סנט ג 'וד ו Cyber פגיעות של מכשירים רפואיים
בסוף 2016 ובתחילת שנת 2017, דיווחי החדשות העלו את רוח הרפאים כי אנשים בעלי כוונות רעות עלולים לפרוץ למכשיר רפואי מושתל של אדם ולגרום לבעיות חמורות. באופן ספציפי, המכשירים הנדונים משווקים על ידי St. Jude Medical, Inc וכוללים קוצבי לב (אשר מטפלים ברדיקרדיה ובלב לב סינוס ), דפיברילטורים מושתלים (ICD) (המטפלים בפרקי טכיקרדיה חדרית ופרפור חדריית ) ומכשירים CRT (אשר לטפל באי ספיקת לב ).
דיווחי חדשות אלה אולי עוררו חששות בקרב אנשים שיש להם מכשירים רפואיים אלה מבלי להציב את הנושא בפרספקטיבה מספקת.
האם מושתלים התקפי לב בסיכון להתקפות סייבר? כן, מכיוון שכל התקן דיגיטלי הכולל תקשורת אלחוטית הוא לפחות פגיע מבחינה תיאורטית, כולל קוצבי לב, מכשירי ICD וכלי CRT. אבל עד כה, התקפה סייבר בפועל נגד כל אלה מכשירים מושתלים מעולם לא תועד. ו (תודה רבה על פרסום לאחרונה על פריצה, הן של מכשירים רפואיים של פוליטיקאים), ה- FDA ואת יצרני המכשיר עובדים כעת קשה כדי לתקן את כל הפגיעויות.
סנט ג'וד התקני לב פריצה
הסיפור הראשון נשבר באוגוסט 2016, כאשר קארסון בלוק המפורסם מכרסם בפומבי כי סנט ג'וד היה מוכר מאות אלפי קוצבי לב קוצים, דפיברילטורים והתקנים CRT שהיו פגיעים מאוד פריצה.
בלוק אמר כי חברת סייבר-סיסטמס, שבה הוא משויך (MedSec Holdings, Inc.), ערכה חקירה אינטנסיבית וגילתה כי התקני סנט ג'וד היו פגיעים במיוחד לפריצה (בניגוד לאותם מכשירים רפואיים שנמכרו על ידי מדטרוניק, בוסטון סיינטיפיק, וחברות אחרות).
בפרט, אמר בלוק, המערכות של סנט ג'וד "חסרות אפילו את ההגנות הביטחוניות הבסיסיות ביותר", כגון מכשירים נגד חבלה, הצפנה וכלי אנטי-באגים, מהסוג הנפוץ בתעשייה.
הפגיעות לכאורה היתה קשורה לניטור האלחוטי המרוחק, שכל המכשירים האלה הכניסו לתוכם. אלה מערכות ניטור אלחוטי נועדו לזהות באופן אוטומטי בעיות המכשיר המתעוררים לפני שהם יכולים לגרום נזק, ולתקשר את הבעיות האלה מיד לרופא. תכונה זו ניטור מרחוק, עכשיו מועסקים על ידי כל יצרני המכשיר, תועד כדי לשפר באופן משמעותי את בטיחות עבור חולים שיש להם מוצרים אלה. מערכת ניטור מרחוק של סנט ג'וד נקרא "Merlin.net".
טענותיו של בלוק היו מדהימות מאוד וגרמו לירידה מיידית במחיר המניה של סנט ג'וד - וזה בדיוק היעד המוצהר של בלוק. ראוי לציין, לפני שהביע את טענותיו על סנט ג'וד, חברתו של בלוק (מאדי ווטרס, ל.ק.), נקטה עמדה קצרה ביותר בסנט ג'וד. פירוש הדבר שחברת בלוק עמדה להרוויח מיליוני דולרים אם המניות של סנט ג'וד ירדו במידה ניכרת, ונותרו נמוכות דיין כדי לרכוש רכישה מוסכמת על ידי אבוט לאבס.
