Το St Jude και το Cyber ευπάθεια των ιατρικών συσκευών
Στα τέλη του 2016 και στις αρχές του 2017, οι ειδήσεις έθεσαν το φάντασμα ότι τα άτομα με κακές προθέσεις θα μπορούσαν ενδεχομένως να εισχωρήσουν στην εμφυτεύσιμη ιατρική συσκευή ενός ατόμου και να προκαλέσουν σοβαρά προβλήματα. Συγκεκριμένα, οι εν λόγω συσκευές κυκλοφορούν στο εμπόριο από την St. Jude Medical, Inc. και περιλαμβάνουν βηματοδότες (οι οποίοι αντιμετωπίζουν φλεβοκομβική βραδυκαρδία και καρδιακό αποκλεισμό ), εμφυτεύσιμους απινιδωτές (ICD) (που θεραπεύουν κοιλιακή ταχυκαρδία και κοιλιακή μαρμαρυγή ) και συσκευές CRT θεραπεία καρδιακής ανεπάρκειας ).
Αυτές οι ειδήσεις μπορεί να έχουν προκαλέσει φόβους στους ανθρώπους που έχουν αυτά τα ιατρικά βοηθήματα χωρίς να θέσουν το ζήτημα σε επαρκή προοπτική.
Εμφυτεύονται καρδιακές συσκευές σε κίνδυνο για επιθέσεις στον κυβερνοχώρο; Ναι, επειδή οποιαδήποτε ψηφιακή συσκευή που περιλαμβάνει ασύρματη επικοινωνία είναι τουλάχιστον θεωρητικά ευάλωτη, συμπεριλαμβανομένων των βηματοδοτών, των συσκευών ICD και των συσκευών CRT. Μέχρι τώρα, όμως, δεν έχει τεκμηριωθεί ποτέ η επίθεση στον κυβερνοχώρο ενάντια σε οποιαδήποτε από αυτές τις εμφυτευμένες συσκευές. Και (χάρη σε μεγάλο βαθμό στην πρόσφατη δημοσιότητα σχετικά με την πειρατεία, τόσο των ιατρικών συσκευών όσο και των πολιτικών), ο FDA και οι κατασκευαστές συσκευών εργάζονται τώρα σκληρά για να επιδιορθώσουν οποιαδήποτε τέτοια τρωτότητα.
Καρδιακές συσκευές St. Jude και Hacking
Η ιστορία έσπασε για πρώτη φορά τον Αύγουστο του 2016 όταν ο φημισμένος πωλητής Carson Block ανακοίνωσε δημοσίως ότι ο Άγιος Ιούδας πωλούσε εκατοντάδες χιλιάδες εμφυτεύσιμους βηματοδότες, απινιδωτές και συσκευές CRT που ήταν εξαιρετικά ευάλωτες στην πειρατεία.
Ο μπλοκ ανέφερε ότι μια εταιρεία στον κυβερνοχώρο με την οποία ήταν συνδεδεμένη (MedSec Holdings, Inc.) είχε κάνει μια εντατική έρευνα και διαπίστωσε ότι οι συσκευές St. Jude ήταν εξαιρετικά ευάλωτες στην πειρατεία (σε αντίθεση με τα ίδια είδη ιατρικών συσκευών που πωλούνται από τη Medtronic, Boston Scientific, και άλλες εταιρείες).
Συγκεκριμένα, σύμφωνα με το μπλοκ, τα συστήματα St. Jude "στερήθηκαν ακόμη και τις πιο βασικές αμυντικές υπηρεσίες ασφαλείας", όπως συσκευές προστασίας από παραβιάσεις, κρυπτογράφηση και εργαλεία αντιμετώπισης σφαλμάτων, όπως συνήθως χρησιμοποιούνται από τον υπόλοιπο κλάδο.
