Ст. Јуде и Цибер Вулнерабилити оф Медицал Девицес
Крајем 2016. године и почетком 2017. године, извјештаји о новостима подстакли су спектар да људи са лошим намјерама могу потенцијално хакирати на имплантатни медицински уређај појединца и изазвати озбиљне проблеме. Конкретно, поменути уређаји продајују Ст. Јуде Медицал, Инц. и укључују пејсмејкере (који третирају синусну брадикардију и срчани блок ), имплантабилне дефибрилаторе (ИЦД-ове) (које третирају вентрикуларну тахикардију и вентрикуларну фибрилацију ) и ЦРТ уређаја (који лечење срца ).
Ови извештаји о новостима можда су изазвали страхове међу људима који имају ове медицинске уређаје без постављања проблема у довољну перспективу.
Да ли су имплантирани кардијални уређаји под ризиком од сајбер напада? Да, јер било који дигитални уређај који укључује бежичну комуникацију барем је теоретски угрожен, укључујући пејсмејкере, ИЦД и ЦРТ уређаје. Али до сада, стварни сајбер напад на било који од ових имплантираних уређаја никада није документован. И (у великој мери захваљујући новом публицитету о хакирању, како медицинским уређајима, тако и политичарима), ФДА и произвођачи уређаја сада напорно ради на томе да уклопе све такве слабости.
Јуде Цардиац Девицес анд Хацкинг
Прича се прво пробила у августу 2016. године, када је познати краткодучњак Царсон Блоцк јавно објавио да је св. Јуде продао стотине хиљада имплантабилних пејсмејкера, дефибрилатора и ЦРТ уређаја који су били изузетно осјетљиви на хакирање.
Блок је рекао да је компанија за цибер-сецурити са којом је била повезана (МедСец Холдингс, Инц.) обавила интензивну истрагу и установила да су уређаји Ст. Јуде јединствено подложни хакингу (за разлику од истих врста медицинских уређаја које је продао Медтрониц, Бостон Сциентифиц и друге компаније).
Конкретно, поменути Блок, системи Ст. Ст. Јуде "су недостајали чак и најосновнију безбедносну одбрану", као што су уређаји против измјене, шифрирање и алати за отклањање грешака, врсте које се обично користе у остатку индустрије.
Наведена угроженост односила се на даљинско, бежично праћење које су сви ови уређаји уградили у њих. Ови системи бежичног надзора су дизајнирани да аутоматски открију проблеме са новим уређајем пре него што могу да узрокују штету и одмах одмах пренесе ове проблеме лекару. Ова функција даљинског мониторинга, која сада користе сви произвођачи уређаја, документована је да значајно побољша безбедност за пацијенте који имају ове производе. Систем даљинског надзора компаније Ст. Јуде се назива "Мерлин.нет".
Блокове тврдње биле су прилично спектакуларне и изазвале непосредан пад цена акција Ст Јудеа - што је управо циљ Блоца. Напомињући, пре него што је изнео своје наводе о компанији Ст. Јуде, компанија Блоцк (Мудди Ватерс, ЛЛЦ), заузела је велики кратки положај у Ст. Јуде. То је значило да је компанија Блок стајала да направи милионе долара уколико би Ст Јудеа смањила значајно, и остала довољно ниска да би погодила уговорену куповину компаније Абботт Лабс.
Свједок Јуде је одмах након ватреног напада Блок-а упозорио да су наводи Блоца "апсолутно неистинити". Св. Јуде је такође тужио Мудди Ватерс, ЛЛЦ за наводно ширење лажних информација како би манипулисао св. Јуде цене акција. У међувремену, независни истражитељи погледали су питање рањивости св. Јуда и дошли до различитих закључака. Једна група је потврдила да су св. Јуде уређаји посебно угрожени сајбером; друга група је закључила да нису. Цело питање је одбачено у крилу ФДА-е, која је покренула снажну истрагу, а мало је чуло за то питање неколико месеци.
Током тог времена стовариште Ст. Јуде је извукло велику количину изгубљене вриједности, а крајем 2016. године успјешно је закључена аквизиција компаније Абботт.
Затим су се у јануару 2017. године истовремено десиле двије ствари. Прво, ФДА је објавила изјаву која указује на то да постоје стварни проблеми са сајбер сигурношћу са медицинским уређајима св. Јуда и да ова рањивост може заиста омогућити цибер упаде и експлоатације које би могле бити штетне за пацијенте. Међутим, ФДА је истакла да није пронађен никакав доказ да се хаковање стварно догодило у било ком појединцу.
Друго, Ст. Јуде је издао софтверски патцхес за цибер-сигурност дизајниране да у великој мјери умањују могућност хакирања у своје имплантабилне уређаје. Софтверски патцх је дизајниран да се инсталира аутоматски и бежично, преко Мерлин.нет-а св. Јуда. ФДА је препоручио да пацијенти који имају ове уређаје и даље користе бежични систем надзора Ст Јуде-а, с обзиром да "здравствене користи пацијентима од даље употребе уређаја превазилазе ризик од цибер-сигурности".
