St Jude en Cyber Vulnerability of Medical Devices
Teen laat 2016 en vroeg in 2017 het nuusberigte die spook geopper dat mense met slegte bedoelings moontlik in 'n individu se inplantbare mediese toestel kan inbreek en ernstige probleme kan veroorsaak. Spesifiek, word die betrokke toestelle bemark deur St. Jude Medical, Inc., en sluit pacemakers (wat sinus bradikardie en hartblok behandel ), implanteerbare defibrillators (ICDs) (wat ventrikulêre takykardie en ventrikulêre fibrillasie behandel ), en CRT-toestelle (wat behandel hartversaking ).
Hierdie nuusberigte kan vrese opwek onder mense wat hierdie mediese toestelle het sonder om die probleem in voldoende perspektief te plaas.
Is geïmplanteerde harttoestelle in gevaar vir kuberaanvalle? Ja, omdat enige digitale toestel wat draadlose kommunikasie insluit, ten minste teoreties kwesbaar is, insluitend pacemakers, ICD's en CRT-toestelle. Maar tot dusver is 'n werklike kuberaanval teen enige van hierdie geïmplanteerde toestelle nog nooit gedokumenteer nie. En (baie dankie aan onlangse publisiteit oor hacking, sowel mediese toerusting as politici), werk die FDA en die toestelvervaardigers nou hard om enige sulke kwesbaarhede op te laai.
St Jude Cardiac Devices and Hacking
Die storie het eers in Augustus 2016 gebreek toe die beroemde kortverkoper Carson Block bekend gemaak het dat St. Jude honderde duisende implanteerbare pacemakers, defibrillators en CRT-toestelle verkoop het wat uiters kwesbaar was vir hacking.
Block het gesê dat 'n kuberversekeringsmaatskappy waarmee hy geaffilieer is (MedSec Holdings, Inc.) 'n intensiewe ondersoek gedoen het en gevind het dat St Jude-toestelle besonder kwesbaar was vir hacking (in teenstelling met dieselfde mediese toestelle wat deur Medtronic verkoop is, Boston Scientific, en ander maatskappye).
In die besonder, het Block, die St Jude-stelsels "selfs die mees basiese sekuriteitsverdedigings ontbreek", soos anti-manipulasie-toestelle, enkripsie en anti-debugging-instrumente, soos gewoonlik deur die res van die bedryf gebruik.
Die beweerde kwesbaarheid was verwant aan die afgeleë, draadlose monitering wat al hierdie toestelle in hulle ingebou het. Hierdie draadlose moniteringstelsels is ontwerp om opkomende toestelprobleme outomaties op te spoor voordat hulle skadelik kan wees en hierdie probleme onmiddellik aan die dokter kan kommunikeer. Hierdie afgeleë monitering funksie, wat tans deur alle toestelvervaardigers gebruik word, is gedokumenteer om die veiligheid vir pasiënte wat hierdie produkte aansienlik verbeter, aansienlik te verbeter. St Jude se afgeleë moniteringstelsel heet "Merlin.net."
Block se bewerings was redelik skouspelagtig en het 'n onmiddellike daling in St. Jude se aandeelprys veroorsaak. Dit was presies Block se doelwit. Van die nota, voordat hy sy bewerings oor St. Jude, Block se maatskappy (Muddy Waters, LLC) gemaak het, het hy 'n groot kort posisie in St Jude geneem. Dit het beteken dat Block se maatskappy gestaan het om miljoene dollars te maak as St Jude se voorraad aansienlik gedaal het en laag genoeg gebly het om 'n ooreengekome verkryging deur Abbott Labs te verkry.
Na Block se goed bekend gemaakte aanval het St Jude dadelik met sterk beweerde persverklarings teruggejaag, met die gevolg dat Block se bewerings "absoluut onwaar was." St Jude het ook Muddy Waters, LLC gedagvaar omdat hy na bewering onjuiste inligting versprei het om St. Jude's te manipuleer aandele pryse. Intussen het onafhanklike ondersoekers na die St. Jude kwesbaarheidsvraag gekyk en na verskillende gevolgtrekkings gekom. Een groep het bevestig dat St Jude se toestelle besonder kwesbaar was vir die kuberaanval; 'n Ander groep het gesluit dat hulle nie was nie. Die hele saak is in die skoot van die FDA laat vaar, wat 'n kragtige ondersoek geloods het, en vir 'n paar maande is min van die saak gehoor.
Gedurende daardie tyd het St. Jude se voorraad baie van sy verlore waarde herstel, en in die laat 2016 is die verkryging deur Abbott suksesvol afgehandel.
Dan, in Januarie 2017, het twee dinge gelyktydig gebeur. Eerstens het die FDA 'n verklaring uitgereik wat daarop dui dat daar inderdaad kuberversekeringsprobleme met St. Jude mediese toestelle was, en dat hierdie kwesbaarheid inderdaad kuberintrusies en -uitbuiting kan toelaat wat skadelik vir pasiënte kan wees. Die FDA het egter daarop gewys dat daar geen bewyse gevind is dat inbraak werklik in enige individu plaasgevind het nie.
Tweedens, St. Jude het 'n program vir die beveiliging van kuberversekeraars vrygestel om die moontlikheid van hacking in hul implanteerbare toestelle aansienlik te verminder. Die sagteware pleister is ontwerp om homself outomaties en draadloos te installeer, oor St. Jude se Merlin.net. Die FDA het aanbeveel dat pasiënte wat hierdie toestelle het, steeds St Jude se draadlose moniteringstelsel gebruik, aangesien "die gesondheidsvoordele vir pasiënte van voortgesette gebruik van die toestel swaarder is as die kuberveiligheidsrisiko's."
