Sent Džudas ir medicinos prietaisų pažeidžiamumas
2016 m. Pabaigoje ir 2017 m. Pradžioje naujienų ataskaitos sukėlė spoksą, kad žmonės su blogais ketinimais galbūt gali įsilaužti į implantuojamą žmogaus medicinos prietaisą ir sukelti rimtų problemų. Konkrečiai aptariamus prietaisus tiekia "St. Jude Medical, Inc." ir į juos įtraukiami elektrokardiostimuliatoriai (gydantys sinusinę bradikardiją ir širdies bloką ), implantuojami defibriliatoriai (TBT) (kurie gydo skilvelinę tachikardiją ir skilvelių fibriliaciją ) ir CRT prietaisus (kurie gydyti širdies nepakankamumą ).
Šios naujienų ataskaitos gali kelti baimę tarp žmonių, kurie turi šiuos medicinos prietaisus, nepakankamai išdėstydami klausimą.
Ar yra implantuoti širdies prietaisai, kuriems gresia kibernetiniai išpuoliai? Taip, nes bet kuris skaitmeninis įrenginys, kuriame yra bevielio ryšio, yra bent teoriškai pažeidžiamas, įskaitant širdies ritmo reguliatorių, ICD ir CRT įrenginius. Tačiau iki šiol faktinis kibernetinis išpuolis prieš bet kurį iš šių implantuotų prietaisų niekada nebuvo dokumentuojamas. Ir (didžioji dalis dėka dėl neseniai paskelbtos informacijos apie įsilaužimą tiek medicinos prietaisų, tiek politikų atžvilgiu), FDA ir įrenginių gamintojai šiuo metu stengiasi ištaisyti bet kokias tokias pažeidžiamas vietas.
Šv. Jude širdies prietaisai ir įsilaužimas
Istorija pirmiausia sulaužė 2016 m. Rugpjūtį, kai garsus trumpo pardavėjo "Carson Block" viešai paskelbė, kad "St. Jude" pardavė šimtus tūkstančių implantuojamų širdies stimuliatorių, defibriliatorių ir CRT įrenginių, kurie buvo ypač pažeidžiami dėl įsilaužimų.
"Block" sakė, kad "Cyber Security" bendrovė, su kuria jis buvo susijęs (MedSec Holdings, Inc.), atliko intensyvų tyrimą ir nustatė, kad "St Jude" įrenginiai buvo ypač pažeidžiami nuo įsilaužimo (priešingai nei tokie pat medicinos prietaisai, kuriuos "Medtronic" "Boston Scientific" ir kitos bendrovės).
Konkrečiai kalbant, "Block" sistemoje "St Jude" trūko net pagrindinių apsaugos nuo apsaugos priemonių, tokių kaip antikvariniai įtaisai, šifravimas ir anti-debugging įrankiai, paprastai naudojami likusioje pramonės šakoje.
Tariamas pažeidžiamumas buvo susijęs su nuotoliniu bevieliu stebėjimu, kurį visi šie įrenginiai įdiegė. Šios bevielės stebėjimo sistemos yra skirtos automatiškai aptikti kylančias prietaiso problemas, kol jos gali sukelti žalą, ir nedelsdamos pranešti apie tai gydytojui. Ši nuotoline stebėjimo funkcija, kurią dabar naudoja visi prietaisų gamintojai, buvo dokumentuota, kad žymiai pagerintų šių pacientų saugumą. "St Jude nuotolinio stebėjimo sistema vadinama" Merlin.net ".
"Block" teiginiai buvo gana įspūdingi ir sukėlė akimirksniu mažėjančią "St Jude" akcijų kainą, būtent tai buvo "Block" nurodytas tikslas. Atkreipiame dėmesį, prieš pateikdamas savo kaltinimus apie Šv. Jude, "Block" kompanija (Muddy Waters, LLC) užėmė didelę trumpąją poziciją Šv. Jude. Tai reiškė, kad "Block" bendrovė sudarė milijonus dolerių, jei "St Jude" atsargos labai sumažėjo ir liko pakankamai žemi, kad būtų galima išbandyti Abbott Labs įsigytą sutartą įsigijimą.
