Pot fi hackate impotentele și defibrilatoarele implantabile?

dispozitive medicale, producătorii dispozitive, securitate cibernetică, Aceste dispozitive

La sfârșitul anului 2016 și începutul lui 2017, rapoartele de știri au ridicat spectrul potrivit căruia persoanele cu intenții proaste ar putea să se hrănească în dispozitivul medical implantabil al unui individ și să provoace probleme serioase. În mod specific, dispozitivele în cauză sunt comercializate de St. Jude Medical, Inc. și includ stimulatoarele cardiace (care tratează bradicardia sinusală și blocul cardiac), defibrilatoare implantabile (ICD) (care tratează tahicardia ventriculară și fibrilația ventriculară) și dispozitivele CRT tratați insuficiența cardiacă).

Aceste rapoarte de știri au generat temeri în rândul persoanelor care au aceste dispozitive medicale, fără a pune problema într-o perspectivă suficientă.

Sunt implantate dispozitive cardiace la risc pentru atacuri cibernetice? Da, deoarece orice dispozitiv digital care include comunicarea wireless este cel puțin vulnerabil din punct de vedere teoretic, incluzând stimulatoarele cardiace, dispozitivele ICD și dispozitivele CRT. Dar până acum, un atac cibernetic real împotriva oricăruia dintre aceste dispozitive implantate nu a fost niciodată documentat. Și (datorită, în mare parte, publicității recente despre hacking, ambele dispozitive medicale și politicieni), FDA și producătorii de dispozitive lucrează acum din greu pentru a patch-uri astfel de vulnerabilități.

St Jude Dispozitive cardiace și hacking

Prima poveste a izbucnit în august 2016 când renumitul vânzător de carduri scurte Carson Block a anunțat public că St Jude a vândut sute de mii de stimulatoare implantabile, defibrilatoare și dispozitive CRT care erau extrem de vulnerabile la hacking .

Block a spus că o companie de securitate cibernetică cu care era afiliată (MedSec Holdings, Inc.) a făcut o investigație intensă și a constatat că dispozitivele St. Jude erau vulnerabile în mod unic la hacking (spre deosebire de aceleași tipuri de dispozitive medicale vândute de Medtronic , Boston Scientific și alte companii).

În special, blocul menționat, sistemele St. Jude "nu aveau nici măcar cele mai elementare sisteme de apărare a securității", cum ar fi dispozitive anti-tamper, instrumente de criptare și de depanare, de tipul celor utilizate în mod obișnuit de restul industriei.

presupusa vulnerabilitate a fost legată de monitorizarea la distanță, fără fir, pe care toate dispozitivele le-au construit în ele. Aceste sisteme de monitorizare fără fir sunt concepute pentru a detecta în mod automat problemele emergente ale dispozitivelor înainte de a fi capabile să dăuneze și să comunice imediat aceste probleme medicului. Această funcție de monitorizare la distanță, utilizată acum de către toți producătorii de dispozitive, a fost documentată pentru a îmbunătăți semnificativ siguranța pacienților care au aceste produse. Sistemul de monitorizare la distanță al lui St. Jude este numit "Merlin.net". Acuzațiile lui Block au fost destul de spectaculoase și au determinat o scădere imediată a prețului acțiunilor St Jude – ceea ce a fost exact scopul declarat al lui Block. De remarcat, înainte de a face acuzațiile sale despre St. Jude, compania lui Block (Muddy Waters, LLC), a preluat o poziție scurtă importantă în St. Jude. Aceasta a însemnat că firma lui Block ar fi făcut milioane de dolari dacă acțiunea St Jude a scăzut substanțial și a rămas suficient de scăzută pentru a scoate o achiziție convenită de Abbott Labs.

După atacul bine publicat al lui Block, St Jude a concediat imediat cu declarații de presă formulate puternic, în sensul că afirmațiile lui Block erau "absolut neadevărate". Sfântul Iuda a dat în judecată și Muddy Waters, LLC pentru presupusa difuzare a informațiilor false pentru a manipula St. Prețurile acțiunilor lui Jude. Între timp, anchetatorii independenți s-au uitat la întrebarea de vulnerabilitate a St Jude și au ajuns la concluzii diferite. Un grup a confirmat faptul că dispozitivele lui St. Jude erau deosebit de vulnerabile la atacurile cibernetice; un alt grup a concluzionat că nu au fost. Întreaga chestiune a fost abandonată în cadrul FDA, care a lansat o investigație viguroasă și puțin timp au fost auzite de această chestiune timp de mai multe luni.

În acel moment, acțiunile St Jude au recuperat mult din valoarea pierdută, iar la sfârșitul anului 2016 achiziția de către Abbott a fost încheiată cu succes.

În ianuarie 2017, două lucruri s-au întâmplat simultan. În primul rând, FDA a lansat o declarație care indică faptul că există într-adevăr probleme de securitate cibernetică cu dispozitivele medicale St. Jude și că această vulnerabilitate ar putea să permită, într-adevăr, perturbări cibernetice și exploatări care ar putea fi dăunătoare pentru pacienți. Cu toate acestea, FDA a subliniat că nu s-au constatat dovezi că hacking-ul a avut loc efectiv la orice individ.