לאחר ההתקפה המפורסמת של בלוק, מיהר ג'ה ג'וד לחזור מיד עם הודעות לעיתונות חריפות, בטענה כי טענותיו של בלוק היו "לא נכונות לחלוטין". סנט ג'וד תבע גם את מאדי ווטרס, LLC על הפצת מידע כוזב כביכול כדי לתמרן את סנט ג'וד מחיר. בינתיים, חוקרים עצמאיים בחנו את שאלת הפגיעות של סנט ג'וד והגיעו למסקנות שונות. קבוצה אחת אישרה כי ההתקנים של סנט ג'וד היו פגיעים במיוחד להתקפת סייבר; קבוצה אחרת הסיקה שהם לא. כל הנושא הוטל בחיקו של ה- FDA, אשר פתחה בחקירה נמרצת, ומעטים נשמעו על כך במשך מספר חודשים.
במהלך אותה תקופה התאוששה מניית סנט ג'וד הרבה מערכה האבוד, ובסוף 2016 הושלמה הרכישה של אבוט בהצלחה.
ואז, בינואר, 2017, שני דברים התרחשו בעת ובעונה אחת. ראשית, ה- FDA פרסמה הצהרה המציינת כי אכן היו בעיות cybersecurity עם מכשירים רפואיים סנט ג 'וד, וכי פגיעות זו יכולה אכן לאפשר חדירות cyber ו מנצל זה עלול להזיק לחולים. עם זאת, ה- FDA ציין כי לא נמצאו עדויות כי פריצה אכן התרחש בכל אדם.
שנית, סנט ג'וד פרסמה תיקון תוכנה cybersecurity שנועדו לצמצם באופן משמעותי את האפשרות של פריצה לתוך התקנים implantable שלהם. תיקון התוכנה נועד להתקין את עצמו באופן אוטומטי ובאופן אלחוטי, על פני Merlin.net סנט ג'וד. ה- FDA המליץ לחולים שיש להם מכשירים אלה להמשיך להשתמש במערכת הניטור האלחוטי של St Jude, שכן "היתרונות הבריאותיים לחולים משימוש מתמשך במכשיר עולים על הסיכונים בתחום הסייברסקוריטי".
איפה זה משאיר אותנו?
האמור לעיל מתאר את העובדות כפי שאנו מכירים אותן בפומבי. כמי שהיה מעורב אינטימי בהתפתחות של מערכת ניטור מרחוק מרחוק המכשיר (לא סנט ג'וד), אני מפרש את כל זה בדרך הבאה: נראה בטוח שהיו אכן פגיעות cybersecurity במערכת ניטור מרחוק סנט ג 'וד , ואת הפגיעויות האלה נראה היה יוצא דופן עבור התעשייה בכללותה. (לכן, ההכחשות הראשוניות של סנט ג'וד נראו מוגזמות.)
יתר על כן, ברור כי סנט ג 'וד עברה במהירות כדי לתקן מחדש את הפגיעות, עובדת בשיתוף עם ה- FDA, וכי צעדים אלה היו בסופו של דבר משביעת רצון על ידי ה- FDA. למעשה, אם לשפוט על פי שיתוף הפעולה של ה- FDA והעובדה שהפגיעות טופלה במידה מספקת באמצעות תיקון תוכנה, הבעיה של סנט ג'וד אינה נראית כמעט חמורה כפי שנטען על ידי מר בלוק ב -2016. לכן, נראה כי הצהרותיו הראשונות של מר בלוק מוגזמות). כמו כן, התיקונים נעשו לפני נפגעים.
אם ניגוד האינטרסים הגלוי של מר בלוק (שבמסגרתו הוריד את מחיר המניה של סנט ג'וד עמד על כסף גדול), היה עלול לגרום לו להפריז בסיכונים הפוטנציאליים של הסייבר, אבל זו שאלה שבתי המשפט ייקבעו .
לעת עתה נראה כי, עם תיקון תוכנה מתקנת להחיל, אנשים עם מכשירים סנט ג 'וד אין סיבה מיוחדת להיות מודאג מדי על התקפות פריצה.
