Krajem 2016. i početkom 2017. godine, vijesti su podigli mišljenje da ljudi s lošim namjerama mogu potencijalno ugroziti implantabilni medicinski uređaj pojedinca i izazvati ozbiljne probleme. Konkretno, uređaji u pitanju prodavali su tvrtka St. Jude Medical Inc., a uključuju pacemakers (koji se bave sinusna bradikardija i srčani blok), implantabilni defibrilatori (ICD) (koji liječe ventrikularnu tahikardiju i ventrikularnu fibrilaciju) i CRT uređaje (koji liječiti zatajenje srca).
Ta novinska izvješća možda su izazvala strahove među ljudima koji imaju ove medicinske uređaje bez postavljanja pitanja u dovoljnu perspektivu.
Jesu li implantirani srčani uređaji u opasnosti za cyber napada? Da, jer je svaki digitalni uređaj koji uključuje bežičnu komunikaciju barem teoretski ranjiv, uključujući pacemakers, ICD i CRT uređaje. Ali do sada, stvarni kibernetički napad na bilo koji od ovih ugrađenih uređaja nikada nije dokumentiran. I (zahvaljujući velikom dijelu nedavnog publiciteta o sjeckanju, i medicinskih uređaja i političara), FDA i proizvođači uređaja sada naporno rade na zakrpavanju takvih ranjivosti.
Sveti Jude kardiovaskularni uređaji i hakiranje
Priča je najprije prekinuta u kolovozu 2016. kada je poznati kratkodlaki Carson Block javno objavio da je St. Jude prodavao stotine tisuća implantacijskih pejsmejaka, defibrilatora i CRT uređaja koji su bili iznimno ranjivi na sjeckanje ,
Block je izjavio da je tvrtka za zaštitu cybersecuritya s kojom je bio povezan (MedSec Holdings, Inc.), izvršio intenzivnu istragu i utvrdio da su uređaji St. Jude jedinstveno osjetljivi na hakiranje (za razliku od istih vrsta medicinskih proizvoda koje je prodao Medtronic , Boston Scientific i druge tvrtke).
Posebno, rekao je Block, sustavi St. Jude "nedostajali su čak i najosnovnija sigurnosna obrana", poput uređaja za zaštitu od neovlaštenih prijetnji, enkripcije i alata za uklanjanje pogrešaka, vrste koja se obično koristi u ostatku industrije.
Navodna ranjivost bila je povezana s daljinskim, bežičnim praćenjem svih tih uređaja ugrađenih u njih. Ovi bežični sustavi nadzora osmišljeni su za automatsko prepoznavanje problema s novim uređajima prije nego što mogu prouzročiti štetu i odmah prenose ove probleme liječniku. Ova značajka daljinskog nadzora, koju sada rabe svi proizvođači uređaja, dokumentirana je kako bi značajno poboljšala sigurnost pacijenata koji imaju ove proizvode. Sustav daljinskog nadzora St. Jude naziva se "Merlin.net".
Blokovi navodi su bili prilično spektakularni i uzrokovali su neposredno smanjenje dionice St. Judea – što je upravo Blockov cilj. Napomenuvši, prije nego što su svoje tvrdnje o St. Judeu, Blockova tvrtka (Muddy Waters, LLC), u St. Judeu imala veliki položaj. To je značilo da je Blockova tvrtka uspjela zaraditi milijune dolara ako se zaliha sv. Judea znatno smanjila, i ostala dovoljno niska da bi skottirala ugovorenu kupnju tvrtke Abbott Labs.
Nakon Blockovog dobro objavljenog napada, St Jude je odmah otpustio snažne priopćenja za tisak kako bi blokove tvrdnje bile "apsolutno neistinite". Sveti Jude također je tužio Muddy Waters, LLC zbog navodnog širenja lažnih informacija kako bi manipulirao sa St. Judeove cijene dionica. U međuvremenu, nezavisni istražitelji pogledali su pitanje ranjivosti na St. Jude i došli do različitih zaključaka. Jedna grupa je potvrdila da su uređaji Svete Jude posebno osjetljivi na cyber napad; druga skupina zaključuje da nisu. Cijeli je problem stavljen u krilo FDA-e, koji je pokrenuo snažnu istragu, a malo se čulo za nekoliko mjeseci.
Tijekom tog razdoblja zaliha sv. Judea oporavila je veći dio svoje izgubljene vrijednosti, a krajem 2016. godine uspješno je zaključila akvizicija tvrtke Abbott.
Zatim je u siječnju 2017. dogodilo istodobno dvije stvari. Prvo, FDA objavila je izjavu koja ukazuje na postojanje kibernetičkih problema s medicinskim uređajima St. Jude, te da bi ova ranjivost mogla dopustiti cyberintrusije i eksploatacije koje bi mogle dokazati štetne za pacijente. Međutim, FDA je istaknula da nema dokaza da je došlo do hakiranja u bilo kojem pojedincu.
