Sint Jude en Cyber Vulnerabiliteit fan medyske apparaten
Ein febrewaris 2016 en begjin 2017 hat de nijsberjochten de spesjalite ferwachte dat minsken mei minne yntinsjes potentially harkje kinne yn in yndividu 's implantbere medyske apparaat en serieus problemen. Op it stuit binne de fraachstikken fertsjintwurdige troch St. Jude Medical Inc., en befetsje pacemakers (dy't sinus bradycardia en hertblokje behannelje), implantabele defibrillator (ICDs) (dy't behannele tachycardia en ventrikelige fibrillaasje ) en CRT-apparaten (dy't behannelje hert-mislearring ).
Dizze nijsrapporten kinne frjemden hawwe ûnder minsken dy't dizze medyske apparaten hawwe sûnder dat it probleem yn genôch perspektyf te setten.
Sille implysjoneare kardiogrêven yn risiko foar cyberoanfallen? Ja, om't alle digitale apparaten dy't draadloaze kommunikaasje hawwe, is op syn minst teoretysk kwetsber, ynklusyf pacemakers, ICD's en CRT-apparaten. Mar oant no ta is in feitlike cyberaks tsjin elk fan dizze implantearre apparaten nea dokumintearre. En (tanke yn grut part nei resinte publisiteit oer hacking, sawol medyske apparaten en politisy), de FDA en de apparaten fan fabrikanten wurkje no hurder om sokke kwetsberens oan te pakken.
Sint Jude Cardiac Devices en Hacking
It ferhaal brocht earst yn augustus 2016 doe't ferneamde koarte ferkeaper Carson Block bekend makke dat St. Jude hûnderten tûzenen implantabele pausmakkers, defibrillators en CRT-apparaten ferkocht wiene dy't tige swak wurde foar hacking.
Block said that a cybersecurity company with which he was associated (MedSec Holdings, Inc.) had a intensive investigation and found that St. Jude devices were unusually vulnerable to hacking (in contrast to the same types of medical devices sold by Medtronic, Boston Scientific, en oare bedriuwen).
Benammen de saneamde Block, de Sint Jude-systemen "fûnen sels de measte basisykbefeiligingsfermogen", lykas anti-tampering-apparaten, fersifering en anti-debugging-arken, fan 'e soart allinich brûkt troch de rest fan' e sektor.
De ferkearde kwetsberens wie relatearre oan de ôfstân, draaide kontrôle dat al dizze apparaten yn har boud binne. Dizze draadloze monitoring-sesjes binne ûntworpen om automatysk ûntwikkele apparaatprobleemers automatysk te fekken foardat se skea feroarsaakje kinne en dizze problemen fuortendaliks nei de dokter kommunisearje. Dizze fernielingsfunksje, dy't no brûkt wurdt troch alle apparatuerprodukten, is dokumintearre om de feiligens fêst te stellen foar pasjinten dy't dizze produkten hawwe. Sint-Jude's fernielingssysteemsysteem wurdt neamd "Merlin.net."
Block's ferkundingen wienen tige spektakulêr en feroarsake in direkte drop yn 'e priis fan St. Jude - dat wie krekt blokkearre doel. Fan miening, foardat syn oanslaggen oer Sint Jude, it bedriuw fan Block's (Muddy Waters, LLC), in heule koarte posysje yn Sint Jude hiene. Dat betsjutte dat Bedrijf van Block's stelt om miljoenen dollar te meitsjen as Sint Jude's foarsjenning in substansje foel, en bleau lege genôch om in ôfspraken makke te meitsjen oer akwisysje fan Abbott Labs.
Nei it beslút fan 'e Block, stjûrde St Jude fuortendaliks mei fûlwetske parseferwanten nei it effekt dat de beoardielingen fan Block' absolute ûntrue 'wienen. Sint Jude joech ek Muddy Waters, LLC om te ferklearjen miskien misferstannen om Sint Jude's te manipulearjen stock prices. Underwilens seagen unôfhinklike ûndersikers de fraach nei fragelist fan St. Jude en kamen ta ferskillende konklúzjes. Ien groep befêstige dat Sint Jude's apparaat benammen kwetsber binne foar cyber attacks; In oare groep slute se net. It hiele probleem waard yn 'e rûnte fan' e FDA fallen, dy't in krêftige ûndersyk starten, en in pear moannen hearden fan 'e saak.
Yn dy tiid krige St. Jodie in soad fan syn ferlernde wearde, en yn ein febrewaris 2016 waard de oernoming troch Abbott mei sukses ôfsluten.
Dêrnei, yn jannewaris 2017, binne twa dingen simultaneel bard. Earst befette de FDA in ferklearring dat oanjûn dat der problemen fan cybersekuriteit wienen mei medyske apparatuer fan St. Jude, en dat dizze kwetsberens yndie koe cyber ynturnen en eksploaten soargje dat skealik foar pasjinten bewiist. De FDA hat lykwols oanjûn dat der gjin bewiis foar fûn is dat hacking eins yn elk yndividueel plakfûn is.
Twarens, Sint Jude frijlitten in cybersekuriteit-software-patch, dy't ûntwurpen is om de mooglikheid te meitsjen fan hacking yn har implantabele apparaten. De software patch is ûntwurpen om automatysk en draadlik te ynstallearjen, fia St. Jude's Merlin.net. De FDA rekommandearret dat pasjinten dy't dizze apparaten hawwe brûke fan St Jude's draadloze kontrôlesysteem, om't "de sûnens foardielen foar pasjinten fan fierdere gebrûk fan it apparaat de cybersecurity risiko '."
Wêr leit dat dat ús?
De foarholle beskriuwt it feitlik sa folle as de minsken yn it publyk witte. As immen dy't yntinsyf belutsen wie mei de ûntwikkeling fan it earste ymplantabele systeem fan fernijing (net fan St. Jude's), ik bedoelde alles op 'e folgjende manier: It liket wol geweldich dat der tsjintwurdich feilichheid fan cybersekuriteit yn' e remote-systeem fan Sint Jude , en dizze kwetsberens ferskine gewoan út 'e gewoane tiid foar de yndustry. (Sa, it earste jild fan 'e judees liket te oerdreaun.)
Fierder is it dúdlik dat Sint Jude fluch om dizze kwetsberens te ferhúzjen, wurkje yn gearwurking mei de FDA, en dat dizze stappen úteinlik befredigd binne troch de FDA. It feit dat de problemen troch de gearwurking fan 'e FDA en it feit dat de kwetsberens genôch mei middel fan in softwarepakt behannele waard, liket it probleem fan Sint Jude net sa swier te wêzen as miskien troch Mr. Block yn 2016 oantsjutten. ( Dus, de earste begjinsels fan Mr. Block binne oerdreaun wurden). Fierder waarden de korreksjes makke makke foardat elkenien skea waard.
Oft Mr. Block's útwreidingskonflikt fan belang is (wêrtroch't de rol fan Sint Jude syn priis stie om him grutte botsjes te net te meitsjen), soe hy him liede kinne om de potinsjele cyber risiko 's te klinken, mar dit is in fraach foar de rjochtbanken om te bepalen .
Foar it no is it wierskynlik dat it kin, mei de korrizjearjende software-patch, minsken mei Sint Jude-apparaat hawwe gjin spesifike reden om oeral oandwaan te hawwen oer hacking-oanfallen.
Wêrom binne ymplantabele kardiofoarmberjochten kwetsber foar Cyber Attack?
Hjirmei realisearje de measte fan ús dat alle digitale apparaten dy't wy yn ús libje brûke, dy't draachflakke kommunikaasje hawwe, op syn minst teoretysk kwetsber foar cyberattack. Dat betsjuttet alle implantabele medyske apparaten, dy't allegear draaitlik draaie moatte mei de bûtenwrâld (dat is de wrâld bûten it lichem).
De mooglikheid dat minsken of groepen op it kwea oanbiede kinne feitlik yn medyske apparaten harkje, hawwe, yn 'e lêste jierren, mear as in echte bedriging te sjen. Yn dit ljocht kin de publisiteit om de Sint Jude-frachtigens in positive effekt hawwe. It is dúdlik dat sawol de medyske apparaten yndustry en de FDA no al serieus binne oer dizze bedriging, en binne no aktyf mei grutte krêft om it te foldwaan.
Wat is de FDA te dwaan oer it probleem?
De oandacht fan 'e FDA is nij oprjochte op dit probleem, wierskynlik in grut part fanwege de kontroversje oer St. Jude-apparaten. Yn desimber 2016 hat de FDA in 30-pagina "begelieding" dokumint publisearre foar produkten fan medyske apparaten, in nije set regels foar it adressen fan cyber-kwetsberens yn medyske apparaten dy't al op 'e merk binne. (Lykas regels foar medyske produkten dy't noch ûntwikkele binne yn 2014.) De nije regels beskriuwe hoe't de produksjes oer it identifisearjen en befêstigjen fan cybersechsigens yn 'e merkprodukten komme en hoe' t programma's fêststelle om nije problemen problemen te identifisearjen en te rapportearjen.
De Bottomline
Op grûn fan de cyber risiko 's, dy't harsels ferbûn binne mei alle draadbere kommunikaasjebalken, is in sertifisearje fan cyber kwetsberens ûnmisber mei ymplantbere medyske apparaten. Mar it is wichtich om te witten dat definsjes yn dizze produkten boud wurde om hageljen krekt in fergese mooglikheid te meitsjen, en sels Mr. Block nimt dat foar de measte bedriuwen dit barde. As St. Jude eartiids lekke wie oer dizze saak, it liket it feilich te wêzen fan 'e negative publisiteit dy't se yn 2016 krige, dy't foar in tiid graveard har bedriuw bedroegen. Under oaren hat St. Jude in ûnôfhinklik Cyber Security Medical Advisory Board opdroegen om syn ynspanningen te bewarjen. Oare medyske apparatuer bedriuwen binne wierskynlik suksesfol folgje. Sa binne beide FDA- en medyske apparate fabrikanten it probleem mei adekwate adressen.
Minsken dy't foardwaan hawwe, foardat ICD's of CRT-apparaten besette moatte soene omtinken jaan oan it probleem fan cyber-kwetsberens, lykas wy wierskynlik mear oer it hearre as de tiid troch giet. Maar no, op syn minst, liket it risiko goed te wêzen, en is wis fanwege de foardielen fan remote monitoring fan 'e apparaten.
> Boarnen:
> FDA. CyberSecurity Vulnerabilities identifisearre yn St. Jude Medical's implantable cardiac appliances en Merlin @ home transmitter: FDA Safety Communication. 9 jannewaris 2017.
> Muddy Waters. MW-statement op STJ / ABT oankundiging fan cyber-kwetsberens. Press release 9 jannewaris 2017.
> St Jude Medical. St Jude Medical kundiget Cybersecurity Updates parseberjocht. 9 jannewaris 2017.