Где нас ово оставља?
Горе наведено говори о чињеницама које знамо у јавности. Као неко ко је био интимно укључен у развој првог система имплантабилног уређаја за даљински надзор (а не св. Јуде), све то тумачим на следећи начин: Изгледа сигурно да је у Ст. Јуде систему даљинског надгледања било заиста рањивих цибер-сигурности , и чини се да ове рањивости нису биле уобичајене за индустрију уопште. (Дакле, изгледало је да су првобитне демантије св. Јуде преувеличане.)
Даље, очигледно је да је Ст. Јуде брзо прешао на санацију ове рањивости, радећи заједно са ФДА-ом, те да су ФАК-ови на крају оценили задовољавајући. Заправо, судећи по сарадњи ФДА-е и чињенице да је рањивост довољно обрађена помоћу софтверског закрпа, чини се да свети Јуде није готово толико озбиљан као што је наводио господин Блок у 2016. години ( Дакле, чини се да су иницијалне изјаве господина Блоцк-а преувеличене). Штавише, исправке су извршене пре него што је било ко оштећен.
Да ли је господин Блок отворен сукоб интереса (при чему је гоњење цене акција Ст. Ст. Јуде-а постало забрињавајуће му велике доларе), можда је проузроковао да надмаши могуће потенцијалне сајбер ризике, али ово је питање да судови одреде .
За сада изгледа вероватно да људи са уређајем Ст. Јуде немају посебан разлог да буду превише забринути због напада хакера, уз помоћ корективног софтвера.
Зашто су имплантирани срчани уређаји угрожени за Цибер Аттацк?
Већина нас схвата да је било који дигитални уређај који користимо у нашим животима који укључује бежичну комуникацију барем теоретски рањив према сајберацку. То подразумева било који имплантабилни медицински уређај, који се мора бежично комуницирати са спољним светом (то јест, светом изван тела).
Могућност да људи или групе које су упућене на зло могу заправо провалити у медицинске уређаје, у последњих неколико година су изгледале као стварне пријетње. У том смислу, јавност око рањивости Ст. Ст. Јудеа могла је имати позитиван ефекат. Јасно је да су и индустрија медицинских уређаја и ФДА сада веома озбиљни у вези са овом претњом и сада дјелују са значајном снагом да то испуне.
Шта ФДА ради о проблему?
ФДА-ова пажња је била усредсређена на ово питање, вероватно у великој мери због контроверзе око уређаја Ст. Јуде. У децембру 2016. године, ФДА је издао 30-странски "водич" документ за произвођаче медицинских уређаја, постављајући нови скуп правила за рјешавање сајбер-рањивости у медицинским уређајима који су већ на тржишту. (Слична правила за медицинске производе који су још у току) објављена су 2014. године. Нова правила описују како би произвођачи требали ићи на идентификацију и одређивање рањивости циберсецурити у тржишним производима и како успоставити програме за идентификацију и пријављивање нових сигурносних проблема.
Доња граница
С обзиром на сајбер ризике који су инхерентно повезани са било којим системом бежичне комуникације, неки степен сајбер рањивости је неизбежан са имплантабилним медицинским уређајима. Али важно је знати да се одбране могу уградити у ове производе како би хакирање било само удаљене могућности, па чак и господин Блоцк се слаже с тим да се то већина компанија догодила. Ако је Ст. Јуде раније био нејасан у вези са овим питањем, изгледа да је компанија излечена негативним публицитетом који су добили 2016. године, што је неко вријеме озбиљно угрозило њихов посао. Између осталог, Свети Јуде је наручио независног медицинског саветодавног одбора Цибер Сецурити да надгледа своје напоре. Друге компаније медицинских уређаја ће вјероватно слиједити. Стога, и ФДА и произвођачи медицинских уређаја решавају проблем са повећаном енергијом.
Људи који су имплантирали пејсмејкере, ИЦД или ЦРТ уређаје свакако би требало да обрате пажњу на питање сајбер рањивости, с обзиром да ће се вероватно чути више о томе како време пролази. Али, за сада, барем се чини да је ризик прилично мали, и свакако надмашује предности даљинског надзора уређаја.
> Извори:
> ФДА. Цибер-сецурити вулнерабилитиес Идентифиед ин Имплантабле Цардиац Девицес оф Ст. Јуде Медицал анд Мерлин @ Хоме Трансмиттер: Цоммуницатион Сафети Сафети. 9. јануара 2017.
> Мудди Ватерс. МВ изјава о СТЈ / АБТ-у Признавање Цибер рањивости. Саопштење за јавност 9. јануара 2017.
> Ст Јуде Медицал. Ст Јуде Медицал најављује саопштење за Циберсецурити Упдатес. 9. јануара 2017.