St. Jude og Cyber Vulnerability of Medical Devices
I slutningen af 2016 og begyndelsen af 2017 rejste nyhedsrapporteret spøgelsen, at folk med dårlige hensigter potentielt kunne hacke ind i en persons implanterbare medicinsk udstyr og forårsage alvorlige problemer. Specielt markedsføres de pågældende enheder af St. Jude Medical, Inc. og omfatter pacemakere (som behandler sinus bradykardi og hjerteblok ), implanterbare defibrillatorer (ICD'er) (som behandler ventrikulær takykardi og ventrikulær fibrillation ) og CRT-enheder (som behandle hjertesvigt ).
Disse nyhedsrapporter kan have rejst frygt blandt folk, der har disse medicinsk udstyr uden at sætte spørgsmålet i tilstrækkeligt perspektiv.
Er implanterede hjerteanordninger i fare for cyberangreb? Ja, fordi enhver digital enhed, der omfatter trådløs kommunikation, i det mindste er teoretisk sårbar, herunder pacemakere, ICD'er og CRT-enheder. Men hidtil er et faktisk cyberangreb mod nogen af disse implanterede enheder aldrig blevet dokumenteret. Og (takket i vid udstrækning til nyligt offentliggørelse om hacking, både medicinske apparater og politikere) arbejder FDA og enhedsproducenterne nu hårdt for at patchere sådanne sårbarheder.
St. Jude Cardiac Devices and Hacking
Historien brød først i august 2016, da den berømte short-selling Carson Block offentliggjorde, at St. Jude havde solgt hundredtusindvis af implanterbare pacemakere, defibrillatorer og CRT-enheder, der var yderst sårbare over for hacking.
Block sagde, at et cybersikkerhedsfirma, som han var tilknyttet (MedSec Holdings, Inc.), havde foretaget en intensiv undersøgelse og fandt ud af, at St. Jude-enheder var unikt sårbare over for hacking (i modsætning til de samme former for medicinsk udstyr, der blev solgt af Medtronic, Boston Scientific, og andre virksomheder).
Specielt sagde Block, at St. Jude-systemerne "manglede selv de mest grundlæggende sikkerhedsforanstaltninger", som f.eks. Anti-manipulationsapparater, kryptering og anti-debugging-værktøjer, som ofte anvendes af resten af branchen.
Den påståede sårbarhed var relateret til fjernbetjeningen, trådløs overvågning af alle disse enheder har indbygget i dem. Disse trådløse overvågningssystemer er designet til automatisk at registrere problemer med nye enheder, før de kan forårsage skade og straks kommunikere disse problemer med lægen. Denne fjernovervågningsfunktion, som nu er ansat af alle enhedsproducenter, er dokumenteret for at forbedre sikkerheden væsentligt for patienter, der har disse produkter. St. Jude's fjernovervågningssystem hedder "Merlin.net".
Block's påstande var temmelig spektakulære og forårsagede et øjeblikkeligt fald i St. Jude's aktiekurs - hvilket netop var Block's angivne mål. Bemærk, før han havde gjort sine påstande om St. Jude, Block's firma (Muddy Waters, LLC), havde taget en stor kort position i St. Jude. Dette betød, at Block's firma stod for at tjene millioner af dollars, hvis St. Jude's aktie faldt betydeligt, og forblev lav nok til at skaffe et aftalt køb af Abbott Labs.
Efter Block's veludbredte angreb fyrede St. Jude straks tilbage med stærkt formulerede pressemeddelelser, således at Block's påstande var "helt usande." St. Jude sagsøgte også Muddy Waters, LLC for angiveligt at formidle falske oplysninger for at manipulere St. Jude's aktiekurser. I mellemtiden undersøgte uafhængige efterforskere spørgsmålet om St. Jude sårbarhed og kom til forskellige konklusioner. En gruppe bekræftede, at St. Jude's enheder var særligt sårbare for cyberangreb; En anden gruppe konkluderede, at de ikke var. Hele spørgsmålet blev droppet i løbet af FDA'en, som lancerede en kraftig undersøgelse, og der blev ikke hørt noget om sagen i flere måneder.
I løbet af den tid blev St. Jude's aktie genoprettet meget af sin tabte værdi, og i slutningen af 2016 blev Abbott's overtagelse afsluttet med succes.
Derefter skete der i januar 2017 to ting samtidigt. For det første udgav FDA en erklæring om, at der faktisk var cybersikkerhedsproblemer med St. Jude-medicinske anordninger, og at denne sårbarhed faktisk kunne tillade cyberintræktioner og -udnyttelser, som kunne vise sig at være skadelige for patienterne. FDA påpegede imidlertid, at der ikke er fundet bevis for, at hacking faktisk havde fundet sted i nogen enkeltperson.
For det andet udgav St. Jude en software til beskyttelse af cybersecurity, der er designet til i høj grad at mindske muligheden for hacking i deres implanterbare enheder. Software patchen blev designet til at installere sig automatisk og trådløst på tværs af St. Jude's Merlin.net. FDA anbefalede, at patienter, der har disse enheder, fortsat bruger St Jude's trådløse overvågningssystem, da "sundhedsfordele for patienter fra fortsat brug af enheden opvejer cybersikkerhedsrisikoen."
