Medicīnas ierīču St Jude un Cyber neaizsargātība
2016. gada beigās un 2017. gada sākumā ziņu ziņojumi izraisīja spoks, ka cilvēki ar sliktiem nodomiem potenciāli varētu iekļūt indivīda implantējamā medicīniskajā ierīcē un radīt nopietnas problēmas. Konkrēti, attiecīgās ierīces pārdod St Jude Medical, Inc., un tās ietver elektrokardiostimulatorus (kas ārstē sinusa bradikardiju un sirds blokādi ), implantējamus defibrilatorus (ICD) (kas ārstē ventrikulāro tahikardiju un ventrikulāru fibrilāciju ) un CRT ierīces (kas ārstēt sirds mazspēju ).
Šie ziņu ziņojumi, iespējams, ir radījuši bažas cilvēkiem, kuriem ir šīs medicīnas ierīces, neizvirzot jautājumu pietiekamā perspektīvā.
Vai implantētas sirds ierīces ir pakļautas kiberuzbrukumiem? Jā, jo jebkura digitālā ierīce, kas ietver bezvadu sakarus, ir vismaz teorētiski neaizsargāta, tostarp elektrokardiostimulatorus, ICD un CRT ierīces. Bet līdz šim faktiskais kiberuzbrukums pret kādu no implantētajām ierīcēm nekad nav bijis dokumentēts. Un (lielā mērā pateicoties nesenai publicitātei gan par medicīnas ierīču, gan politiķu uzlaušanu) FDA un ierīču ražotāji tagad strādā, lai novērstu jebkādas šādas neaizsargātības.
Sv. Jūdas sirds ierīces un Datorurķēšana
Stāsts vispirms izlauzās 2016. gada augustā, kad slavenais īsfirmu Carson Block publiski paziņoja, ka St Jude bija pārdod simtiem tūkstošu implantējamu elektrokardiostimulatoru, defibrilatoru un CRT ierīču, kas bija ārkārtīgi neaizsargāti pret uzlaušanu.
Blēks sacīja, ka kiberdrošības kompānija, ar kuru viņš bija saistīts (MedSec Holdings, Inc.), ir veikusi intensīvu izmeklēšanu un konstatējusi, ka St Jude ierīces bija ārkārtīgi neaizsargātas pret uzlaušanu (pretstatā tādām pašām medicīnas ierīcēm, ko pārdod Medtronic, Boston Scientific un citi uzņēmumi).
Jo īpaši Block bloķēja St Jude sistēmas "trūka pat visbūtiskāko drošības aizsardzību", piemēram, pretvīrusu ierīces, šifrēšanu un pret atkļūdošanas darbarīkus, kas parasti tiek izmantoti pārējā nozarē.
Iespējamā neaizsargātība bija saistīta ar tālvadības bezvadu uzraudzību, ko visas šīs ierīces ir iebūvējušas. Šīs bezvadu uzraudzības sistēmas ir paredzētas, lai automātiski atklātu jaunās ierīces problēmas, pirms tās var radīt kaitējumu, un nekavējoties paziņo par to ārstam. Šī tālvadības uzraudzības funkcija, ko tagad izmanto visi ierīču ražotāji, ir dokumentēta, lai ievērojami uzlabotu drošību pacientiem, kuriem ir šie produkti. St Jude attālās novērošanas sistēma tiek saukta par "Merlin.net".
Bloks apgalvojumi bija diezgan iespaidīgi un izraisīja tūlītēju kritumu St Jude akciju cenā, kas bija tieši Bloks izvirzītais mērķis. Jāpiebilst, ka, pirms izteikt savus apgalvojumus par St Jude, Block's uzņēmums (Muddy Waters, LLC) bija ieņēmis lielu īsu pozīciju St Jude. Tas nozīmēja, ka Bloks uzņēmumam bija nopelnīt miljons dolāru, ja St Jude akciju cena būtiski samazinājās, un saglabājās pietiekami zemā līmenī, lai veiktu Abbott Labs iegādi, par ko vienojās.
Pēc Block's labi izplānotu uzbrukumu, St Jude nekavējoties atlaists ar stingri formulētiem preses relīzes, lai Bloks apgalvojumiem bija "pilnīgi nepatiesi." St Jude arī iesūdzēja Muddy Waters, LLC par iespējami izplatītu nepatiesu informāciju, lai manipulētu ar St Jude akciju cenas. Savukārt neatkarīgie izmeklētāji izskatīja St Jude neaizsargātības jautājumu un nonāca pie dažādiem secinājumiem. Viena grupa apstiprināja, ka St Jude ierīces ir īpaši neaizsargātas pret kiberuzbrukumiem; cita grupa secināja, ka viņi nav. Viss jautājums tika svītrots FDA klēpī, kas uzsāka intensīvu izmeklēšanu, un mazliet tika uzklausīts par šo jautājumu vairākus mēnešus.
Šajā laikā St Jude akciju vērtība atguvās lielā mērā, un 2016. gada beigās Abbott iegāde tika veiksmīgi pabeigta.
Tad 2017. gada janvārī vienlaicīgi notika divas lietas. Pirmkārt, FDA izdeva paziņojumu, kurā norādīts, ka ar St. Jude medicīnas ierīcēm patiešām bija problēmas ar kiberdrošību, un šī neaizsargātība patiešām varētu ļaut kiberuzbrukumiem un izmantojumiem, kas varētu kaitēt pacientiem. Tomēr FDA norādīja, ka nav pierādījumu, ka kādā indivīdā tiktu veikta uzlaušana.
Otrkārt, St Jude izlaidusi kiberdrošības programmatūras ielāpu, kas paredzēts, lai būtiski mazinātu iespēju iekļūt to implantējamajās ierīcēs. Programmatūras plāksteris bija paredzēts automātiskai un bezvadu instalēšanai starp St Jude's Merlin.net. FDA ieteica, lai pacienti, kuriem ir šīs ierīces, turpina lietot St Jude bezvadu uzraudzības sistēmu, jo "ieguvumi veselībai, ko pacienti turpina lietot, pārsniedz kiberdrošības risku".
Kur tas atstāj mūs?
Iepriekš minētie faktiski diezgan daudz apraksta faktus, jo mēs sabiedrībā tos pazīstam. Kā cilvēks, kas cieši sadarbojās ar pirmās implantējamās ierīces attālinātās uzraudzības sistēmas izstrādi (nevis St. Jude's), es visu to interpretēju šādi: šķiet skaidrs, ka St. Jude tālvadības uzraudzības sistēmā patiešām bija kiberaizsardzības ievainojamības , un šīs neaizsargātības, šķiet, nav vispārpieņemtas visai nozarei. (Tātad St Jude sākotnējie atteikumi, šķiet, ir pārspīlēti.)
Turklāt ir acīmredzams, ka St Jude ātri pārgāja, lai novērstu šo neaizsargātību, strādājot kopā ar FDA, un FDA galu galā uzskatīja, ka šie pasākumi ir apmierinoši. Faktiski, vērtējot pēc FDA sadarbības un to, ka ar neaizsargātību tika pietiekami apstrādāts ar programmatūras plāksteri, St Jude problēma, šķiet, nav gandrīz tikpat smaga, kā to apgalvoja Mr Block, 2016. gadā ( Tātad, Mr Block sākotnējie paziņojumi, šķiet, ir pārspīlēti). Turklāt korekcijas tika veiktas, pirms kāds tika nodarīts kaitējums.
Neatkarīgi no tā, vai Mr Block atklāts interešu konflikts (ar kuru St. Jude akciju cena pazeminājās, lai nopelnītu viņam lielas naudas summas), iespējams, izraisīja iespējamo kiber risku pārtēriņu, bet tas ir jautājums, kas jāizlemj tiesām .
Pašlaik šķiet, ka, piemērojot korektīvo programmatūras ielāpi, cilvēkiem ar St Jude ierīcēm nav īpašu iemeslu būt pārlieku noraizējušam par uzbrukumu uzlaušanu.
Kāpēc implantējamās sirds ierīces ir neaizsargātas pret kiberuzbrukumu?
Pašlaik lielākā daļa no mums saprot, ka jebkura digitālā ierīce, kuru mēs izmantojam mūsu dzīvē un kas ietver bezvadu sakarus, ir vismaz teorētiski neaizsargāta pret kiberattēlu. Tas ietver jebkuru implantējamu medicīnas ierīci, no kuras visiem ir jāsazinās ar ārpasauli (tas ir, pasaulei ārpus ķermeņa).
Iespēja, ka cilvēkiem vai grupām, kas pieliekas ļaunai, faktiski var nokļūt medicīnas ierīcēs, dažu pēdējo gadu laikā šķiet, ka tas ir vairāk reālu draudu. Ņemot to vērā, publikācijas, kas saistītas ar St Jude neaizsargātību, varētu būt pozitīvi ietekmējušas. Ir skaidrs, ka gan medicīnas ierīču nozare, gan FDA tagad ir ļoti nopietni par šiem draudiem, un tagad tie darbojas ar ievērojamu spēku, lai to izpildītu.
Kāda ir FDA problēma?
FDA uzmanība šim jautājumam ir bijusi jauna uzmanība, kas lielā mērā varētu būt saistīta ar St Jude ierīču pretrunām. 2016. gada decembrī FDA izdeva medicīnisko ierīču ražotājiem 30 lappušu "vadlīniju" dokumentu, izstrādājot jaunu noteikumu kopumu, lai novērstu kibernoziegumus medicīnas ierīcēs, kas jau ir tirgū. (Līdzīgi noteikumi attiecībā uz medicīniskajiem produktiem, kas joprojām tiek izstrādāti, tika publicēti 2014. gadā.) Jaunie noteikumi apraksta, kā ražotājiem vajadzētu pievērsties, lai identificētu un noteiktu tirgoto produktu kiberdrošības neaizsargātību un kā izveidot programmas, lai identificētu un ziņotu par jaunām drošības problēmām.
Bottom Line
Ņemot vērā kiber riskus, kas raksturīgi ar jebkuru bezvadu sakaru sistēmu, daži kiberaizsardzības pakāpi ir neizbēgami ar implantējamām medicīnas ierīcēm. Bet ir svarīgi zināt, ka šajos produktos var iebūvēt aizsardzības līdzekļus, lai padarītu uzlauzšanu par pavisam nelielu iespēju, un pat Mr Block piekrīt, ka lielākajā daļā uzņēmumu tas ir noticis. Ja St Jude agrāk ir bijusi nedaudz lēna par šo jautājumu, šķiet, ka uzņēmums ir izārstējis to negatīvā publicitāte, ko viņi saņēma 2016. Gadā, kas uz laiku nopietni apdraud viņu uzņēmējdarbību. Cita starpā St Jude ir pasūtījusi neatkarīgu Kiber drošības medicīnas konsultatīvo padomi, kas pārraudzīs savus centienus. Citi medicīnas ierīču uzņēmumi varētu sekot šim piemēram. Tādējādi gan FDA, gan medicīnas ierīču ražotāji šo problēmu risina ar lielāku spēku.
Cilvēkiem, kuri ir implantējuši elektrokardiostimulatorus, ICD vai CRT ierīces, noteikti vajadzētu pievērst uzmanību kibernoziegumu problēmai, jo mēs, visticamāk, uzzināsimies par to vairāk laika. Bet šobrīd vismaz šķiet, ka risks ir diezgan mazs, un to, protams, atsver attālas ierīces uzraudzības priekšrocības.
> Avoti:
> FDA. Kjērdrošības ievainojamības, kas identificētas St. Jude medicīnas implantējošajās sirds ierīces un Merlin @ home raidītājs: FDA drošības paziņojums. 2017. gada 9. janvāris.
> Muddy Waters. MW paziņojums par STJ / ABT kiberuzbrukuma paziĦošanu. Preses paziņojums, 2017. gada 9. janvāris.
> St Jude Medical. St Jude Medical paziņo presei par kiberdrošības atjauninājumiem. 2017. gada 9. janvāris.