Vai var tikt ievākti implantējami elektrokardiostimulatori un defibrilatori?

Jude akciju, 2016 gada, medicīnas ierīču, ierīču ražotāji, Jude ierīces, lielā mērā

2016. gada beigās un 2017. gada sākumā ziņu ziņojumi izraisīja spoks, ka cilvēki ar sliktiem nodomiem var potenciāli iekļūt indivīda implantējamā medicīniskajā ierīcē un radīt nopietnas problēmas. Konkrēti, attiecīgās ierīces pārdod St Jude Medical, Inc., un tās ietver elektrokardiostimulatorus (kas ārstē sinusa bradikardiju un sirds blokādi), implantējamus defibrilatorus (ICD) (kas ārstē ventrikulāro tahikardiju un ventrikulāru fibrilāciju) un CRT ierīces (kas ārstēt sirds mazspēju).

Šīs ziņu ziņas, iespējams, ir radījušas bažas cilvēkiem, kuriem ir šīs medicīnas ierīces, neizvirzot jautājumu pietiekamā perspektīvā.

Vai implantētas sirds ierīces ir pakļautas kiberuzbrukumiem? Jā, jo jebkura digitālā ierīce, kas ietver bezvadu sakarus, ir vismaz teorētiski neaizsargāta, tostarp elektrokardiostimulatorus, ICD un CRT ierīces. Bet līdz šim faktiskais kiberuzbrukums pret kādu no implantētajām ierīcēm nekad nav bijis dokumentēts. Un (lielā mērā pateicoties nesenai publicitātei gan par medicīnas ierīču, gan politiķu uzlaušanu) FDA un ierīču ražotāji tagad strādā, lai novērstu jebkādas šādas neaizsargātības.

St Jude Sirds ierīces un Datorurķēšana

Stāsts vispirms izlauzās 2016. gada augustā, kad slavens īstermiņa pārdevējs Carson Block publiski paziņoja, ka St Jude bija pārdod simtiem tūkstošu implantējamu elektrokardiostimulatoru, defibrilatoru un CRT ierīču, kas bija ārkārtīgi neaizsargāti pret uzlaušanu .

Block teica, ka kiberdrošības kompānija, ar kuru viņš bija saistīts (MedSec Holdings, Inc.), ir veikusi intensīvu izmeklēšanu un konstatējusi, ka St Jude ierīces bija īpaši neaizsargātas pret uzlaušanu (pretstatā tādām pašām medicīnas ierīcēm, ko pārdod Medtronic , Boston Scientific un citi uzņēmumi).

Jo īpaši, teica Bloks, St Jude sistēmām "trūka pat visbūtiskāko drošības aizsardzību", piemēram, pretvīrusu ierīces, šifrēšanas un pret atkļūdošanas rīkiem, kas parasti tiek izmantoti pārējā nozarē.

Iespējamā neaizsargātība bija saistīta ar tālvadības bezvadu uzraudzību, kuru visas šīs ierīces ir iebūvējušas. Šīs bezvadu uzraudzības sistēmas ir paredzētas, lai automātiski atklātu jaunās ierīces problēmas, pirms tās var radīt kaitējumu, un nekavējoties paziņo par to ārstam. Šī tālvadības uzraudzības funkcija, ko tagad izmanto visi ierīču ražotāji, ir dokumentēta, lai ievērojami uzlabotu drošību pacientiem, kuriem ir šie produkti. St Jude tālvadības uzraudzības sistēma tiek saukta par "Merlin.net".

Bloķa apgalvojumi bija diezgan iespaidīgi un izraisīja tūlītēju Sv. Jude akciju cenas samazināšanos, kas bija tieši Bloks izvirzītais mērķis. Jāpiebilst, ka, pirms izteikt savus apgalvojumus par St Jude, Block’s uzņēmums (Muddy Waters, LLC) bija ieņēmis lielu īsu pozīciju St Jude. Tas nozīmēja, ka Bloks uzņēmumam bija nopelnīt miljons dolāru, ja St Jude akciju cena būtiski samazinājās, un saglabājās pietiekami zemā līmenī, lai veiktu Abbott Labs iegādi, par ko vienojās.

