Pot fi hackate implantabile stimulatoare cardiace și defibrilatoare?
Sunt implantate dispozitive cardiace la risc pentru atacuri cibernetice? Da, deoarece orice dispozitiv digital care include comunicarea fără fir este cel puțin vulnerabil din punct de vedere teoretic, incluzând stimulatoarele cardiace, dispozitivele ICD și dispozitivele CRT. Dar până acum, un atac cibernetic real împotriva oricăruia dintre aceste dispozitive implantate nu a fost niciodată documentat. Și (datorită, în mare parte, publicității recente despre hacking, ambele dispozitive medicale și a politicienilor), FDA și producătorii de dispozitive lucrează acum din greu pentru a patch-uri astfel de vulnerabilități.
Sf. Iuda Dispozitive cardiace și hacking
Povestea a izbucnit prima dată în august 2016 când renumitul vânzător cu amănuntul Carson Block a anunțat în mod public că Sf. Iuda a vândut sute de mii de stimulatoare implantabile, defibrilatoare și dispozitive CRT care erau extrem de vulnerabile la hacking. Block a declarat că o companie de securitate cibernetică cu care era afiliată (MedSec Holdings, Inc.) a făcut o investigație intensă și a constatat că dispozitivele St. Jude erau vulnerabile în mod unic la hacking (spre deosebire de aceleași tipuri de dispozitive medicale vândute de Medtronic, Boston Scientific și alte companii). În special, blocul menționat, sistemele St. Jude "nu aveau nici măcar cele mai de bază elemente de protecție a securității", cum ar fi dispozitivele anti-tamper, instrumentele de criptare și de depanare, de tipul celor utilizate în mod obișnuit de restul industriei.Presupusa vulnerabilitate a fost legată de monitorizarea la distanță, fără fir, pe care toate dispozitivele le-au integrat. Aceste sisteme de monitorizare fără fir sunt concepute pentru a detecta automat problemele emergente ale dispozitivelor înainte de a fi capabile să dăuneze și pentru a comunica imediat aceste probleme medicului. Această funcție de monitorizare la distanță, utilizată acum de către toți producătorii de dispozitive, a fost documentată pentru a îmbunătăți semnificativ siguranța pentru pacienții care au aceste produse. Sistemul de monitorizare de la St Jude este numit "Merlin.net".
Acuzațiile lui Block au fost destul de spectaculoase și au determinat o scădere imediată a prețului acțiunilor St Jude - care a fost tocmai scopul declarat al lui Block. De remarcat, înainte de a face acuzațiile sale despre St. Jude, compania lui Block (Muddy Waters, LLC), a preluat o poziție scurtă importantă în St. Jude. Aceasta a însemnat că societatea lui Block ar fi făcut milioane de dolari dacă acțiunea St Jude a scăzut substanțial și a rămas suficient de scăzută pentru a obține o achiziție convenită de Abbott Labs.
Dupa atacul bine publicat al lui Block, St Jude a tras imediat inapoi cu presa scrisa, in sensul ca afirmatiile lui Block au fost "absolut neadevarate". Sf. Iuda a dat in judecata si Muddy Waters, LLC pentru ca ar fi difuzat informatii false pentru a manipula St. Jude's prețurile acțiunilor. Între timp, anchetatorii independenți s-au uitat la întrebarea de vulnerabilitate a St Jude și au ajuns la concluzii diferite. Un grup a confirmat faptul că dispozitivele lui St. Jude erau deosebit de vulnerabile la atacurile cibernetice; un alt grup a concluzionat că nu au fost. Întreaga chestiune a fost abandonată în poala FDA, care a lansat o investigație viguroasă și puține au fost auzite de această chestiune timp de mai multe luni. În acel moment, acțiunea lui St. Jude a recuperat o mare parte din valoarea pierdută, iar la sfârșitul anului 2016 achiziția de către Abbott a fost încheiată cu succes.
Apoi, în ianuarie 2017, două lucruri s-au întâmplat simultan. În primul rând, FDA a lansat o declarație care indică faptul că există într-adevăr probleme de securitate cibernetică cu dispozitivele medicale St. Jude și că această vulnerabilitate ar putea să permită, într-adevăr, perturbări cibernetice și exploatări care ar putea fi dăunătoare pentru pacienți. Cu toate acestea, FDA a subliniat că nu s-au constatat dovezi că hacking-ul a avut loc efectiv la orice persoană fizică.
În al doilea rând, St Jude a lansat un patch software pentru securitatea informatică, proiectat pentru a diminua în mod semnificativ posibilitatea de hacking în dispozitivele lor implantabile. Patch-ul software-ului a fost proiectat să se instaleze automat și fără fir, în întreaga rețea Merlin.net a lui St. Jude. FDA a recomandat ca pacienții care au aceste dispozitive să continue să utilizeze sistemul de monitorizare fără fir al lui St Jude, deoarece "beneficiile pentru sănătate pentru pacienți din utilizarea continuă a dispozitivului depășesc riscurile de securitate cibernetică".
Unde ne lasă asta?
Cele de mai sus descriu destul de mult faptele pe care le cunoaștem în public. Ca cineva care a fost implicat in mod intim cu dezvoltarea primului sistem de monitorizare la distanta a dispozitivelor implantabile (nu a lui St. Jude), interpretez toate acestea in felul urmator: Se pare ca exista intr-adevar vulnerabilitati cibernetice in sistemul de monitorizare de la distanta St. Jude , iar aceste vulnerabilități par să fi fost neobișnuite pentru industria în general. (Deci, negările inițiale ale Sfântului Iuda par să fi fost exagerate.)Mai mult, este evident că St Jude sa mutat repede pentru a remedia această vulnerabilitate, lucrând în colaborare cu FDA, și că aceste măsuri au fost în cele din urmă considerate satisfăcătoare de către FDA. De fapt, judecând după cooperarea FDA și faptul că vulnerabilitatea a fost suficient de tratată printr-un patch software, problema lui St. Jude pare să nu fie aproape la fel de severă cum a fost susținută de domnul Block în 2016. ( Deci, declarațiile inițiale ale domnului Block par să fi fost exagerate). Mai mult, corecțiile au fost făcute înainte ca cineva să fie rănit.
Chiar dacă conflictul de interese al domnului Block (prin care a condus scaderea prețului acțiunilor St Jude la o sumă mare de bani) ar fi putut să-l provoace să depășească riscurile potențiale cibernetice, dar este o întrebare pentru instanțele judecătorești să determine.
Pentru moment, se pare că, odată cu aplicarea patch-urilor software corective, persoanele cu dispozitive St. Jude nu au nici un motiv special de a fi prea preocupate de atacurile de hacking.
De ce dispozitivele cardiace implantabile sunt vulnerabile la atacurile Cyber?
Până acum majoritatea dintre noi înțelegem că orice dispozitiv digital pe care îl folosim în viața noastră, care implică comunicații fără fir, este cel puțin teoretic vulnerabil la cyberattack. Aceasta include orice dispozitiv medical implantabil, toate acestea trebuie să comunice fără fir cu lumea exterioară (adică lumea din afara corpului).Posibilitatea ca oamenii sau grupurile aplecate de rău să se hrănească de fapt în dispozitive medicale a ajuns, în ultimii ani, să pară mai mult o amenințare reală. În acest sens, publicitatea din jurul vulnerabilităților Sf. Iuda poate avea un efect pozitiv. Este evident că atât industria de dispozitive medicale, cât și FDA sunt acum foarte serioase cu privire la această amenințare și acum acționează cu o importanță semnificativă pentru ao face.
Ce face FDA despre problema?
Atenția FDA sa axat recent pe această problemă, probabil în mare parte din cauza controversei asupra dispozitivelor St. Jude. În decembrie 2016, FDA a lansat un document "de orientare" de 30 de pagini pentru producătorii de dispozitive medicale, stabilind un nou set de reguli pentru abordarea vulnerabilităților cibernetice în dispozitivele medicale care sunt deja pe piață. (Reguli similare pentru produsele medicale aflate încă în curs de elaborare au fost publicate în 2014.) Noile reguli descriu modul în care producătorii ar trebui să depună eforturi pentru a identifica și remedia vulnerabilitățile de securitate cibernetică în produsele comercializate și cum să stabilească programe pentru a identifica și raporta noi probleme de securitate.Linia de fund
Având în vedere riscurile cibernetice asociate inerent cu orice sistem de comunicații fără fir, un anumit grad de vulnerabilitate cibernetică este inevitabil cu dispozitive medicale implantabile. Dar este important să știm că aceste produse pot fi construite pentru a face hacking-ul doar o posibilitate îndepărtată, și chiar domnul Block este de acord că pentru majoritatea companiilor acest lucru sa întâmplat. Dacă St Jude a fost anterior oarecum labilă în legătură cu această chestiune, compania pare să fi fost vindecată de publicitatea negativă pe care au primit-o în 2016, care pentru un timp a amenințat grav afacerea lor. Printre altele, Sf. Iuda a comandat un consiliu consultativ independent de securitate medicală Cyber Security pentru a-și supraveghea eforturile în viitor. Alte companii de dispozitive medicale pot urma exemplul. Astfel, atât FDA, cât și producătorii de dispozitive medicale abordează problema cu o intensitate sporită.Persoanele care au implantat stimulatoare cardiace, dispozitive ICD sau dispozitive CRT ar trebui să acorde cu siguranță atenție problemei vulnerabilității cibernetice, deoarece probabil că vom auzi mai multe despre aceasta în timp. Dar pentru moment, cel puțin, riscul pare să fie destul de mic și este cu siguranță depășit de beneficiile monitorizării de la distanță a dispozitivelor.
