St. Jude i Cyber Vulnerability of Medical Devices
Krajem 2016. godine i početkom 2017. godine izvještaji o novostima podstakli su spektar da ljudi sa lošim namerama mogu potencijalno hackirati implantabilni medicinski uređaj pojedinca i izazvati ozbiljne probleme. Konkretno, pomenuti uređaji prodajuju St. Jude Medical, Inc. i uključuju pejsmejkere (koji tretiraju sinus bradikardiju i srčani blok ), implantabilne defibrilatore (ICD) (koji tretiraju ventrikularnu tahikardiju i ventrikularnu fibrilaciju ) i CRT uređaja (koji lečenje srčane insuficijencije ).
Ovi izvještaji o vijestima možda su izazvali strahove među ljudima koji imaju ove medicinske uređaje bez postavljanja problema u dovoljnu perspektivu.
Da li su implantirani kardijalni uređaji pod rizikom od sajber napada? Da, jer bilo koji digitalni uređaj koji uključuje bežičnu komunikaciju barem je teoretski ranjiv, uključujući pejsmejkere, ICD i CRT uređaje. Međutim, dosadašnji sajber napad na bilo koji od ovih implantiranih uređaja nikad nije dokumentovan. I (u velikoj meri zahvaljujući novom publicitetu o hakiranju, kako medicinskim uređajima, tako i političarima), FDA i proizvođači uređaja sada naporno radi na praćenju svih takvih ranjivosti.
Jude Cardiac uređaji i hakiranje
Priča se prvo probila u avgustu 2016. godine, kada je poznati prodavac Carson Block javno objavio da je sveti Jude prodao stotine hiljada implantabilnih pejsmejkera, defibrilatora i CRT uređaja koji su bili izuzetno osjetljivi na hakiranje.
Blok je rekao da je kompanija za cyber-security sa kojom je bila povezana (MedSec Holdings, Inc.) obavila intenzivnu istragu i ustanovila da su uređaji St. Jude jedinstveno podložni hakingu (za razliku od istih vrsta medicinskih uređaja koje je prodao Medtronic, Boston Scientific i druge kompanije).
Konkretno, pomenuti Blok, sistemima St. Jude "nedostaje čak i najosnovnija bezbednosna odbrana", kao što su uređaji za zaštitu od neovlaštanja, šifriranje i alati za otklanjanje grešaka, koji se obično koriste u ostatku industrije.
Navedena ugroženost odnosila se na daljinsko, bežično praćenje koje su svi ovi uređaji ugradili u njih. Ovi sistemi bežičnog nadzora su dizajnirani da automatski otkriju probleme sa novim uređajem prije nego što mogu da uzrokuju štetu i odmah odmah prenese ove probleme lekaru. Ova funkcija daljinskog nadgledanja, koju sada koriste svi proizvođači uređaja, dokumentovana je da značajno poboljša sigurnost za pacijente koji imaju ove proizvode. Sistem daljinskog nadgledanja St. Jude naziva se "Merlin.net".
Blokovi navodi bili su prilično spektakularni i uzrokovali su trenutni pad cena akcija St. Juda - što je upravo cilj Bloca. Pre svega, pre nego što je izneo svoje navode o St. Jude-u, kompanija Blok (Muddy Waters, LLC) je zauzela značajnu kratku poziciju u St. Jude-u. To je značilo da je kompanija Blok stajala da napravi milione dolara ako se St Jude-a smanjila i ostala dovoljno niska da bi se pogodila dogovorena akvizicija kompanije Abbott Labs.
Svjedok Blic je odmah nakon javnog napuštanja napada upozorio da su blokovi navodi "apsolutno neistiniti". Sv. Jude je tužio i Muddy Waters, LLC za navodno širenje lažnih informacija kako bi manipulisao sv. Jude cijene akcija. U međuvremenu, nezavisni istražitelji pogledali su pitanje ranjivosti sv. Juda i došli do različitih zaključaka. Jedna grupa je potvrdila da su sv. Jude uređaji posebno ugroženi sajberom; druga grupa je zaključila da nisu. Čitavo pitanje je odbačeno u krilu FDA-e, koja je pokrenula snažnu istragu, a malo je čulo za to pitanje nekoliko meseci.
Tokom tog vremena zaliha St. Jude je izvukla veliku količinu izgubljene vrijednosti, a krajem 2016. godine uspješno je zaključena akvizicija kompanije Abbott.
Zatim su se u januaru 2017. godine istovremeno desile dvije stvari. Prvo, FDA je objavila izjavu koja ukazuje na to da postoje stvarni problemi sa sajber-sigurnošću sa medicinskim uređajima sv. Juda i da ova ranjivost može zaista omogućiti cyber upade i eksploatacije koje bi mogle biti štetne za pacijente. Međutim, FDA je istakla da nije pronađen nikakav dokaz da se hakiranje stvarno dogodilo u bilo kom pojedincu.
Drugo, St. Jude je objavio softverski patches za cyber-sigurnost dizajnirane da u velikoj mjeri umanjuju mogućnost hakiranja u svoje implantabilne uređaje. Softverski patch je dizajniran da se instalira automatski i bežično, preko Merlin.net-a sv. Juda. FDA je preporučio da pacijenti koji imaju ove uređaje i dalje koriste bežični sistem nadzora St Jude-a, budući da "zdravstvene koristi pacijentima od dalje upotrebe uređaja prevazilaze rizik od cyber-sigurnosti".