Pēc Bloks ir labi izplānots uzbrukums, St Jude nekavējoties atlaists ar stingri formulētiem paziņojumiem presei par to, ka Bloks apgalvojumus bija "pilnīgi nepatiesi." St Jude arī iesūdzēja Muddy Waters, LLC par iespējami izplatītu nepatiesu informāciju, lai manipulētu ar St Jude akciju cenas. Savukārt neatkarīgie izmeklētāji izskatīja St Jude neaizsargātības jautājumu un nonāca pie dažādiem secinājumiem. Viena grupa apstiprināja, ka St Jude ierīces ir īpaši neaizsargātas pret kiberuzbrukumiem; cita grupa secināja, ka viņi nav. Viss jautājums tika svītrots FDA klēpī, kas uzsāka intensīvu izmeklēšanu, un mazliet tika uzklausīts par šo jautājumu vairākus mēnešus.

Šajā laikā St Jude akciju vērtība atguvās lielā mērā, un 2016. gada beigās Abbott iegāde tika veiksmīgi pabeigta.

Tad 2017. gada janvārī vienlaicīgi notika divas lietas. Pirmkārt, FDA izdeva paziņojumu, kurā norādīts, ka ar St. Jude medicīnas ierīcēm patiešām bija problēmas ar kiberdrošību, un šī neaizsargātība patiešām varētu ļaut kiberuzbrukumiem un izmantojumiem, kas varētu kaitēt pacientiem. Tomēr FDA norādīja, ka nav pierādījumu, ka kādā indivīdā tiktu veikta uzlaušana.

Otrkārt, St Jude izlaidusi kiberdrošības programmatūras ielāpu, kas paredzēts, lai būtiski mazinātu iespēju iekļūt to implantējamajās ierīcēs. Programmatūras plāksteris bija paredzēts automātiskai un bezvadu instalēšanai starp St Jude’s Merlin.net. FDA ieteica, lai pacienti, kuriem ir šīs ierīces, turpina lietot St Jude bezvadu uzraudzības sistēmu, jo "ieguvumi veselībai, ko pacienti turpina lietot, pārsniedz kiberdrošības risku".

Kur tas atstāj mūs?

Iepriekš minētais diezgan daudz apraksta faktus, jo mēs sabiedrībā tos apzināmies. Kā cilvēks, kas cieši sadarbojās ar pirmās implantējamās ierīces attālinātās uzraudzības sistēmas izstrādi (nevis St. Jude’s), es visu to interpretēju šādi: šķiet skaidrs, ka St. Jude tālvadības uzraudzības sistēmā patiešām bija kiberaizsardzības ievainojamības , un šīs neaizsargātības, šķiet, nav vispārpieņemtas visai nozarei. (Tātad St Jude sākotnējie atteikumi, šķiet, ir pārspīlēti.)

Turklāt ir skaidrs, ka St Jude ātri pārcēlās, lai novērstu šo neaizsargātību, strādājot kopā ar FDA, un FDA galu galā uzskatīja, ka šie pasākumi ir apmierinoši . Faktiski, vērtējot pēc FDA sadarbības un to, ka ar neaizsargātību tika pietiekami apstrādāts ar programmatūras plāksteri, St Jude problēma, šķiet, nav gandrīz tikpat smaga, kā to apgalvoja Mr Block, 2016. gadā ( Tātad, Mr Block sākotnējie paziņojumi, šķiet, ir pārspīlēti). Turklāt korekcijas tika veiktas, pirms kāds tika nodarīts kaitējums.

Tas, vai Mr Block ir atklāts interešu konflikts (ar kuru, samazinot St Jude akciju cenu, bija neto viņam liels dolārs), iespējams, ļāvis viņam pārspēt iespējamos kiber riskus, bet tas ir jautājums, lai tiesās noteikt.