Waar laat dit ons?
Die voorafgaande beskryf pretty much die feite soos ons dit in die publiek ken. As iemand wat intiem betrokke was by die ontwikkeling van die eerste implanteerbare remote monitoring stelsel (nie St. Jude's nie), interpreteer ek dit alles op die volgende manier: Dit blyk seker dat daar inderdaad kwesbaarhede in die kuberveiligheid in die St Jude remote moniteringstelsel , en hierdie kwesbaarhede blyk uit die algemeen vir die bedryf te wees. (So, St Jude se aanvanklike ontkenning blyk te wees oordrewe.)
Verder is dit duidelik dat St. Jude vinnig beweeg het om hierdie kwesbaarheid te herstel, in samewerking met die FDA, en dat hierdie stappe uiteindelik deur die FDA bevredigend geag word. Trouens, deur die samewerking van die FDA te oordeel en die feit dat die kwesbaarheid deur middel van 'n sagteware pleister voldoende behandel is, blyk dit dat St. Jude se probleem nie so ernstig is soos deur mnr Block in 2016 beweer is nie. Mnr. Block se aanvanklike stellings blyk dus oordrewe te wees). Verder is die regstellings gemaak voordat iemand skade berokken het.
Of mnr. Block se opregte belangebotsing (waarmee hy die styging van St. Jude se aandeelprys gedaal het, het hom groot geld gestaan), het hom moontlik gemaak om die potensiële kuberrisiko's te oordoen, maar dit is 'n vraag wat die howe bepaal om te bepaal .
Vir nou lyk dit waarskynlik dat mense met St Jude-toestelle met die korrekte sagteware-patch toegepas word, geen spesifieke rede het om te veel bekommerd te wees oor die aanvalle van hacking nie.
Waarom is Implantable Card Devices Kwesbaar vir Cyber Attack?
Teen hierdie tyd besef die meeste van ons dat enige digitale toestel wat ons in ons lewens gebruik wat draadlose kommunikasie behels, ten minste teoreties kwesbaar is vir cyberaanval. Dit sluit in enige inplantbare mediese toestel wat almal draadloos met die buitewêreld moet kommunikeer (dit is die wêreld buite die liggaam).
Die moontlikheid dat mense of groepe boos is, kan eintlik in mediese toestelle raak, het die afgelope paar jaar meer van 'n werklike bedreiging geword. In hierdie lig het die publisiteit rondom die St. Jude-kwesbaarhede 'n positiewe uitwerking gehad. Dit is duidelik dat beide die mediese toestelbedryf en die FDA nou baie ernstig oor hierdie bedreiging is en nou met groot krag optree om dit te ontmoet.
Wat doen die FDA oor die probleem?
Die FDA se aandag is onlangs gefokus op hierdie kwessie, waarskynlik grootliks weens die omstredenheid oor St Jude-toestelle. In Desember 2016 het die FDA 'n 30-bladsy "leiding" -dokument vir vervaardigers van mediese toestelle vrygestel. Daar is 'n nuwe stel reëls gestel vir die aanspreek van kuber-kwesbaarhede in mediese toestelle wat reeds in die mark is. (Soortgelyke reëls vir mediese produkte wat nog in ontwikkeling is, is in 2014 gepubliseer.) Die nuwe reëls beskryf hoe vervaardigers moet gaan om die kwesbaarheid van kuberveiligheid in bemarkde produkte te identifiseer en vas te stel, en hoe om programme op te stel om nuwe veiligheidsprobleme te identifiseer en aan te meld.
Die onderste lyn
Gegewe die kuber risiko's inherent verband hou met 'n draadlose kommunikasie stelsel, 'n mate van cyber kwesbaarheid is onvermydelik met inplantbare mediese toestelle. Maar dit is belangrik om te weet dat verdediging in hierdie produkte ingebou kan word om net 'n afgeleë moontlikheid te maak, en selfs meneer Block is dit eens dat dit vir die meeste maatskappye gebeur het. As St. Jude voorheen 'n bietjie lui was oor hierdie saak, het die maatskappy blyk te wees genees deur die negatiewe publisiteit wat hulle in 2016 ontvang het, wat vir 'n tyd hulle besigheid ernstig bedreig het. St Jude het onder meer in opdrag van 'n onafhanklike adviesraad van die Mediese Raad vir Veiligheid van die Veiligheidsraad om sy pogings na vore te hou. Ander mediese toestelle maatskappye sal waarskynlik volg. Dus, beide die FDA en mediese toestel vervaardigers is die aanspreek van die probleem met verhoogde krag.
Mense wat pacemakers, ICD's of CRT-toestelle ingeplant het, moet beslis aandag gee aan die kwessie van kuberkwesbaarheid, aangesien ons waarskynlik meer daarvan sal hoor soos die tyd verloop. Maar in elk geval blyk dit dat die risiko nogal klein is, en dit word beslis opgevolg deur die voordele van afgeleë toestelmonitering.
> Bronne:
> FDA. Sekuriteitsvatbaarheid van cyberveiligheid geïdentifiseer in St. Jude Medical se Implantable Cardiac Devices en Merlin @ home Transmitter: FDA Veiligheidskommunikasie. 9 Januarie 2017.
> Modderige Waters. MW Verklaring oor STJ / ABT Erkenning van Cyber Vulnerabilities. Persverklaring 9 Januarie 2017.
> St Jude Medies. St Jude Medical kondig Cyber Security Updates persverklaring aan. 9 Januarie 2017.