Hvor forlader dette os?
Det ovenstående beskriver stort set fakta, som vi i offentligheden kender dem. Som en person, der var tæt involveret i udviklingen af det første implanterbare enheds fjernovervågningssystem (ikke St. Jude's), fortolker jeg alt dette på følgende måde: Det forekommer sikkert, at der faktisk var cybersikkerheds sårbarheder i det fjerntliggende overvågningssystem St. Jude , og disse sårbarheder synes at have været uhyre almindelige for branchen som helhed. (Så St. Jude's indledende benægtelse synes at have været overdrevet.)
Det fremgår endvidere, at St. Jude hurtigt flyttede for at afhjælpe denne sårbarhed, der fungerede sammen med FDA, og at disse trin i sidste ende blev anset for tilfredsstillende af FDA. Faktisk, at dømme efter FDA's samarbejde og den kendsgerning, at sårbarheden var tilstrækkeligt behandlet ved hjælp af en software patch, synes St. Jude's problem ikke at være næsten lige så alvorligt som Blok havde påstået i 2016. ( Så, Bloks oprindelige udsagn synes at have været overdrevet). Endvidere blev korrektionerne foretaget, før nogen blev skadet.
Om Mr. Block's åbenlyse interessekonflikt (hvorved køre ned St. Jude's aktiekurs stod for at tjene ham store penge), kunne have fået ham til at oversell de potentielle cyberrisici lyder muligt, men det er et spørgsmål for domstolene at bestemme .
For øjeblikket forekommer det sandsynligt, at med korrigerende software patch anvendt, mennesker med St. Jude enheder har ingen særlig grund til at være alt for bekymrede over hacking angreb.
Hvorfor er implantable hjerteanordninger udsatte for cyberangreb?
I dag er de fleste af os klar over, at enhver digital enhed, vi bruger i vores liv, der involverer trådløs kommunikation, i det mindste er teoretisk sårbar overfor cyberattack. Det omfatter enhver implanterbar medicinsk enhed, som alle skal kommunikere trådløst med omverdenen (det vil sige verden uden for kroppen).
Muligheden for at folk eller grupper er bøjet på ondskab, kan faktisk hakke i medicinsk udstyr har i de sidste par år vist sig at være mere af en reel trussel. I lyset heraf kan publiciteten omkring St. Jude-sårbarhederne have haft en positiv effekt. Det er klart, at både medicinsk udstyrsindustrien og FDA er nu meget seriøse over denne trussel og fungerer nu med stor styrke for at møde det.
Hvad laver FDA om problemet?
FDA's opmærksomhed er blevet nyligt fokuseret på dette problem, sandsynligvis i høj grad på grund af kontroversen over St. Jude-enheder. I december 2016 udgav FDA et 30-siders "vejledning" -dokument for producenter af medicinsk udstyr, hvori der blev opstillet et nyt sæt regler for adressering af cybersikkerhed i medicinske apparater, der allerede findes på markedet. (Lignende regler for medicinske produkter, der stadig er under udvikling, blev offentliggjort i 2014.) De nye regler beskriver, hvordan fabrikanter skal gå ud på at identificere og fastsætte cybersikkerhedsproblemer i markedsførte produkter, og hvordan man etablerer programmer til at identificere og rapportere nye sikkerhedsproblemer.
Bundlinjen
På grund af cyberrisikoen forbundet med ethvert trådløst kommunikationssystem er en vis grad af cybersårbarhed uundgåelig med implanterbare medicinske anordninger. Men det er vigtigt at vide, at forsvar kan bygges ind i disse produkter for at gøre hacking bare en fjern mulighed, og selv Mr. Block er enig i, at det for de fleste virksomheder er sket. Hvis St. Jude tidligere har været noget lakse om denne sag, synes virksomheden at have været helbredt af det ved den negative reklame, de modtog i 2016, som for en tid alvorligt truede deres forretning. St. Jude har blandt andet bestilt en uafhængig rådgivende rådgivende rådgivende rådgivende rådgiver for cyber sikkerhed for at overvåge sine bestræbelser fremadrettet. Andre medicinsk udstyr selskaber vil sandsynligvis følge med. Således behandler både FDA og medicinsk udstyrsproducenter problemet med øget styrke.
Folk, der har implanteret pacemakere, ICD'er eller CRT-enheder, bør helt sikkert være opmærksomme på spørgsmålet om cybersårbarhed, da vi sandsynligvis vil høre mere om det som tiden går. Men i det mindste synes risikoen i det mindste for at være ret lille, og det er bestemt opvejet af fordelene ved fjernmonitorovervågning.
> Kilder:
> FDA. Cybersecurity Vulnerabilities Identificeret i St. Jude Medical's Implantable Cardiac Devices og Merlin @ Home Transmitter: FDA Safety Communication. 9. januar 2017.
> Muddy Waters. MW-erklæring om STJ / ABT-anerkendelse af cyber-sårbarheder. Pressemeddelelse 9. januar 2017.
> St Jude Medical. St Jude Medical offentliggør Cybersecurity Updates pressemeddelelse. 9. januar 2017.