Η εικαζόμενη ευπάθεια αφορούσε την απομακρυσμένη, ασύρματη παρακολούθηση όλων αυτών των συσκευών που έχουν ενσωματωθεί σε αυτές. Αυτά τα ασύρματα συστήματα παρακολούθησης έχουν σχεδιαστεί για να ανιχνεύουν αυτόματα τα αναδυόμενα προβλήματα των συσκευών προτού να είναι σε θέση να προκαλέσουν βλάβη και να επικοινωνήσουν αμέσως αυτά τα προβλήματα στον γιατρό. Αυτή η λειτουργία απομακρυσμένης παρακολούθησης, που χρησιμοποιείται τώρα από όλους τους κατασκευαστές συσκευών, έχει τεκμηριωθεί ώστε να βελτιώσει σημαντικά την ασφάλεια για τους ασθενείς που έχουν αυτά τα προϊόντα. Το απομακρυσμένο σύστημα παρακολούθησης του St. Jude ονομάζεται "Merlin.net".
Οι ισχυρισμοί του Block ήταν αρκετά εντυπωσιακοί και προκάλεσαν άμεση πτώση της τιμής του μετοχικού κεφαλαίου του St. Jude - που ήταν ακριβώς ο στόχος του Block. Σημειωτέον, πριν προβεί σε καταγγελίες για τον St. Jude, η εταιρεία Block (Muddy Waters, LLC), είχε λάβει σημαντική θέση στο St. Jude. Αυτό σήμαινε ότι η εταιρία του Block θα κέρδιζε εκατομμύρια δολάρια εάν το απόθεμα του St Jude έπεσε σημαντικά και παρέμεινε αρκετά χαμηλό για να αποτύχει μια συμφωνημένη απόκτηση από την Abbott Labs.
Μετά από την επίσημη ανακοίνωση του Block, ο St Jude πυροδότησε αμέσως με έντονα διατυπωμένα δελτία τύπου ότι οι κατηγορούμενοι του Block ήταν "απολύτως αναληθές". Ο St. Jude μήνυσε επίσης Muddy Waters, LLC για φερόμενη διάδοση ψευδών πληροφοριών για να χειριστεί το St. Jude's τιμές μετοχών. Εν τω μεταξύ, ανεξάρτητοι ερευνητές εξέτασαν το ζήτημα ευπάθειας του St. Jude και κατέληξαν σε διαφορετικά συμπεράσματα. Μια ομάδα επιβεβαίωσε ότι οι συσκευές του St. Jude ήταν ιδιαίτερα ευάλωτες σε επιθέσεις στον κυβερνοχώρο. μια άλλη ομάδα κατέληξε ότι δεν ήταν. Το όλο ζήτημα έπεσε στην αγκαλιά του FDA, το οποίο ξεκίνησε μια σθεναρή έρευνα και ελάχιστα ακούστηκαν για το θέμα εδώ και αρκετούς μήνες.
Κατά το διάστημα αυτό το απόθεμα του St. Jude ανακτούσε μεγάλο μέρος της χαμένης αξίας του και στα τέλη του 2016 η εξαγορά από την Abbott ολοκληρώθηκε με επιτυχία.
Στη συνέχεια, τον Ιανουάριο του 2017, δύο πράγματα συνέβησαν ταυτόχρονα. Πρώτον, η FDA δημοσίευσε μια δήλωση που δηλώνει ότι υπήρχαν πράγματι προβλήματα ασφάλειας στον κυβερνοχώρο με τις ιατρικές συσκευές St. Jude και ότι αυτή η ευπάθεια θα μπορούσε πράγματι να επιτρέψει παρεμβολές στον κυβερνοχώρο και εκμεταλλεύσεις που θα μπορούσαν να αποδειχθούν επιβλαβείς για τους ασθενείς. Ωστόσο, η FDA επεσήμανε ότι δεν έχει βρεθεί καμία απόδειξη ότι η πειρατεία είχε λάβει χώρα σε οποιοδήποτε άτομο.
Δεύτερον, ο St. Jude κυκλοφόρησε μια ενημερωμένη έκδοση κώδικα λογισμικού για την ασφάλεια του κυβερνοχώρου, η οποία αποσκοπεί να μειώσει σημαντικά την πιθανότητα hacking στις εμφυτεύσιμες συσκευές τους. Η ενημερωμένη έκδοση κώδικα λογισμικού σχεδιάστηκε για να εγκατασταθεί αυτόματα και ασύρματα, σε όλη την Merlin.net του St. Jude. Το FDA συνέστησε στους ασθενείς που διαθέτουν αυτές τις συσκευές να συνεχίσουν να χρησιμοποιούν το σύστημα παρακολούθησης ασύρματης επικοινωνίας του St Jude, αφού "τα οφέλη για την υγεία των ασθενών από τη συνεχή χρήση της συσκευής υπερτερούν των κινδύνων στον κυβερνοχώρο".