În al doilea rând, St Jude a lansat un patch de software pentru securitatea informatică, proiectat pentru a diminua în mod semnificativ posibilitatea de hacking în dispozitivele lor implantabile. Patch-ul software-ului a fost conceput să se instaleze automat și fără fir, în cadrul Merlin.net de la St. Jude. FDA a recomandat ca pacienții care au aceste dispozitive să continue să utilizeze sistemul de monitorizare fără fir al lui St Jude, deoarece "beneficiile pentru sănătate pentru pacienți din utilizarea continuă a dispozitivului depășesc riscurile de securitate cibernetică".

Unde ne lasă acest lucru?

Cele de mai sus descriu destul de mult faptele pe care le cunoaștem în public. Ca pe cineva care a fost implicat in mod intim cu dezvoltarea primului sistem de monitorizare la distanta a dispozitivelor implantabile (nu a lui St. Jude), interpretez toate acestea in felul urmator: Se pare sigur ca exista intr-adevar vulnerabilitati de cybersecurity in sistemul de monitorizare de la distanta St. Jude , iar aceste vulnerabilități par să fi fost neobișnuite pentru industria în general. (Deci, negările inițiale ale Sfântului Iuda par să fi fost exagerate.)

În plus, este evident că St Jude sa mutat repede pentru a remedia această vulnerabilitate, lucrând în colaborare cu FDA și că acești pași au fost în cele din urmă considerați satisfăcători de către FDA . De fapt, judecând după cooperarea FDA și faptul că vulnerabilitatea a fost suficient de tratată printr-un patch de software, problema lui St. Jude nu pare să fie aproape la fel de severă cum a fost susținută de domnul Block în 2016. ( Deci, declarațiile inițiale ale domnului Block par să fi fost exagerate). În plus, corecțiile au fost făcute înainte ca cineva să fie rănit.

Dacă conflictul de interese al domnului Block (prin faptul că scade prețul acțiunilor St Jude, ar fi putut să-l provoace să depășească riscurile potențiale ale ciberneților, dar aceasta este o întrebare pentru instanțele de judecată a determina.

Deocamdată, pare probabil că, odată cu aplicarea corecțiunii software-ului, oamenii cu dispozitive St. Jude nu au nici un motiv special să se preocupe prea mult de atacurile de hacking.

De ce sunt dispozitive cardiace implantabile vulnerabile la atacuri Cyber?

Până acum majoritatea dintre noi realizăm că orice dispozitiv digital pe care îl folosim în viața noastră, care implică comunicarea fără fir, este cel puțin teoretic vulnerabil la cibernetic. Aceasta include orice dispozitiv medical implantabil, toate acestea trebuie să comunice fără fir cu lumea exterioară (adică lumea din afara corpului).

Posibilitatea ca oamenii sau grupurile aplecate spre rău să se hrănească de fapt în dispozitive medicale a ajuns, în ultimii ani, să pară mai mult o amenințare reală. În acest sens, publicitatea din jurul vulnerabilităților Sf. Iuda poate avea un efect pozitiv. Este evident că atât industria de dispozitive medicale cât și FDA sunt acum foarte serioase cu privire la această amenințare și acum acționează cu o importanță deosebită pentru ao face față.

Ce face FDA despre problema?

Atenția FDA a fost recent axată pe această problemă, probabil în mare parte din cauza controversei asupra dispozitivelor St. Jude. În decembrie 2016, FDA a lansat un document "de orientare" de 30 de pagini pentru producătorii de dispozitive medicale, stabilind un nou set de reguli pentru abordarea vulnerabilităților cibernetice în dispozitivele medicale care sunt deja pe piață. (Reguli similare pentru produsele medicale aflate încă în curs de elaborare au fost publicate în 2014.) Noile reguli descriu modul în care producătorii ar trebui să identifice și să fixeze vulnerabilitățile de securitate cibernetică în produsele comercializate și cum să stabilească programe pentru a identifica și raporta noi probleme de securitate.

Linia de fund

Având în vedere riscurile cibernetice asociate în mod inerent cu orice sistem de comunicații fără fir, un anumit grad de vulnerabilitate cibernetică este inevitabil cu dispozitive medicale implantabile. Dar este important să știm că aceste produse pot fi construite pentru a face hacking-ul doar o posibilitate îndepărtată, și chiar domnul Block este de acord că pentru majoritatea companiilor acest lucru sa întâmplat. Dacă St Jude a fost anterior oarecum labilă în legătură cu această chestiune, compania pare să fi fost vindecată de aceasta prin publicitatea negativă pe care au primit-o în 2016, care pentru un timp a amenințat grav afacerea lor. Printre altele, Sf. Iuda a comandat un consiliu consultativ independent de securitate medicală Cyber ​​Security să-și supravegheze eforturile. Alte companii de dispozitive medicale pot urma exemplul. Astfel, atât FDA, cât și producătorii de dispozitive medicale abordează problema cu o intensitate sporită.

Persoanele care au implantat stimulatoare cardiace, ICD-uri sau dispozitive CRT ar trebui să acorde cu siguranță atenție problemei vulnerabilității cibernetice, deoarece probabil că vom auzi mai multe despre aceasta în timp. Dar, pentru moment, cel puțin, riscul pare să fie destul de mic și este cu siguranță depășit de beneficiile monitorizării de la distanță a dispozitivelor.

Like this post? Please share to your friends: