Meditsiiniseadmete St Jude ja Cyber haavatavus
2016. aasta lõpus ja 2017. aasta alguses tõid uudisteavaldused meelde, et halvad kavatsused võivad potentsiaalselt inimestesse siirdada meditsiiniseadmeid ja tekitada tõsiseid probleeme. Täpsemalt, kõnealuseid seadmeid turustab St. Jude Medical, Inc. ning need hõlmavad südamestimulaatoreid (mis tegelevad siinuse bradükardia ja südame blokeerimisega ), implanteeritavad defibrillaatorid (ICDd) (mis ravivad ventrikulaarset tahhükardiat ja ventrikulaarset fibrillatsiooni ) ja CRT-seadmeid (mis ravida südamepuudulikkust ).
Need uudisteagentuurid võivad tekitada kartusi nende inimeste seas, kellel on sellised meditsiiniseadmed, ilma probleemi lahendamata.
Kas implanteeritud südamehaigused on küberrünnakute ohus? Jah, kuna kõik traadita sideühenduse digitaalsed seadmed on vähemalt teoreetiliselt haavatavad, sealhulgas südamestimulaatorid, raadiosidekeskused ja CRT-seadmed. Kuid siiani ei ole tegelikku küberrünnakut ühegi nimetatud implanteeritud seadme vastu kunagi dokumenteeritud. Ja (tänades suures osas hiljutist avalikkust nii meditsiiniseadmete kui ka poliitikute häkkimise kohta) tegelevad praegu FDA ja seadmete tootjad, et parandada selliseid haavatavusi.
Püha Jude südameaded ja häkkimine
Lugu murdis 2016. aasta augustis, mil kuulus lühimüüja Carson Block avalikult teatas, et St. Jude oli müünud sadu tuhandeid implanteeritavaid südamestimulaatoreid, defibrillaatoreid ja CRT-seadmeid, mis olid häkkimise eest äärmiselt haavatavad.
Block ütles, et küberjulgeoleku firma, millega ta oli seotud (MedSec Holdings, Inc.), tegi intensiivse uurimise ja leidis, et St Jude seadmed olid häkkimise seisukohalt eriliselt haavatavad (erinevalt Medtronici poolt müüdavatest samalaadsetest meditsiiniseadmetest) Boston Scientific ja teised ettevõtted).
Täpsemalt öeldes, Blockis, St Jude süsteemidel "puudusid isegi kõige elementaarsemad turvavarustused", nagu näiteks võltsimisvastased seadmed, krüptimine ja silumisrajatised, mida tavaliselt kasutavad ülejäänud tööstus.
Väidetav haavatavus oli seotud kaugjuhitava traadita seirega, mida kõik need seadmed on neile sisse ehitanud. Need traadita seiresüsteemid on loodud, et automaatselt tuvastada esilekerkivate seadmete probleemid enne, kui need võivad kahjustada, ning edastavad need probleemid koheselt arstile. Kõigi seadmete tootjate poolt praegu kasutatav kaugseire funktsioon on dokumenteeritud, et oluliselt parandada ohutust patsientidel, kellel on kõnealused tooted. St Jude kaugseire süsteemi nimetatakse "Merlin.net".
Blocki väited olid üsna tähelepanuväärsed ja põhjustasid St Jude aktsia hinna viivitamatu vähenemise, mis oli täpselt Blocki poolt väljapakutud eesmärk. Pange tähele, et enne oma väidete esitamist Püha Jude kohta oli Blocki ettevõte (Muddy Waters, LLC) võtnud pika Jüri lühikese positsiooni. See tähendas seda, et Blocki ettevõte seisis miljoneid dollareid teenides, kui St Jude aktsia langes oluliselt ja jäi piisavalt madalaks, et skannida Abbott Labsi poolt kokkulepitud omandamist.
Pärast Bloketi kuulutatud rünnakut lasi St Jude viivitamatult tagasi tugevalt sõnastatud pressiteadetest selle kohta, et Blocki väited olid "täiesti ebaõiged". St Jude kaevatas Muddy Waters, LLC väidetavalt valeandmete levitamise eest, et manipuleerida Püha Jude aktsiahinnad. Vahepeal vaatasid sõltumatud uurijad Püha Jude haavatavuse küsimust ja jõudsid teistsugustele järeldustele. Üks rühm kinnitas, et Püha Jude seadmed olid küberrünnakute suhtes eriti tundlikud; teine rühm järeldas, et nad ei olnud. Kogu küsimus lükati FDA ringi, mis käivitas jõulise uurimise, ja sellest ei kuulu mitu kuud vähe.
Selle aja jooksul kogus St Jude aktsia märkimisväärset osa oma kadunud väärtusest ja 2016. aasta lõpus jõudis Abbotti omandamine edukalt.
Siis, jaanuaris 2017, toimus samaaegselt kaks asja. Esiteks avaldas FDA avaldust, mis viitab sellele, et St. Jude meditsiiniseadmetega on tõepoolest tegemist küberjulgeoleku probleemidega ja et see haavatavus võib tõepoolest lubada küberrünnakute ja -kasutamiste, mis võivad osutuda patsientidele kahjulikuks. Kuid FDA märkis, et ei leitud ühtegi tõendit selle kohta, et häkkimine oleks tegelikult aset leidnud mis tahes isikul.
Teiseks vabastas St. Jude küberjulgeoleku tarkvarapakett, mille eesmärk on oluliselt vähendada nende implanteeritavate seadmete häkkimist. Tarkvara plaaster oli kavandatud automaatselt ja juhtmevabalt installima kogu St Jude'i Merlin.net-i kaudu. FDA soovitas, et nende seadmetega patsiendid kasutaksid jätkuvalt St Jude traadita seiresüsteemi, sest "tervise kasulikkus patsientidele seadme jätkuvast kasutamisest kaalub üles küberjulgeoleku ohud".
Kust see jätab meid?
Eelnevast kirjeldab päris palju fakte, nagu me avalikkuses neid teame. Kuna keegi, kes oli tihedalt seotud esimese implanteeritava seadme kaugseiresüsteemi väljatöötamisega (mitte St. Jude's), tõlgendan seda kõike järgmiselt: tundub kindel, et St Jude kaugseiresüsteemis oli tõepoolest küberjulgeoleku haavatavus , ja tundub, et need turvaaukud on tööstusharu jaoks üldiselt tavalised. (Seega on St. Jude algsed keeldumised ületatud.)
Veelgi enam, on ilmne, et Püha Jude kolis kiiresti selle haavatavuse leevendamiseks koostöös FDA-ga ja FDA pidas neid samme lõpuks heaks. Tõepoolest, FDA koostöö tõttu ja asjaolu poolest, et haavatavust tarkvaraplaadiga piisavalt töödeldi, ei tundu Püha Jude probleem peaaegu sama tõsine, nagu hr Block teatas 2016. aastal ( Nii tundub, et hr Block'i esialgsed avaldused on liialdatud). Lisaks korrigeeriti neid enne, kui keegi kahjustus sai.
Ükskõik, kas hr Blocki selge huvide konflikt (mille kohaselt pidi Jude aktsiahinna langetamine piirama suuri taala), oleks võinud tuua kaasa võimaliku küberriskide ülekandmise, kuid see on kohtule küsimus .
Praegu tundub olevat tõenäoline, et rakendatud parandusprotokolli plaastri puhul ei ole St Jude seadmetega inimestel eriti põhjust rünnakute häkkimise eest liiga suurt muret tunda.
Miks on implanteeritavad südamehaigused küberrünnakute suhtes haavatavad?
Praegu on enamik meist aru saanud, et igasugune digitaalne seade, mida me kasutame oma elus ja mis hõlmab traadita side, on vähemalt teoreetiliselt küberkahjustuse suhtes haavatav. See hõlmab mistahes implanteeritavat meditsiinilist seadet, millest kõik peavad suhelda juhtmeta välismaailmaga (see tähendab maailma väljaspool keha).
Võimalus, et inimesed või kuritegelikud rühmitused võivad meditsiiniseadmetesse häkkida, on viimastel aastatel tundu enam tõeliseks ohuks. Selles valguses võib Pühi Jude haavatavate kohtade ümberkujundamine avaldada positiivset mõju. On selge, et nii meditsiiniseadmete tööstus kui ka FDA on nüüd selle ohu suhtes väga tõsised ja tegutsevad nüüd märkimisväärse jõuga selle saavutamiseks.
Mis on FDA probleemist?
FDA tähelepanu on selles küsimuses äsja keskendunud, tõenäoliselt suurel määral vaidlusküsimuste pärast St Jude seadmete puhul. FDA avaldas 2016. aasta detsembris meditsiiniseadmete tootjate jaoks 30-leheküljeline "juhendamisdokumendi", milles kehtestati uued eeskirjad, mis käsitlevad juba turul olevate meditsiiniseadmete küberjulgeoleku probleeme. (Sarnased eeskirjad väljatöötatavate meditsiinitoodete kohta avaldati 2014. aastal.) Uued eeskirjad kirjeldavad, kuidas tootjad peaksid turustatavate toodete küberjulgeoleku turvaaukude kindlakstegemiseks ja kindlaksmääramiseks ning uute turvaprobleemide tuvastamiseks ja neist teavitamiseks koostama programme.
Alumine rida
Arvestades küberriske, mis on omakorda seotud mis tahes traadita side süsteemiga, on mõningane küberohuohtlikkus implanteeritavate meditsiiniseadmetega vältimatu. Kuid on oluline teada, et sellistes toodetes saab sisse ehitada kaitsemehhanisme, et muuta häkkimine lihtsalt kaugjuurdepääsuks, ja isegi hr Block nõustub, et enamik ettevõtteid on seda juhtunud. Kui Püha Jude on sellel teemal varem olnud mõnevõrra lahe, tundub, et ettevõte on seda kahelnud 2016. aastal saadud negatiivse reklaami tõttu, mis mõnda aega ähvardas tõsiselt äritegevust. Muuhulgas on St Jude tellinud sõltumatu küberturbe meditsiinilise nõuandekogu, kes jälgib oma jõupingutusi. Muud meditsiiniseadmete ettevõtted järgivad tõenäoliselt seda eeskuju. Nii FDA kui ka meditsiiniseadmete tootjad tegelevad probleemiga suurema jõuga.
Inimesed, kes on implanteerinud südamestimulaatoreid, südamestimulaatorit või CRT-seadmeid, peaksid kindlasti tähelepanu pöörama küberriskile, sest tõenäoliselt kuuleme seda rohkem kui aeg. Kuid praegu on risk tundu olevat üsna väike ja kahtlemata kaalub kaugseadme seire eeliseid.
> Allikad:
> FDA Püha Jude meditsiini implantseeruva südameadme ja Merlin @ home saateja tuvastatud küberjulgeoleku haavandid: FDA ohutuse teatis. 9. jaanuar 2017.
> Muddy Waters. MW avaldus STJ / ABT Cyber haavatavuste tunnustamise kohta. Pressiteade 9. jaanuaril 2017.
> St Jude Medical. St Jude Medical kuulutab välja pressiteate küberjulgeoleku ajakohastuste kohta. 9. jaanuar 2017.