Πού μας αφήνει αυτό;
Τα προηγούμενα περιγράφουν λίγο πολύ τα γεγονότα, όπως τα γνωρίζουμε από το κοινό. Ως κάποιος που ασχολήθηκε στενά με την ανάπτυξη του πρώτου συστήματος απομακρυσμένης παρακολούθησης συσκευών (όχι του St. Jude's), ερμηνεύω όλα αυτά με τον ακόλουθο τρόπο: Φαίνεται βέβαιο ότι υπήρχαν πράγματι ευπάθειες στον κυβερνοχώρο στο απομακρυσμένο σύστημα παρακολούθησης St. Jude , και αυτά τα τρωτά σημεία φαίνεται να ήταν απροσδόκητα για τη βιομηχανία γενικότερα. (Επομένως, οι αρχικές αρνήσεις του Αγίου Ιούδου φαίνεται να ήταν υπερβολικές.)
Επιπλέον, είναι φανερό ότι ο Άγιος Ιούδας κινήθηκε γρήγορα για την αποκατάσταση αυτής της ευπάθειας, σε συνεργασία με την FDA, και ότι αυτά τα βήματα κρίθηκαν τελικά ικανοποιητικά από τον FDA. Στην πραγματικότητα, κρίνοντας από τη συνεργασία της FDA και το γεγονός ότι η ευπάθεια αντιμετωπίστηκε επαρκώς μέσω ενός λογισμικού, το πρόβλημα του St. Jude φαίνεται να μην είναι τόσο σοβαρό όσο είχε ισχυριστεί ο κ. Block το 2016. ( Έτσι, οι αρχικές δηλώσεις του κ. Block φαίνεται να ήταν υπερβολικές). Επιπλέον, οι διορθώσεις έγιναν πριν κάποιος τραυματιστεί.
Είτε η εμφανής σύγκρουση συμφερόντων του κ. Block (που οδήγησε στη μείωση της τιμής του μετοχικού κεφαλαίου του St Jude για να τον καθαρίσει μεγάλα δολάρια), μπορεί να τον είχε προκαλέσει να υπερβεί τους πιθανούς κινδύνους στον κυβερνοχώρο, αλλά αυτό είναι ένα ερώτημα για το δικαστήριο να καθορίσει .
Προς το παρόν φαίνεται πιθανό ότι, με την εφαρμογή διορθωτικού λογισμικού, τα άτομα με συσκευές St. Jude δεν έχουν ιδιαίτερο λόγο να ανησυχούν υπερβολικά για τις επιθέσεις κατά του hacking.
Γιατί είναι οι εμφυτεύσιμες καρδιακές συσκευές ευάλωτες στην Cyber Attack;
Μέχρι τώρα οι περισσότεροι από εμάς συνειδητοποιούμε ότι οποιαδήποτε ψηφιακή συσκευή που χρησιμοποιούμε στη ζωή μας που περιλαμβάνει ασύρματη επικοινωνία είναι τουλάχιστον θεωρητικά ευάλωτη στο cyberattack. Αυτό περιλαμβάνει οποιαδήποτε εμφυτεύσιμη ιατρική συσκευή, όλα τα οποία πρέπει να επικοινωνούν ασύρματα με τον έξω κόσμο (δηλαδή τον κόσμο έξω από το σώμα).
Η πιθανότητα ότι οι άνθρωποι ή οι ομάδες που καμφθούν στο κακό θα μπορούσαν στην πραγματικότητα να εισβάλουν σε ιατρικές συσκευές, τα τελευταία χρόνια, έρχονταν να φαίνονται περισσότερο μια πραγματική απειλή. Υπό το πρίσμα αυτό, η δημοσιότητα γύρω από τα τρωτά σημεία του St. Jude μπορεί να είχε θετικό αποτέλεσμα. Είναι σαφές ότι τόσο η βιομηχανία ιατρικών συσκευών όσο και ο FDA είναι τώρα πολύ σοβαροί για αυτήν την απειλή και τώρα ενεργούν με μεγάλη αποφασιστικότητα για να την αντιμετωπίσουν.