Drugo, St. Jude je objavio patch softver za kibernetiku dizajniran kako bi uvelike umanjio mogućnost hakiranja u njihove implantable uređaje. Softverska zakrpa dizajnirana je kako bi se automatski i bežično instalirala, preko tvrtke St. Jude’s Merlin.net. FDA je preporučila da pacijenti koji imaju te uređaje i dalje koriste bežični nadzorni sustav tvrtke St Jude, budući da "zdravstveno blagotvorno djelovanje pacijenata od daljnjeg korištenja uređaja nadmašuje rizike u cyber-sigurnost."
Gdje nas to ostavlja?
Navedeno ljepušan velik dio opisuje činjenice kao što ih mi u javnosti poznajemo. Kao netko tko je bio blisko uključen u razvoj prvog implantacijskog sustava daljinskog nadzora (a ne St. Judea), to sve protumačim na sljedeći način: Čini se sigurno da su doista postojale ranjivosti cybersecuritya u sustavu daljinskog nadzora St. Jude , i čini se da su ove ranjivosti uobičajene za industriju u cjelini. (Dakle, izgleda da su početni poricaji sv. Judea bili preuveličani.)
Nadalje, očito je da je sveti Jude brzo krenuo da remedira ovu ranjivost, radeći zajedno s FDA, i da su ovi koraci u konačnici bili zadovoljavajući od strane FDA , Zapravo, sudeći prema suradnji FDA i činjenici da je ranjivost dostatno riješena softverskim zakrpama, problem Svetog Judea se ne čini gotovo jednako teškim kao što ju je blokirao gospodin Block 2016. ( Dakle, izgleda da su početne izjave gospodina Blocka bile pretjerane). Nadalje, ispravke su napravljene prije nego što je netko bio povrijeđen.
Je li zagonetan interes gospodina gospodina Blocka (pri čemu je smanjenje dionice St. Judea bilo netočno za njega), moglo bi ga izazvati da nadgleda moguće zanemarivanje internetskih rizika, ali ovo je pitanje za sudove da odrediti.
Za sada se čini vjerojatnim da, s korektivnim zakrpama softvera koji se primjenjuju, osobe s uređajima St. Jude nemaju osobit razlog da se pretjerano brine o napadima na sjeckanje.
Zašto su implantirani srčani uređaji ranjivi na cyber napad?
Do sada većina nas shvaća da je svaki digitalni uređaj koji koristimo u našem životu koji uključuje bežičnu komunikaciju barem teoretski podložan cyberattacku. To uključuje bilo koji implantabilni medicinski uređaj, koji svi moraju bežično komunicirati s vanjskim svijetom (tj. Svijetom izvan tijela).
Mogućnost da se ljudi ili grupe koje su pognute zbog zla zapravo upale u medicinske uređaje, u posljednjih nekoliko godina, postaju više stvarne prijetnje. U tom svjetlu, javnost koja okružuje ranjivost St. Jude mogla je imati pozitivan učinak. Jasno je da su i industrija medicinskih uređaja i FDA sada vrlo ozbiljni u vezi s tom prijetnjom, a sada djeluju s velikom snagom kako bi se zadovoljili.
Što je FDA radi o problemu?
Pozornost FDA-e je novo usmjerena na ovo pitanje, vjerojatno u velikoj mjeri zbog kontroverzi nad uređajima St. Jude. U prosincu 2016. godine FDA je objavila dokument "smjernice" za 30 stranica za proizvođače medicinskih proizvoda, postavljajući novu skup pravila za rješavanje kibernetskih ranjivosti u medicinskim uređajima koji su već na tržištu. (Slična pravila za medicinske proizvode koji su još u razvoju objavljeni su 2014.). Nova pravila opisuju kako proizvođači trebaju krenuti u identificiranju i popravljanju ranjivosti cybersecuritya u prodanim proizvodima te kako uspostaviti programe za prepoznavanje i prijavljivanje novih sigurnosnih problema.
Dno crta
S obzirom na kibernizacijske rizike inherentno povezane s bilo kojim bežičnim komunikacijskim sustavom, neki stupanj cyber ranjivosti je neizbježan s implantabilnim medicinskim uređajima. No, važno je znati da obrana može biti ugrađena u ove proizvode kako bi se sjeckanje činila samo nekom udaljenom mogućnošću, pa je i gospodin Block suglasan da se za većinu tvrtki to dogodilo. Ako je sv. Jude prije bio pomalo lijen u vezi s tim pitanjem, čini se da je tvrtka izliječila negativna javnost koju su zaprimili u 2016. godini, što je neko vrijeme ozbiljno ugrozilo njihovo poslovanje. Između ostalog, St. Jude je naručio neovisnu savjetodavnu komisiju Cyber Security za nadgledanje svojih napora. Druge tvrtke s medicinskim uređajima vjerojatno će slijediti tu odijelo. Dakle, i FDA i proizvođači medicinskih uređaja rješavaju problem s povećanom snagom.
Ljudi koji su implantirali pacemakers, ICDs ili CRT uređaje zasigurno bi trebali obratiti pažnju na pitanje cyber ranjivosti, jer ćemo vjerojatno čuti više o tome kako vrijeme prolazi. No, za sada, barem, čini se da je rizik prilično mali, a zasigurno nadmašuje prednosti daljinskog nadgledanja uređaja.