למה הם להשתלות הלב התקנים פגיע להתקפות סייבר?
עכשיו רובנו מבינים שכל מכשיר דיגיטלי שבו אנו משתמשים בחיינו, הכולל תקשורת אלחוטית, הוא לפחות פגיע מבחינה תיאורטית להתקפות אינטרנט. זה כולל כל מכשיר רפואי מושתל, אשר כולם חייבים לתקשר באופן אלחוטי עם העולם החיצון (כלומר, את העולם מחוץ לגוף).
האפשרות שאנשים או קבוצות שהתכופפו על הרוע עלולה למעשה לפרוץ למכשור רפואי, הפכה בשנים האחרונות לאיום ממשי יותר. לאור זה, הפרסום סביב הפגיעות של סנט ג'וד עשוי להיות בעל השפעה חיובית. ברור כי גם תעשיית המכשור הרפואי וגם ה- FDA הם כעת רציניים מאוד לגבי האיום הזה, והם פועלים כעת במרץ רב כדי לעמוד בו.
מה ה- FDA עושה על הבעיה?
תשומת הלב של ה- FDA התמקדה לאחרונה בנושא זה, ככל הנראה במידה רבה בגלל המחלוקת על מכשירים סנט ג'וד. בחודש דצמבר, 2016, ה- FDA פרסם מסמך "הדרכה" בן 30 עמודים עבור יצרנים של מכשירים רפואיים, תוך שהוא מגדיר מערך חדש של כללים לטיפול בפגיעויות אינטרנטיות במכשירים רפואיים שכבר נמצאים בשוק. (כללים דומים לגבי מוצרים רפואיים שעדיין נמצאים בפיתוח, פורסמו ב -2014). הכללים החדשים מתארים כיצד על היצרנים לזהות ולתקן פגיעויות של cybersecurity במוצרים משווקים, וכיצד להקים תוכניות לזיהוי ולדיווח על בעיות אבטחה חדשות.
בשורה התחתונה
בהתחשב בסיכונים הקיברנטיים הקשורים באופן טבעי עם כל מערכת תקשורת אלחוטית, מידה מסוימת של פגיעות הקיברנטי הוא בלתי נמנע עם מכשירים רפואיים מושתלים. אבל חשוב לדעת כי ניתן להגן על ההגנות לתוך מוצרים אלה כדי להפוך פריצה רק אפשרות מרחוק, ואפילו מר בלוק מסכים כי עבור רוב החברות זה קרה. אם סנט ג'וד היה בעבר רופף במקצת בעניין זה, נראה כי החברה נרפא ממנה על ידי פרסום שלילי שהם קיבלו בשנת 2016, אשר במשך זמן מה איים ברצינות העסק שלהם. בין השאר, סיינט ג'וד הזמין ועדת ייעוץ רפואית עצמאית של Cyber Security, שתפקידה לפקח על מאמציה. חברות מכשירים רפואיים אחרים צפויים ללכת בעקבותיו. כך, הן ה- FDA והן יצרני המכשור הרפואי מטפלים בבעיה במרץ מוגבר.
אנשים שיש להם מושתלים קוצבי לב, ICDs או התקנים CRT בהחלט צריך לשים לב לנושא של הפגיעות הקיברנטית, כפי שאנו צפויים לשמוע יותר על זה עם הזמן עובר. אבל לעת עתה, לפחות, הסיכון נראה די קטן, והוא בהחלט overwighed על ידי היתרונות של ניטור המכשיר מרחוק.
> מקורות:
> ה- FDA. Cybersecurity פגיעויות שזוהו ב Stad ג 'וינט רפואי של מכשירים להשתלת הלב ואת מרלין @ משדר הבית: ה- FDA בטיחות תקשורת. 9 בינואר, 2017.
> בוץ ווטרס. MW הצהרה על STJ / ABT הכרה של פגיעות Cyber. הודעה לעיתונות 9 בינואר 2017.
> סנט ג'וד מדיקל. St Jude Medical מכריזה על עדכונים לעיתונות Cybersecurity. 9 בינואר, 2017.