Τι κάνει η FDA για το πρόβλημα;
Η προσοχή του FDA έχει πρόσφατα επικεντρωθεί σε αυτό το ζήτημα, πιθανώς σε μεγάλο βαθμό λόγω της διαμάχης σχετικά με τις συσκευές St. Jude. Τον Δεκέμβριο του 2016, η FDA δημοσίευσε ένα έγγραφο 30 κατευθυντηρίων γραμμών για τους κατασκευαστές ιατρικών συσκευών, το οποίο περιλαμβάνει ένα νέο σύνολο κανόνων για την αντιμετώπιση των ευάλωτων στον κυβερνοχώρο ιατρικών συσκευών που βρίσκονται ήδη στην αγορά. (Οι ίδιοι κανόνες για τα ιατρικά προϊόντα που βρίσκονται ακόμη σε εξέλιξη δημοσιεύθηκαν το 2014.) Οι νέοι κανόνες περιγράφουν τον τρόπο με τον οποίο οι κατασκευαστές θα πρέπει να εντοπίσουν και να καθορίσουν τις ευπάθειες στον τομέα της ασφάλειας του κυβερνοχώρου στα προϊόντα που διατίθενται στο εμπόριο και πώς να δημιουργήσουν προγράμματα για τον εντοπισμό και την αναφορά νέων προβλημάτων ασφάλειας.
Η κατώτατη γραμμή
Λαμβάνοντας υπόψη τους κινδύνους του κυβερνοχώρου που συνδέονται εγγενώς με οποιοδήποτε σύστημα ασύρματης επικοινωνίας, κάποιος βαθμός ευπάθειας στον κυβερνοχώρο είναι αναπόφευκτος με εμφυτεύσιμες ιατρικές συσκευές. Αλλά είναι σημαντικό να γνωρίζουμε ότι μπορούν να ενσωματωθούν μέσα σε αυτά τα προϊόντα άμυνας, ώστε να γίνει η απάτη μια απομακρυσμένη δυνατότητα, ακόμα και ο κ. Block συμφωνεί ότι αυτό συνέβη στις περισσότερες επιχειρήσεις. Εάν ο Άγιος Ιούδας ήταν προηγουμένως κάπως χαλαρός σε αυτό το θέμα, η εταιρεία φαίνεται να έχει θεραπευθεί από την αρνητική δημοσιότητα που έλαβε το 2016, η οποία για καιρό απειλούσε σοβαρά την επιχείρησή τους. Μεταξύ άλλων, ο Άγιος Ιούδας έχει αναθέσει σε ανεξάρτητο ιατρικό συμβουλευτικό συμβούλιο της Cyber Security να επιβλέπει τις προσπάθειές του να προχωρήσει. Άλλες εταιρείες ιατρικών συσκευών είναι πιθανό να ακολουθήσουν το παράδειγμα. Έτσι, τόσο η FDA όσο και οι κατασκευαστές ιατρικών συσκευών αντιμετωπίζουν το θέμα με αυξημένη σφριγηλότητα.
Τα άτομα που έχουν εμφυτεύσει βηματοδότες, συσκευές ICD ή συσκευές CRT πρέπει σίγουρα να δώσουν προσοχή στο θέμα της ευπάθειας του κυβερνοχώρου, καθώς πιθανότατα θα ακούσουμε περισσότερα σχετικά με το πέρασμα του χρόνου. Αλλά για τώρα, τουλάχιστον, ο κίνδυνος φαίνεται να είναι πολύ μικρός και ασφαλώς αντισταθμίζεται από τα οφέλη της απομακρυσμένης παρακολούθησης των συσκευών.
> Πηγές:
> FDA. Ασθένειες ευπάθειας στον κυβερνοχώρο που εντοπίζονται στις εμφυτεύσιμες καρδιακές συσκευές του St. Jude Medical και στο πομπό Merlin @ home: ανακοίνωση ασφάλειας της FDA. 9 Ιανουαρίου 2017.
> Μουντί Νερά. Δηλώσεις MW σχετικά με τη βεβαίωση STJ / ABT για τα ευάλωτα χαρακτηριστικά του Cyber. Δελτίο τύπου 9 Ιανουαρίου 2017.
> St Jude Medical. Η St Jude Medical ανακοινώνει την ανακοίνωση τύπου Cybersecurity Updates. 9 Ιανουαρίου 2017.