Св. Юда и кибернетичната уязвимост на медицинските изделия
В края на 2016 г. и началото на 2017 г. новините повдигнаха примера, че хората с лоши намерения биха могли да проникнат в имплантируемото медицинско устройство на дадено лице и да причинят сериозни проблеми. По-специално, въпросните устройства се предлагат на пазара от St. Jude Medical, Inc. и включват пейсмейкъри (които третират синусова брадикардия и сърдечен блок ), имплантируеми дефибрилатори (ICD) (които третират вентрикуларната тахикардия и вентрикуларна фибрилация ) и CRT устройства лечение на сърдечна недостатъчност ).
Тези новинарски съобщения може да са предизвикали страхове сред хората, които имат тези медицински устройства, без да поставят проблема в достатъчна перспектива.
Имате ли имплантирани сърдечни устройства под риск от кибератаки? Да, защото всяко цифрово устройство, което включва безжична комуникация, е поне уязвимо от гледна точка на теория, включително пейсмейкъри, ICD и CRT устройства. Но досега действителната кибернетична атака срещу някое от тези имплантирани устройства никога не е документирана. И (благодарение в голяма степен на неотдавнашната публичност за хакерство, както на медицински устройства, така и на политици), производителите на FDA и производителите на устройства сега работят усилено, за да проследят такива уязвимости.
Св. Юде Сърдечни устройства и хакване
Историята се счупи най-напред през август 2016 г., когато известният късо продавач Карсън Блок обяви публично, че Свети Юд продавал стотици хиляди имплантируеми пейсмейкъри, дефибрилатори и CRT устройства, които са изключително уязвими към хакерство.
Блок казал, че киберсигурност, с която е бил свързан (MedSec Holdings, Inc.), е направил интензивно разследване и е установил, че устройствата "Сейнт Джуд" са уникално уязвими към хакерство (за разлика от същите медицински устройства, продавани от Medtronic, Boston Scientific и други компании).
По-конкретно, каза Блок, системите "Св. Джуд" "нямаха дори най-основните защитни средства за защита", като устройства против фалшифициране, криптиране и анти-отстраняващи инструменти, които обикновено се използват от останалата част от индустрията.
Предполагаемата уязвимост е свързана с отдалечения безжичен мониторинг, който всички тези устройства са вградени в тях. Тези безжични мониторингови системи са предназначени автоматично да откриват проблеми с възникващите устройства, преди да са в състояние да причинят вреда, и незабавно да съобщят тези проблеми на лекаря. Тази функция за дистанционно наблюдение, която сега се използва от всички производители на устройства, е документирана, за да подобри значително безопасността на пациентите, които имат тези продукти. Системата за дистанционно наблюдение на St. Jude се нарича "Merlin.net".
Твърденията на Блок бяха доста зрелищни и предизвикаха непосредствено спад в цената на акциите на Сент Джуд - което беше точно целта на Блок. Трябва да се отбележи, че преди да направи обвиненията си за "Св. Юде", компанията на Блок (Muddy Waters, LLC) е заела голяма къса позиция в "Св. Това означаваше, че фирмата на Блок щеше да спечели милиони долари, ако акциите на St. Jude паднаха значително и останаха достатъчно ниски, за да постигнат договореното придобиване от Abbott Labs.
След добре известната атака на Блок Св. Юд незабавно изстрелваше със силно формулирани съобщения в пресата, че твърденията на Блок са "абсолютно неверни". Св. Юде също е съдил Мъди Уотърс, LLC за разпространяване на фалшива информация, за да манипулира св. цените на акциите. Междувременно независимите следователи разгледаха въпроса за уязвимостта на Св. Юде и стигнаха до различни изводи. Една група потвърди, че устройствата на Сейнт Джуд са особено уязвими от кибернетични атаки; друга група заключи, че не са. Целият проблем беше отпаднал в скута на FDA, който започна енергично разследване, и малко се чуваше по въпроса в продължение на няколко месеца.
През това време акциите на St. Jude възстановяват голяма част от загубената си стойност, а в края на 2016 г. придобиването от Abbott приключи успешно.
След това през януари 2017 г. се случиха две неща едновременно. Първо, FDA публикува съобщение, в което се посочва, че наистина има проблеми с киберсигурността със медицински устройства "Сейнт Джуд" и че тази уязвимост наистина би позволила на кибернетичните пробиви и експлоатации, които биха могли да се окажат вредни за пациентите. Въпреки това, FDA посочи, че не е установено, че хакери действително са се случили във всяко лице.
На второ място, "Св. Юде" пусна софтуер за киберсигурност, предназначен да намали значително възможността за хакерство в имплантируемите устройства. Софтуерът е проектиран така, че да се инсталира автоматично и безжично, през Merlin.net на St. Jude. FDA препоръчва на пациентите, които имат тези устройства, да продължат да използват безжичната система за наблюдение на St Jude, тъй като "ползите за пациентите за здравето от продължителното използване на устройството превишават рисковете за киберсигурността".
Къде ни оставя това?
Предходните почти описват фактите, както ние в обществото ги познаваме. Като човек, който е бил интимно ангажиран с разработването на първата система за дистанционно наблюдение на имплантируемите устройства (не на "Св. Джуд"), интерпретирам всичко това по следния начин: Изглежда сигурно, че в системата за дистанционно наблюдение "Сейнт Джуд" , и тези уязвимости изглежда са били извън обичайното за индустрията като цяло. (Така че първоначалните отричания на Св. Джуд изглежда са преувеличени.)
Освен това е очевидно, че Св. Юд се движи бързо, за да възстанови тази уязвимост, работейки съвместно с FDA, и че тези стъпки в крайна сметка се считат за задоволителни от FDA. Всъщност, съдейки по отношение на сътрудничеството на FDA и факта, че уязвимостта се е справила в достатъчна степен с помощта на софтуерен пач, проблемът на Сен Джуд изглежда не е толкова тежък, колкото се твърди от г-н Блок през 2016 г. ( И така, първоначалните изявления на г-н Блок изглежда са преувеличени). Освен това корекциите бяха направени, преди някой да бъде наранен.
Независимо дали явен конфликт на интереси на г-н Блок (който води до намаляване на цените на акциите на Сент Джуд, може би го е накарал да преодолее потенциалните рискове от кибернетичното пространство, но това е въпрос на съдилищата да определят ,
Засега изглежда, че с приложението на коригиращия софтуер, хората с устройства на "Св. Джуд" нямат особена причина да бъдат прекалено загрижени за хакерски атаки.
Защо са имплантируеми сърдечни устройства уязвими към Cyber Attack?
Досега повечето от нас осъзнават, че всяко цифрово устройство, което използваме в живота ни, което включва безжична комуникация, е поне теоретично уязвимо за кибер-атака. Това включва всяко имплантируемо медицинско устройство, което трябва да комуникира безжично с външния свят (т.е. със света извън тялото).
Възможността хората или групите, насочени към злото, всъщност да се промъкнат в медицински устройства, се оказа в редица години като истинска заплаха. В тази светлина, публичността около уязвимостта на Св. Юда може да е имала положителен ефект. Ясно е, че както индустрията на медицинските изделия, така и FDA са много сериозни по отношение на тази заплаха и сега действат със значителна сила, за да я посрещнат.
Какво прави FDA за проблема?
Вниманието на FDA е фокусирано върху този проблем, вероятно в голяма степен заради противоречията по отношение на устройствата на St. Jude. През декември 2016 г. FDA публикува 30-страничен документ за "ръководство" за производителите на медицински изделия, като постави нов набор от правила за справяне с кибер-уязвимостта на медицинските изделия, които вече са на пазара. (Подобни правила за лекарствените продукти, които са в процес на разработване, бяха публикувани през 2014 г.) Новите правила описват начините, по които производителите трябва да направят за идентифициране и определяне на уязвимостите на киберсигурността в предлаганите на пазара продукти и как да създават програми за идентифициране и докладване на нови проблеми със сигурността.
Долния ред
Предвид кибернетичните рискове, присъщи на всяка безжична комуникационна система, известна степен на уязвимост на кибернетичното пространство е неизбежна с имплантируеми медицински устройства. Но е важно да знаем, че в тези продукти могат да се вграждат защити, за да се направи хакерство само една далечна възможност и дори г-н Блок е съгласен, че за повечето компании това се е случило. Ако Св. Джуд преди това е бил малко по-слаб по този въпрос, компанията изглежда е била излекувана от негативната публичност, която получиха през 2016 г., което за известно време сериозно застрашава техния бизнес. Между другото, Св. Юд е възложил на независим консултативен съвет по киберсигурност, който да наблюдава усилията си в бъдеще. Други компании за медицински изделия вероятно ще последват примера. По този начин както FDA, така и производителите на медицински изделия се занимават с проблема с повишена сила.
Хората, които са имплантирали пейсмейкъри, ICD или CRT устройства със сигурност трябва да обърнат внимание на проблема с уязвимостта на кибернетичното пространство, тъй като вероятно ще чуем повече за това с течение на времето. Но поне засега рискът изглежда доста малък и със сигурност е преодолян от предимствата на отдалеченото наблюдение на устройствата.
> Източници:
> FDA. Сигурността на киберсигурността се идентифицира в имплантируемите сърдечни устройства на St. Jude Medical и Merlin @ home Transmitter: Съобщение за безопасност на FDA. 9 януари 2017 г.
> Мъдри води. MW изявление за потвърждаване на STJ / ABT за уязвимости в кибернетичното пространство. Прессъобщение на 9 януари 2017 г.
> Сейнт Джуд Медикъл. St Jude Medical съобщава за прессъобщения за Cybersecurity Updates. 9 януари 2017 г.