Pašlaik šķiet, ka, piemērojot korektīvo programmatūras ielāpu, cilvēkiem ar St Jude ierīcēm nav īpašu iemeslu būt pārlieku norunātam par uzbrukumu uzlaušanu.

Kāpēc implantējamās sirds ierīces ir neaizsargātas pret kiberuzbrukumu?

Līdz šim lielākā daļa no mums apzinās, ka jebkura digitālā ierīce, kuru mēs izmantojam mūsu dzīvē un kas ietver bezvadu sakarus, ir vismaz teorētiski neaizsargāta pret kiberuzbrukumiem. Tas ietver jebkuru implantējamu medicīnas ierīci, no kuras visiem ir jāsazinās ar ārpasauli (tas ir, pasaulei ārpus ķermeņa).

Iespējams, ka cilvēkiem vai grupām, kas sliecas uz ļaunu, faktiski var nokļūt medicīnas ierīcēs, dažu pēdējo gadu laikā šķiet, ka tas ir vairāk reālu draudu. Ņemot to vērā, publikācijas, kas saistītas ar St Jude neaizsargātību, varētu būt pozitīvi ietekmējušas. Ir skaidrs, ka gan medicīnas ierīču nozare, gan FDA tagad ir ļoti nopietni par šiem draudiem, un tagad tie darbojas ar ievērojamu spēku, lai to izpildītu.

Kas ir FDA, kas nodarbojas ar problēmu?

FDA uzmanība ir tikko koncentrēta uz šo jautājumu, iespējams, lielā mērā, jo strīdu pār St Jude ierīces. 2016. gada decembrī FDA izdeva medicīnisko ierīču ražotājiem 30 lappušu "vadlīniju" dokumentu, izstrādājot jaunu noteikumu kopumu, lai novērstu kibernoziegumus medicīnas ierīcēs, kas jau ir tirgū. (Līdzīgi noteikumi attiecībā uz medicīniskajiem produktiem, kas joprojām tiek izstrādāti, tika publicēti 2014. gadā.) Jaunie noteikumi apraksta, kā ražotājiem vajadzētu pievērsties, lai identificētu un noteiktu tirgoto produktu kiberdrošības neaizsargātību un kā izveidot programmas, lai identificētu un ziņotu par jaunām drošības problēmām.

Bottom Line

Ņemot vērā kibernoziedzības riskus, kas pēc būtības ir saistīti ar jebkuru bezvadu sakaru sistēmu, zināmai kiberaizsardzības pakāpei ir neizbēgama ar implantējamām medicīnas ierīcēm. Bet ir svarīgi zināt, ka šajos produktos var iebūvēt aizsardzības līdzekļus, lai padarītu uzlauzšanu par pavisam nelielu iespēju, un pat Mr Block piekrīt, ka lielākajā daļā uzņēmumu tas ir noticis. Ja St Jude agrāk ir bijusi nedaudz lēna par šo jautājumu, šķiet, ka uzņēmums ir izārstējis to negatīvā publicitāte, ko viņi saņēma 2016. Gadā, kas uz laiku nopietni apdraud viņu uzņēmējdarbību. Cita starpā St Jude ir pasūtījusi neatkarīgu Kiber drošības medicīnas konsultatīvo padomi, kas pārraudzīs savus centienus. Citi medicīnas ierīču uzņēmumi varētu sekot šim piemēram. Tādējādi gan FDA, gan medicīnas ierīču ražotāji šo problēmu risina ar lielāku spēku.

Cilvēkiem, kuri ir implantējuši elektrokardiostimulatorus, ICD vai CRT ierīces, noteikti vajadzētu pievērst uzmanību kibernoziegumu problēmai, jo mēs, visticamāk, uzzināsimies par to vairāk laika. Bet šobrīd vismaz šķiet, ka risks ir diezgan mazs, un to, protams, atsver attālas ierīces uzraudzības priekšrocības.

Like this post? Please share to your friends: