Св. Јуда и сајбер Ранливост на медицински помагала
На крајот на 2016 и на почетокот на 2017 година, извештаите за вести го подигнаа сето ова дека луѓето со лоши намери би можеле да пробијат во имплантабилен медицински уред на поединецот и да предизвикаат сериозни проблеми. Конкретно, уредите за кои станува збор се продаваат од страна на St. Jude Medical, Inc. и вклучуваат пејсмејкери (кои ја третираат синус брадикардијата и срцевиот блок ), имплантибилни дефибрилатори (ICDs) (кои ја третираат вентрикуларната тахикардија и вентрикуларна фибрилација ) и CRT уредите лекување на срцева слабост ).
Овие извештаи за вести може да предизвикаат страв кај луѓето кои ги имаат овие медицински помагала без да го поставуваат прашањето во доволна перспектива.
Дали имплантираните срцеви уреди се изложени на ризик за сајбер напади? Да, бидејќи секој дигитален уред кој вклучува безжична комуникација е најмалку теоретски ранлив, вклучувајќи ги и пејсмејкерите, ICD и CRT уредите. Но, досега, вистински сајбер напад врз било кој од овие имплантирани уреди никогаш не бил документиран. И (во голема мера благодарение на неодамнешниот публицитет за хакирањето, како на медицинските помагала, така и на политичарите), FDA и производителите на уреди сега работат напорно за да ги закријат таквите слабости.
Сент Џуд кардиолошки уреди и хакирање
Приказната прво се распадна во август 2016 година, кога познатиот краток продавач Карсон Блок јавно објави дека Свети Јуде продавал стотици илјади имплантирани пејсмејкери, дефибрилатори и CRT уреди кои биле исклучително ранливи на хакерство.
Блок рече дека друштвото за сајбер-сигурност со кое бил поврзан (MedSec Holdings, Inc.) направиле интензивна истрага и утврдиле дека уредите St.Jude биле единствено ранливи на хакерство (наспроти истите видови на медицински помагала што ги продал Medtronic, Бостон Научен и други компании).
Особено, рече Блок, системите на Сент Јуде "немаа најосновни безбедносни одбрани", како што се уреди за заштита од дефект, енкрипција и алатки за дебагирање, од типот кој најчесто се користи од остатокот од индустријата.
Наводната ранливост беше поврзана со далечинскиот управувач, безжичен мониторинг, сите овие уреди имаат вградено во нив. Овие безжични системи за следење се дизајнирани автоматски да ги детектираат новите проблеми со уредот пред да можат да предизвикаат штета, и веднаш да ги соопштат овие проблеми до лекарот. Оваа функција за далечинско следење, сега вработена од сите производители на уреди, е документирана за значително подобрување на безбедноста за пациентите кои ги имаат овие производи. Далечинскиот систем за следење на Св. Јуда се нарекува "Мерлин.нет".
Обвинувањата на Блок беа прилично спектакуларни и предизвикаа веднаш опаѓање на цената на акциите на Св. Јуда - што беше точно наведената цел на Блок. Забелешка, пред да ги изнесе своите тврдења за Св. Јуда, компанијата Блок (Мади Вотерс, ДОО), зеде голема кратка позиција во Свети Јудеј. Ова значеше дека компанијата Блок стоеше да направи милиони долари ако акциите на Св. Јуда паднаа значително, и останаа доволно ниски за да го поттикнат договореното купување од страна на Абот Лабс.
По добро објавениот напад на Блок, Сент Џуд веднаш отпуштил со силно формулирани соопштенија за медиумите за тоа дека наводите на Блок се "апсолутно невистинити". Свети Јуда, исто така, го тужел Мади Вотерс, ДОО за наводно ширење на лажни информации со цел да се манипулира со Св. цените на акциите. Во меѓувреме, независни истражители го разгледаа прашањето за ранливоста на Свети Јуде и дојдоа до различни заклучоци. Една група потврди дека уредите на Св. Јуда биле особено ранливи на сајбер-напад; друга група заклучи дека не биле. Целото прашање беше отфрлено во скутот на ФДА, која започна енергична истрага, и малку беше слушнато за ова прашање за неколку месеци.
Во тоа време акциите на Св. Јуда обновија голем дел од својата загубена вредност, а кон крајот на 2016 година стекнувањето на Абот беше успешно склучено.
Потоа, во јануари 2017 година, две работи се случија истовремено. Прво, ФДА објави соопштение во кое се наведува дека имало проблеми со кибербезбесноста со медицинските помагала на Сент Џуд, и дека оваа ранливост навистина може да им овозможи на сајбер-интрузиите и експлоатациите кои би можеле да бидат штетни за пациентите. Сепак, ФДА истакна дека нема докази дека хакирањето всушност било направено кај било кој поединец.
Второ, Сент Џуд објави софтверска пакувања за сајбер-сигурност дизајнирана за да ја намали можноста за хакерство во нивните импланти. Софтверот е дизајниран да се инсталира автоматски и безжично, преку Merlin.net на Свети Јуда. ФДА препорачува пациентите кои ги имаат овие уреди да продолжат да го користат безжичниот систем за следење на St Jude, бидејќи "здравствените придобивки за пациентите од континуирана употреба на уредот ги надминуваат ризиците од сајбер-безбедноста".
