnosť. Ako človek, ktorý sa dôkladne zaoberal vývojom prvého systému vzdialeného monitorovacieho zariadenia (nie JUDr. Jude), toto všetko interpretujem takto: Zdá sa, že v diaľkovom monitorovacom systéme St. Jude , a zdá sa, že tieto zraniteľnosti boli pre širokú verejnosť nezvyčajné. (Zdá sa, že počiatočné popretie sv. Júdu bolo prehnané.)
Ďalej je zrejmé, že St. Jude sa rýchlo postaral o nápravu tejto zraniteľnosti a pracoval v spolupráci s FDA a že FDA tieto kroky nakoniec považoval za uspokojivé. Skúmanie spolupráce FDA a skutočnosť, že táto zraniteľnosť bola dostatočne riešená pomocou softvérového balíka, sa zdá, že problém sv. Júda nie je taký závažný, ako to tvrdil pán Block v roku 2016. ( Takže pôvodné vyhlásenia pána Blocka boli zrejme prehnané). Okrem toho boli vykonané opravy skôr, ako ktokoľvek bol poškodený.
Či už zjavný konflikt záujmov pána Blocka, ktorý spôsobil, že stúpol akcie St Jude, mohol spôsobiť, že by mohol prekonať potenciálne kybernetické riziká, ale je to otázka pre súdy, ,
Zdá sa, že je pravdepodobné, že s náplasťou na nápravu sa ľudia so zariadeniami St. Jude nemajú konkrétny dôvod byť príliš znepokojení hackingovými útokmi.
Prečo sú implantovateľné kardiologické zariadenia zraniteľné voči počítačovému útoku?
Väčšina z nás si teraz uvedomuje, že akékoľvek digitálne zariadenie, ktoré používame v našich životoch, ktoré zahŕňa bezdrôtovú komunikáciu, je aspoň teoreticky zraniteľné voči kybernetickému útoku. To zahŕňa akékoľvek implantovateľné zdravotnícke zariadenie, ktoré musia bezdrôtovo komunikovať s vonkajším svetom (tj svetom mimo tela).
Možnosť, že ľudia alebo skupiny sklonené k zlu by mohli skutočne naraziť do zdravotníckych pomôcok, sa v posledných rokoch objavilo ako skutočná hrozba. Z tohto hľadiska môže mať publicita okolo zraniteľnosti sv. Júda pozitívny vplyv. Je jasné, že tak odvetvie zdravotníckych pomôcok, ako aj FDA, sú teraz teraz veľmi vážne v súvislosti s touto hrozbou a v súčasnosti konajú s veľkou silou, aby ich splnili.
Čo je FDA robiť o probléme?
Pozornosť agentúry FDA sa novo zamerala na túto problematiku, pravdepodobne vo veľkej miere kvôli kontroverznej kontrole nad zariadeniami St. Jude. V decembri 2016 vydal FDA 30-stranový dokument "usmernenia" pre výrobcov zdravotníckych pomôcok a stanovil nový súbor pravidiel na riešenie problémov počítačovej zraniteľnosti v zdravotníckych pomôckach, ktoré už sú na trhu. (Podobné pravidlá pre medicínske produkty, ktoré sa stále vyvíjajú, boli uverejnené v roku 2014.) Nové pravidlá opisujú, ako by mali výrobcovia hľadať identifikáciu a stanovenie zraniteľnosti počítačovej bezpečnosti v obchodovaných produktoch a ako vytvoriť programy na identifikáciu a hlásenie nových bezpečnostných problémov.
Spodný riadok
Vzhľadom na kybernetické riziká, ktoré sú vlastne spojené s akýmkoľvek systémom bezdrôtovej komunikácie, je určitá miera zraniteľnosti počítača nevyhnutná pri implantovateľných zdravotníckych pomôckach. Je však dôležité vedieť, že do týchto produktov je možné zabudovať obranu, aby sa hacking stal len veľmi vzdialenou možnosťou. Dokonca aj pán Block súhlasí s tým, že sa to vo väčšine spoločností stalo. Ak bol predtým sv. Júd o tejto veci trochu laxný, zdá sa, že spoločnosť bola vyliečená negatívnou publicitou, ktorú dostali v roku 2016, čo za určitý čas vážne ohrozilo ich podnikanie. Okrem iného St. Jude poverený nezávislým lekárskym poradným výborom Cyber Security, aby dohliadal na svoje úsilie v budúcnosti. Ostatné spoločnosti zdravotníckych pomôcok pravdepodobne budú nasledovať. Takto sa FDA aj výrobcovia zdravotníckych pomôcok zaoberajú touto otázkou so zvýšenou silou.
Ľudia, ktorí implantovali kardiostimulátory, ICD alebo CRT zariadenia, by určite mali venovať pozornosť problematike počítačovej zraniteľnosti, pretože pravdepodobne o tom bude viac počuť. Zatiaľ sa prinajmenšom riziko zdá byť dosť malé a je určite prevážené výhodami vzdialeného monitorovania zariadení.
> Zdroje:
> FDA. Chyby zabezpečujúce kybernetickú bezpečnosť boli identifikované v implantovateľných kardiálnych zariadeniach firmy St. Jude Medical a Merlin @ home Transmitter: Bezpečnostná komunikácia FDA. 9. januára 2017.
> Muddy Waters. Vyhlásenie o potvrdení STJ / ABT STJ / ABT potvrdenie zraniteľnosti počítača Cyber. Tlačová správa 9. januára 2017.
> St Jude Medical. St Jude Medical oznamuje tlačové vyhlásenie Cybersecurity Updates. 9. januára 2017.