Gde nas ovo ostavlja?
Gore navedeno prilično opisuje činjenice koje mi u javnosti znamo. Kao neko ko je bio intimno uključen u razvoj prvog sistema implantabilnog uređaja za daljinski nadzor (a ne sv. Jude), sve to tumačim na sledeći način: Izgleda sigurno da je u St. Jude sistemu daljinskog nadgledanja bilo zaista ranjivih cyber-sigurnosti , i čini se da ove ranjivosti nisu bile uobičajene za industriju u cjelini. (Dakle, izgledalo je da su prvobitne demantije sv. Juda preuveličane.)
Štaviše, očigledno je da je St. Jude brzo prešao na sanaciju ove ranjivosti, radeći zajedno sa FDA-om, i da su FAK-ovi na kraju ocenili zadovoljavajućim. Zapravo, sudeći po saradnji FDA-a i činjenici da je ranjivost dovoljno obrađena pomoću softverskog zakrpa, čini se da St Judeov problem nije gotovo toliko težak kao što je navodio gospodin Block u 2016. godini. ( Dakle, čini se da su inicijalne izjave gospodina Block-a preuveličene). Štaviše, ispravke su izvršene pre nego što je bilo ko oštećen.
Da li je gospodin Blok otvoren sukob interesa (pri čemu je gonjenje cene zaliha St Jude-a stalo da mu ošteti velike dolare), možda je prouzrokovao da nadmaši moguće potencijalne sajber rizike, ali ovo je pitanje da sudovi odrede .
Za sada se čini da je verovatno da ljudi sa uređajem St. Jude nemaju poseban razlog da budu previše zabrinuti zbog napada hakera, uz primenu korektivnog softvera.
Zašto su implantirani srčani uređaji ugroženi za Cyber Attack?
Do sada većina nas shvata da je bilo koji digitalni uređaj koji koristimo u našim životima koji uključuje bežičnu komunikaciju barem teoretski ugrožen cyberattack-u. To podrazumeva bilo koji medicinski uređaj za implantaciju, koji se mora bežično komunicirati sa spoljnim svetom (to jest, svetom izvan tela).
Mogućnost da ljudi ili grupe koje se zateknu na zlo mogu zapravo provaliti u medicinske uređaje, u poslednjih nekoliko godina su izgledale kao stvarne prijetnje. U tom smislu, javnost oko ranjivosti St. St. Judea mogla je imati pozitivan efekat. Jasno je da su i industrija medicinskih uređaja i FDA sada veoma ozbiljni u vezi sa ovom pretnjom i sada djeluju s značajnom snagom da to ispune.
Šta FDA radi o problemu?
FDA-ova pažnja je bila usredsređena na ovo pitanje, verovatno u velikoj meri zbog kontroverze oko uređaja St. Jude. U decembru 2016. godine, FDA je izdao 30-strana "vodič" dokument za proizvođače medicinskih uređaja, postavljajući novi skup pravila za rješavanje sajber-ranjivosti u medicinskim uređajima koji su već na tržištu. (Slična pravila za medicinske proizvode koji su još u pripremi objavljeni su 2014. godine) Nova pravila opisuju kako bi proizvođači trebali ići na identifikaciju i određivanje ranjivosti cybersecurity u tržišnim proizvodima i kako uspostaviti programe za identifikaciju i prijavljivanje novih sigurnosnih problema.
Bottom Line
S obzirom na sajber rizike koji su inherentno povezani sa bilo kojim sistemom bežične komunikacije, neki stepen sajber ranjivosti je neizbežan sa implantabilnim medicinskim uređajima. Ali važno je znati da se odbrane mogu ugraditi u ove proizvode kako bi hakiranje bilo samo udaljene mogućnosti, pa čak i gospodin Blok slaže se da se to većina kompanija dogodila. Ako je sveti Jude ranije bio nejasan u vezi sa ovim pitanjem, čini se da je kompanija izlečena negativnim publicitetom koji su primili 2016. godine, što je neko vrijeme ozbiljno ugrozilo njihovo poslovanje. Između ostalog, St. Jude je naručio nezavisni medicinski savetodavni odbor Cyber Security-a da nadgleda svoje napore. Druge kompanije medicinskih uređaja će vjerovatno slijediti. Stoga, i FDA i proizvođači medicinskih uređaja rešavaju problem sa povećanom energijom.
Ljudi koji su implantirali pejsmejkere, ICD ili CRT uređaje svakako bi trebalo da obrate pažnju na pitanje sajber ranjivosti, jer ćemo verovatno čuti više o tome kako vreme prolazi. Ali za sada, barem, izgleda da je rizik prilično mali, a sigurno je nadmašen od koristi daljinskog nadzora uređaja.
> Izvori:
> FDA. Sigurnost Cybersecurity identificirana u Implantabilnim srčanim uređajima sv. Jude Medicala i Merlin @ home transmitter: Komunikacija bezbjednosti FDA. 9. januara 2017.
> Muddy Waters. Izjava MW o STJ / ABT-u Priznavanje Cyber Vulnerabilities. Saopštenje za javnost 9. januara 2017.
> St Jude Medical. St Jude Medical najavljuje saopštenje za Cybersecurity Updates. 9. januara 2017.