Po to, kai "Block" buvo gerai išreikšta ataka, "St Jude" nedelsiant atleido griežtai suformuluotus spaudos pranešimus, kad "Block" teiginiai buvo "visiškai neteisingi". Šv. Jude taip pat iškelia bylą "Muddy Waters, LLC" dėl tariamai platinamos klaidingos informacijos, kad manipuliuotų Sent Džudo akcijų kainos. Tuo tarpu nepriklausomi tyrėjai žiūrėjo į Švento Judo pažeidžiamumo klausimą ir padarė skirtingas išvadas. Viena grupė patvirtino, kad Šventojo Džudo prietaisai buvo itin pažeidžiami dėl kibernetinio išpuolio; kita grupė padarė išvadą, kad jos nebuvo. Visas klausimas buvo atmestas FDA lapelyje, kuris pradėjo intensyvų tyrimą, ir šiek tiek girdėjau apie šį klausimą keletą mėnesių.
Per tą laiką "St Jude" akcijos atgavo daug prarastos vertės, o 2016 m. Pabaigoje Abbott įsigijimas buvo sėkmingai užbaigtas.
Tada 2017 m. Sausio mėn. Įvyko du dalykai. Pirma, FDA paskelbė pareiškimą, kuriame teigiama, kad su St. Jude medicinos prietaisais iš tiesų kilo problemų dėl kibernetinio saugumo, ir kad šis pažeidžiamumas iš tikrųjų galėtų leisti kibernetinėms prigimtims ir išnaudojimams, kurie galėtų pakenkti pacientams. Tačiau FDA nurodė, kad nėra įrodymų, kad naikinimas iš tikrųjų įvyko bet kuriame asmenyje.
Antra, "St. Jude" išleido kibernetinio saugumo programinę įrangą, sukurtą taip, kad labai sumažintų galimybę įsilaužti į jų implantuojamus prietaisus. Programinės įrangos paketas buvo suprojektuotas automatiškai ir bevieliu būdu įdiegti per "St. Jude's" "Merlin.net". FDA rekomendavo, kad pacientai, turintys šiuos prietaisus, ir toliau naudotų "St Jude" belaidės stebėjimo sistemą, nes "sveikatai naudinga pacientai nuo tolesnio prietaiso naudojimo, yra didesnė už kibernetinio saugumo riziką".
Kur tai paliko mus?
Tai, kas išdėstyta, daugeliui apibūdina faktus, kaip mes visuomenei juos pažįstu. Kaip kažkas, kuris buvo glaudžiai susijęs su pirmosios implantuojamos prietaiso nuotolinio stebėjimo sistemos (ne "St. Jude's") kūrimu, visa tai suprantu tokiu būdu: atrodo, kad tikrai buvo "kibernetinio saugumo" pažeidžiamumas nuotolinio stebėjimo sistemoje "St Jude" , o šios silpnosios vietos, atrodo, buvo neįprastos visai pramonei. (Taigi, pirminiai Jude pradiniai atmetimai buvo perdėti.)
Be to, akivaizdu, kad Sent Džudas greitai sugebėjo ištaisyti šį pažeidžiamumą, bendradarbiaudamas su FDA, ir kad FDA galiausiai laikė, kad šie veiksmai buvo patenkinti. Tiesą sakant, vertinant FDA bendradarbiavimą ir tai, kad pažeidžiamumas buvo pakankamai išnagrinėtas programinės įrangos pleistru, problema Šv. Jude atrodo ne tokia sunki, kaip teigė p. Blokas 2016 m. ( Taigi, ponas Block'io pradiniai teiginiai buvo pernelyg dideli). Be to, pataisymai buvo atlikti prieš nukentėjusiems asmenims.
Nesvarbu, ar akivaizdus interesų konfliktas su P. Bloku (dėl kurio "St Jude" akcijų kaina buvo mažesnė už didelius pinigus), jis galėjo paskatinti galimą kibernetinio pavojaus perdavimą, tačiau tai yra teismų kompetencija spręsti .
Šiuo metu atrodo, kad taikant korekcinį programinės įrangos paketą žmonės su "St Jude" prietaisais neturi ypatingo pagrindo būti pernelyg susirūpinusi dėl išpuolių įsilaužimų.
Kodėl implantuojami širdies prietaisai yra pažeidžiami kibernetinei atakai?
Iki šiol dauguma iš mūsų supranta, kad bet koks skaitmeninis įrenginys, kurį mes naudojame mūsų gyvenime ir kuriame dalyvauja bevielis ryšys, yra bent teoriškai pažeidžiamas dėl kibernetinės atakos. Tai apima bet kurį implantuojamą medicinos prietaisą, kuris turi bendrauti bevieliu ryšiu su išoriniu pasauliu (tai yra pasaulis už kūno ribų).
Galimybė, kad žmonės ar grupės, linkusios į blogį, iš tikrųjų gali įsilaužti į medicinos prietaisus, per pastaruosius kelerius metus atrodo labiau tikra grėsmė. Atsižvelgiant į tai, viešumas, susijęs su Šv. Judo pažeidžiamumu, galėjo turėti teigiamą poveikį. Akivaizdu, kad tiek medicinos prietaisų pramonė, tiek FDA šiuo metu yra labai rimtai susirūpinę dėl šios grėsmės ir šiuo metu veikia itin ryžtingai.
Kokia yra FDA problema?
FDA dėmesys buvo skiriamas naujai sutelktas į šį klausimą, greičiausiai didele dalimi dėl ginčų dėl "St Jude" prietaisų. 2016 m. Gruodžio mėn. FDA išleido 30 puslapių "rekomendacinį" dokumentą medicinos prietaisų gamintojams, kuriame nustatytos naujos taisyklės, skirtos spręsti rinkoje esančių medicinos prietaisų kibernetinį pažeidžiamumą. (Panašios taisyklės vis dar kuriamų vaistų srityje buvo paskelbtos 2014 m.). Naujose taisyklėse apibūdinama, kaip gamintojai turėtų nustatyti, ar nustatyti rinkai tiekiamus produktus ir nustatyti jų pažeidžiamumą kibernetinio saugumo požiūriu, ir kaip nustatyti programas, skirtas nustatyti ir pranešti apie naujas saugumo problemas.
Esmė
Atsižvelgiant į kibernetinę riziką, būdingą bet kokiai belaidžio ryšio sistemai, tam tikras kibernetinio pažeidžiamumo laipsnis yra neišvengiamas su implantuojamomis medicinos priemonėmis. Tačiau svarbu žinoti, kad apsaugos priemonės gali būti įdiegtos į šiuos produktus, kad įsilaužimai būtų tik nuotolinė galimybė, ir net "Mr Block" sutinka, kad tai įvyko daugeliui bendrovių. Jei Šventasis Jude anksčiau buvo šiek tiek švelnus dėl šio klausimo, bendrovė, atrodo, buvo išgydyta dėl neigiamos informacijos, kurią jie gavo 2016 m., O tai tam tikrą laiką kelia rimtą grėsmę jų verslui. Be kita ko, "St Jude" užsakė nepriklausomą "Cyber Security" medicinos patariamąją tarybą, kuri prižiūrėtų savo pastangas. Kitų medicinos prietaisų įmonės greičiausiai seka jų pavyzdžiu. Taigi, tiek FDA, tiek medicinos prietaisų gamintojai sprendžia šią problemą su didesne energija.
Žmonės, kuriems implantuoti širdies stimuliatoriai, ICD ar CRT įrenginiai, turėtų atkreipti dėmesį į kibernetinį pažeidžiamumą, nes mes galime daugiau sužinoti apie tai, kaip ilgai trunka. Tačiau dabar, bent jau, rizika atrodo gana maža ir, be abejo, atsveria nuotolinio įrenginio stebėjimo nauda.
> Šaltiniai:
> FDA. Pažeidžiamos kibernetinio saugumo problemos, nustatytos St. Jude medicinos implantuojamose širdies priemonėse ir "Merlin @ home" siųstuvas: FDA saugos komunikacija. 2017 m. Sausio 9 d.
> Muddy Waters. MW pranešimas apie STJ / ABT Cyber vulnerability pripažinimas. Pranešimas spaudai, 2017 m. Sausio 9 d.
> St Jude Medical. "St Jude Medical" paskelbė pranešimą spaudai apie "Cyber Security Updates". 2017 m. Sausio 9 d.