Chráněná zdravotní zařízení zařízení Jude and Cyber
Koncem roku 2016 a počátkem roku 2017 se v zpravodajských zprávách objevila strašidla, že lidé se špatnými úmysly by mohli potenciálně narazit do implantabilního zdravotnického prostředku jednotlivce a způsobit vážné problémy. Konkrétně jsou předmětná zařízení prodávána firmou St. Jude Medical, Inc. a zahrnují kardiostimulátory (které působí na sinusovou bradykardii a srdeční blok ), implantabilní defibrilátory (ICD) (které léčí ventrikulární tachykardii a ventrikulární fibrilaci ) a CRT zařízení (která léčit srdeční selhání ).
Tyto zpravodajské zprávy mohou vyvolat obavy mezi lidmi, kteří tyto zdravotnické prostředky mají, aniž by se problém dostal do dostatečné perspektivy.
Jsou implantované kardiologické přístroje ohroženy kybernetickými útoky? Ano, protože jakékoli digitální zařízení, které zahrnuje bezdrátovou komunikaci, je alespoň teoreticky zranitelné, včetně kardiostimulátorů, zařízení ICD a zařízení CRT. Zatím však skutečný počítačový útok proti některému z těchto implantovaných zařízení nebyl nikdy zdokumentován. A (z velké části díky nedávné publicitě o hackingu, jak zdravotnických zařízeních, tak politiků), výrobci zařízení FDA a výrobci zařízení nyní pracují tvrdě, aby zabalili jakékoli takové zranitelnosti.
St Jude Kardiologické přístroje a hackování
Příběh se poprvé zlomil v srpnu roku 2016, kdy slavný krátký prodávající Carson Block veřejně oznámil, že St. Jude prodával stovky tisíc implantabilních kardiostimulátorů, defibrilátorů a zařízení CRT, které byly extrémně citlivé na hackery.
Block uvedl, že společnost zabývající se kybernetickou bezpečnostní službou, s níž byla přidružena (MedSec Holdings, Inc.), intenzivně prošetřila a zjistila, že zařízení St. Jude jsou jednoznačně ohrožena hackerem (na rozdíl od stejných druhů zdravotnických prostředků prodávaných firmou Medtronic, Boston Scientific a další společnosti).
Konkrétně, řekl blok, systémy St. Jude "postrádaly ani ty nejzákladnější bezpečnostní obrany", jako jsou zařízení proti manipulaci, šifrování a anti-ladicí nástroje, které běžně používají ostatní průmysl.
Tvrdá chyba byla spojena s dálkovým bezdrátovým sledováním všech těchto zařízení. Tyto bezdrátové monitorovací systémy jsou navrženy tak, aby automaticky detekovaly problémy se vznikajícími zařízeními dříve, než mohou způsobit škody, a okamžitě sdělí tyto problémy lékaři. Tato funkce vzdáleného sledování, nyní používaná všemi výrobci zařízení, byla zdokumentována tak, aby výrazně zlepšila bezpečnost pacientů, kteří tyto produkty používají. Vzdálený monitorovací systém St. Jude se nazývá "Merlin.net".
Blokové obvinění byly docela velkolepé a způsobily okamžitý pokles cen akcií St Jude - což byl přesně stanovený cíl bloku. Ještě předtím, než přednesl své obvinění ohledně svatého Juda, společnost Block (Muddy Waters, LLC) se ujala významné krátké pozice v St. Jude. To znamenalo, že společnost Block měla vydělat miliony dolarů, pokud by se zásoba sv. Juda podstatně snížila a zůstala dostatečně nízká, aby dosáhla dohodnuté akvizice společnosti Abbott Labs.
Po slavném útoku bloku St Jude okamžitě vystřelil s výrazně formulovaným tiskem, že blokové obvinění byly "naprosto nepravdivé". St Jude také žaloval Muddy Waters, LLC za údajné šíření nepravdivých informací za účelem manipulace se svatým Judem ceny akcií. Nezávislí vyšetřovatelé mezitím zkoumali otázku zranitelnosti St. Jude a dospěli k různým závěrům. Jedna skupina potvrdila, že zařízení svatého Juda jsou obzvláště zranitelná počítačovým útokem; druhá skupina dospěla k závěru, že nejsou. Celá záležitost byla vynechána v klíně FDA, která zahájila důkladné vyšetřování a několik měsíců bylo o této věci slyšet málo.
Během této doby si akcie St. Jude získaly spoustu ztracené hodnoty a koncem roku 2016 byla akvizice společnosti Abbott úspěšně uzavřena.
Potom se v lednu roku 2017 objevily dvě věci současně. Za prvé, FDA vydala prohlášení, které naznačuje, že ve zdravotnických zařízeních St. Jude byly skutečně problémy s kybernetickou bezpečností, a že tato zranitelnost by opravdu mohla dovolit narušení a zneužívání počítačů, které by mohly být škodlivé pro pacienty. FDA však poukázal na to, že nebyly zjištěny žádné důkazy o tom, že hackování skutečně proběhlo u každého jednotlivce.
Zadruhé, sv. Jude vydal software pro počítačovou bezpečnost, který byl navržen tak, aby výrazně snížil možnost hackování do svých implantabilních zařízení. Softwarová oprava byla navržena tak, aby se instalovala automaticky a bezdrátově přes Merlin.net St. Jude. FDA doporučil pacientům, kteří používají tato zařízení, i nadále používat bezdrátový monitorovací systém St Jude, neboť "přínosy pro pacienty z dalšího používání zařízení převáží nad rizikem kybernetické bezpečnosti".
Kde nám to dovoluje?
Dříve uvedené skutečnosti do značné míry popisují skutečnosti, jak je známe veřejnosti. Jako člověk, který se důvěrně podílel na vývoji prvního systému vzdáleného monitorování implantovatelných zařízení (nikoliv St. Jude's), to všechno vykládám takto: Zdá se jisté, že ve vzdáleném monitorovacím systému St. Jude , a zdá se, že tyto zranitelnosti jsou mimořádné pro celý průmysl. (Zdá se, že počáteční popření svatého Juda byly přehnané.)
Dále je zřejmé, že St. Jude se rychle postaral o odstranění této zranitelnosti, pracoval ve spolupráci s FDA a že tyto kroky byly nakonec FDA považovány za uspokojivé. Ve skutečnosti, když soudce ve spolupráci s FDA a skutečnost, že tato zranitelnost byla dostatečně řešena pomocí softwarové opravy, se zdá, že problém svatého Juda není téměř tak závažný, jak to údajně prohlásil pan Block v roce 2016. ( Takže počáteční prohlášení pana Blocka je zjevně přehnané). Navíc byly opravy provedeny předtím, než byl někdo poškozen.
Ať už to, že pád Blokův zjevný střet zájmů (kdyby stoupali ceny akcií St. Juda, mohli by ho způsobit, že by mohl překonat potenciální kybernetické riziko, ale to je otázka pro soudy, .
Prozatím se zdá být pravděpodobné, že s aplikací nápravného softwaru lidé se zařízeními St. Jude nemají žádný zvláštní důvod, aby byli příliš znepokojeni hackerskými útoky.
Proč implantovatelná srdeční zařízení jsou zranitelná Cyber útokem?
Nyní většina z nás si uvědomuje, že jakékoli digitální zařízení, které používáme v našich životech, které zahrnuje bezdrátovou komunikaci, je alespoň teoreticky zranitelné vůči kybernetickému útoku. To zahrnuje jakoukoli implantabilní zdravotnickou pomůcku, která musí bezdrátově komunikovat s vnějším světem (tedy se světem mimo tělo).
Možnost, že se lidé nebo skupiny sklánějící se na zlo mohou skutečně hacknout do zdravotnických přístrojů, se v posledních několika letech zdá být spíše skutečnou hrozbou. Z tohoto hlediska může mít pozitivní vliv publicita kolem zranitelností sv. Jude. Je zřejmé, že oba odvětví zdravotnických prostředků a FDA jsou nyní v této hrozbě velmi vážné a nyní s velkým nasazením usilují o její splnění.
Co dělá FDA o problému?
Pozornost FDA se nově zaměřila na tuto problematiku, pravděpodobně z velké části kvůli kontroverzi nad zařízeními St. Jude. V prosinci roku 2016 vydal úřad FDA 30-ti stranový "průvodce" pro výrobce zdravotnických prostředků a stanovil nový soubor pravidel pro řešení zranitelných počítačů v lékařských zařízeních, která jsou již na trhu. (Podobná pravidla pro zdravotnické produkty, které jsou stále ve vývoji, byly zveřejněny v roce 2014.) Nová pravidla popisují, jak by výrobci měli hledat identifikaci a stanovení zranitelnosti kybernetické bezpečnosti v obchodovaných produktech, a jak vytvořit programy pro identifikaci a hlášení nových bezpečnostních problémů.
Sečteno a podtrženo
Vzhledem k kybernetickým rizikům, které jsou vlastně spojeny s jakýmkoli bezdrátovým komunikačním systémem, je určitý stupeň kybernetické zranitelnosti u implantabilních zdravotnických prostředků nevyhnutelný. Je však důležité vědět, že do těchto produktů lze zabudovat obranu, aby se hacking stal jen vzdálenou možností, a dokonce i pan Block souhlasí s tím, že k tomu došlo u většiny společností. Pokud byl již dříve sv. Jude poněkud laxní ohledně této záležitosti, zdá se, že společnost byla vyléčena negativní publicitou, kterou obdrželi v roce 2016, což po nějakou dobu vážně ohrozilo jejich podnikání. St. Jude mimo jiné pověřil nezávislým lékařským poradním sborem pro kybernetickou bezpečnost, aby dohlížel na své úsilí vpřed. Ostatní společnosti zdravotnických prostředků pravděpodobně budou následovat. Tak se FDA i výrobci zdravotnických prostředků zabývají otázkou se zvýšenou intenzitou.
Lidé, kteří implantovali kardiostimulátory, ICD nebo CRT přístroje, by určitě měli věnovat pozornost problému kybernetické zranitelnosti, protože s tím bude pravděpodobně více slyšet. Ale přinejmenším se zdá, že riziko je poměrně malé a jistě je vyváženo výhodami vzdáleného sledování zařízení.
> Zdroje:
> FDA. Zranitelnosti z kybernetické bezpečnosti identifikované v Implantabilních kardiálních zařízeních společnosti St. Jude Medical a Merlin @ home Transmitter: bezpečnostní komunikace FDA. 9. ledna 2017.
> Muddy Waters. Vyjádření MW o potvrzení STJ / ABT zranitelností Cyber. Tisková zpráva 9. ledna 2017.
> St Jude Medical. St Jude Medical oznamuje tiskové zprávě Cybersecurity Updates. 9. ledna 2017.