Каде остава ова?
Горенаведеното многу ги опишува фактите како што ние во јавноста ги познаваме. Како некој кој беше интимно инволвиран во развојот на првиот систем за далечинско следење на имплантирање (не Свети Јудеј), го толкувам сето ова на следниов начин: Се чини сигурно дека има вулкански слабости во системот за следење на Сент Џуд , и овие слабости се чини дека се надвор од обичните за индустријата во целост. (Значи, првичните негирања на Свети Јуде се чини дека се претерани.)
Понатаму, очигледно е дека Св. Јуда брзо се преселил во санација на оваа ранливост, работејќи заедно со ФДА и дека овие чекори во крајна линија се сметале за задоволителни од страна на ФДА. Всушност, судејќи според соработката на ФДА и фактот дека ранливоста е доволно решена со помош на софтверски лепенка, проблемот на Св. Јуде се чини дека не е скоро толку сериозен како што беше наводно од г-дин Блок во 2016 година. ( Значи, првичните изјави на г-дин Блок се чини дека се претерани). Понатаму, корекциите биле направени пред некој да биде повреден.
Дали отворениот конфликт на интереси на г-дин Блок (при што цената на акциите на Св Џејд застана на него со големи пари), може да предизвика него да ги надмине потенцијалните сајбер-ризици што е можно, но ова е прашање за судовите да одредат .
За сега се чини веројатно дека, со корективниот софтверски лепенка, луѓето со уредите "Сент Џуд" немаат посебна причина да бидат премногу загрижени за хакерски напади.
Зошто имплантабилните кардиолошки направи се подложни на сајбер нападот?
До сега повеќето од нас сфаќаат дека секој дигитален уред што го користиме во нашите животи, кој вклучува безжична комуникација е барем теоретски ранлив на сајбер-нападот. Тоа вклучува било кој имплантиран медицински уред, од кој сите треба безжично да комуницираат со надворешниот свет (т.е. светот надвор од телото).
Можноста дека луѓето или групите што се наведнале на зло, всушност, би можеле да пробијат во медицински помагала, во изминатите неколку години, изгледаа како вистинска закана. Во овој контекст, публицитетот околу слабостите на Св. Јудеј може да има позитивен ефект. Очигледно е дека индустријата за медицински помагала и ФДА сега се многу сериозни во врска со оваа закана и сега делуваат со значителна енергија за да се исполнат.
Што е FDA прави за проблемот?
Вниманието на ФДА беше ново фокусирано на ова прашање, најверојатно во голем дел поради контроверзноста околу уредите на Сент Џуд. Во декември 2016 година, ФДУ издаде 30-странски "водич" документ за производители на медицински помагала, поставувајќи нов сет на правила за решавање на сајбер-слабостите во медицинските уреди кои се веќе на пазарот. (Слични правила за медицински производи кои сеуште се во развој беа објавени во 2014 година.) Новите правила опишуваат како производителите треба да одат во идентификувањето и одредувањето на ранливоста на сајбер-безбедноста во продаваните производи и како да се воспостават програми за идентификување и пријавување на нови безбедносни проблеми.
Во крајна линија
Со оглед на сајбер ризиците својствено поврзани со било кој систем за безжична комуникација, одреден степен на сајбер ранливост е неизбежен со имплантирани медицински помагала. Но, важно е да се знае дека одбраната може да биде вградена во овие производи за да се направи хакерство само од далечна можност, па дури и г-дин Блок се согласува дека за повеќето компании тоа се случило. Ако Свети Јуде претходно беше малку лабава во врска со ова прашање, се чини дека компанијата се излечи од негативниот публицитет што го добија во 2016 година, што за време сериозно го загрозуваа нивниот бизнис. Меѓу другото, Свети Јуде нарача и независен Медицински Советодавен одбор за Cyber Security, кој ќе ги надгледува своите напори. Други компании за медицински помагала најверојатно ќе го следат примерот. Така, и FDA и производители на медицински помагала се справуваат со проблемот со зголемена енергичност.
Луѓето кои имаат имплантирани пејсмејкери, ICDs или CRT уреди сигурно треба да обрнат внимание на проблемот со сајбер-ранливоста, бидејќи ние веројатно ќе слушнеме повеќе за тоа како што поминува времето. Но, за сега, барем, ризикот се чини дека е прилично мал, и сигурно е надминат од придобивките од далечинското следење на уредот.
> Извори:
> ФДУ. Сибезбедните слаби точки се идентификувани во имплантабилните кардиолошки направи на Сент Џуд и Мерилин @ дома предавател: комуникација за безбедност на ФДА. 9 јануари 2017 година.
> Мади Вотерс. Изјава за MW за STJ / ABT Признание за сајбер-упадност. Соопштение за медиумите 9 јануари 2017 година.
> Сент Џуди медицина. Сент Џеј Медикал најавува соопштение за Cybersecurity Updates. 9 јануари 2017 година.