St. Jude ja lääketieteellisten laitteiden sähköinen haavoittuvuus
Loppuvuodesta 2016 ja alkuvuodesta 2017 uutisraportit herättivät katsauksen, jonka mukaan ihmiset, joilla on huonoja aikomuksia, saattavat tunkeutua ihmisen implantoitavaan lääkinnälliseen laitteeseen ja aiheuttaa vakavia ongelmia. Erityisesti kyseisiä laitteita markkinoi St. Jude Medical, Inc., ja ne sisältävät sydämentahdistimia (jotka käsittelevät sinusbradykardiaa ja sydämen lohkoa ), implantoitavia defibrillaattoreita ( kammiotakykardia ja kammiovärinä ) ja CRT-laitteita (jotka hoitaa sydämen vajaatoiminta ).
Nämä uutisraportit ovat saattaneet herättää pelkoja ihmisillä, joilla on nämä lääketieteelliset laitteet, ottamatta asiaa riittävästi.
Onko implantoidut sydänlaitteet vaarassa tietoverkkohyökkäyksille? Kyllä, koska jokainen langaton viestintä sisältävä digitaalinen laite on ainakin teoreettisesti haavoittuva, mukaan lukien sydämentahdistimet, ICD-laitteet ja CRT-laitteet. Mutta toistaiseksi todellista tietoverkkohyökkäystä mikään näistä istutetuista laitteista ei ole koskaan dokumentoitu. Ja (kiitos suurelta osin viimeaikaisesta julkisuudesta hakkeroinnista sekä lääkinnällisistä laitteista että poliitikoista), FDA ja laitevalmistajat pyrkivät nyt korjaamaan tällaisia haavoittuvuuksia.
St. Jude Cardiac Devices ja hakkerointi
Tarina räjähti ensimmäisen kerran elokuussa 2016, kun kuuluisa short-seller Carson Block ilmoitti julkisesti, että St. Jude oli myynyt satoja tuhansia implantoitavia sydämentahdistimia, defibrillaattoreita ja CRT-laitteita, jotka olivat erittäin haavoittuvia hakkerointiin.
Block sanoi, että verkkoturvallisuusyritys, jonka kanssa hän oli sidoksissa (MedSec Holdings, Inc.), oli tehnyt intensiivistä tutkimusta ja todennut, että St. Jude -laitteet olivat ainutlaatuisen alttiita hakkerointiin (toisin kuin Medtronic, Boston Scientific ja muut yritykset).
Erityisesti mainittu Block, St. Jude -järjestelmät "puuttuivat jopa kaikkein yksinkertaisimmista tietoturva-asioista", kuten muuntyyppiset suojauslaitteet, salaus ja virheenkorjausvälineet, joita tavallisesti käytetään muualla teollisuudessa.
Väitetty haavoittuvuus liittyi kauko-ohjattavaan, langattomaan valvontaan, jonka kaikki laitteet ovat sisällyttäneet niihin. Nämä langattomat valvontajärjestelmät on suunniteltu havaitsemaan automaattisesti uusien laitteiden ongelmat ennen kuin ne voivat aiheuttaa vahinkoa ja välittää nämä ongelmat välittömästi lääkärille. Tämä kauko-ohjausominaisuus, jota kaikki laitevalmistajat käyttävät, on dokumentoitu parantamaan merkittävästi potilaita, joilla on näitä tuotteita. St. Jude'n kaukovalvontajärjestelmä on nimeltään "Merlin.net".
Blockin väitteet olivat melko upeita ja aiheuttivat välittömästi pudottamalla St. Jude'n osakekurssia - mikä oli juuri Blockin ilmoittama tavoite. Huomaa, ennen kuin hän teki väitteitä St. Judeista, Blockin yritys (Muddy Waters, LLC) oli ottanut merkittävän lyhyen aseman Pyhän Juuteen. Tämä tarkoitti sitä, että Blockin yritys pystyi tekemään miljoonia dollareita, jos St. Jude -varasto laski huomattavasti ja pysyi tarpeeksi alhaisena, jotta Abbott Labs olisi sopinut ostaessaan sopimuksen.
Jälkeen Blokin hyvin julkistettu hyökkäys, St Jude välittömästi ampui voimakkaasti muotoiltuja lehdistötiedotteita siitä, että Blockin väitteet olivat "täysin väärässä." St. Jude myös haastoi Muddy Waters, LLC väitetysti levittää vääriä tietoja manipuloimaan St. Jude's osakkeiden hinnat. Samaan aikaan riippumattomat tutkijat tarkastelivat St. Jude -haavoittuvuuskysymystä ja tulivat eri johtopäätöksiin. Yksi ryhmä vahvisti, että St. Jude'n laitteet olivat erityisen alttiita verkkohyökkäyksille; toinen ryhmä totesi, että he eivät olleet. Koko kysymys pudotettiin FDA: n kierrokselle, joka käynnisti voimakkaan tutkimuksen, ja asiaa ei kuultu vähän kuukausia.
Tuolloin St. Jude's Stock sai takaisin suurimman osan menetyksestä, ja vuoden 2016 lopussa Abbottin yritysosto onnistui onnistuneesti.
Sitten tammikuussa 2017 tapahtui kaksi asiaa samanaikaisesti. Ensinnäkin FDA antoi julkilausuman, jossa todettiin, että St. Jude-lääkinnällisistä laitteista oli todellakin tietoverkkoturvallisuusongelmia ja että tämä haavoittuvuus voisi todellakin sallia verkkohäiriöt ja hyökkäykset, jotka voivat osoittautua haitallisiksi potilaille. Kuitenkin FDA huomautti, että mitään todisteita ei ole todettu, että hakkerointi oli tosiasiassa tapahtunut kenenkään yksilön.
Toiseksi, St. Jude julkaisi verkkoturvallisuuden ohjelmistopäivityksen, joka on suunniteltu heikentämään merkittävästi mahdollisuutta hakata heidän implantoitavissa oleville laitteilleen. Ohjelmistopäivitys on suunniteltu asennettavaksi automaattisesti ja langattomasti St. Jude's Merlin.netin kautta. FDA suositteli, että potilaat, joilla on näitä laitteita, jatkavat St Jude'n langattoman seurantajärjestelmän käyttöä, koska "potilaiden terveydentila hyötyy jatkuvasta käytöstä, kun heillä on suurempi tietoturva-riski".
Mistä tämä jättää meidät?
Edellä mainitut kuvaavat melko paljon tosiasioita, kun me julkisuudessa tiedämme ne. Kuten joku, joka oli läheisessä yhteydessä ensimmäisen implantoitavan laitteen kauko-valvontajärjestelmän (ei St. Jude's) kehittämiseen, tulkitsen kaiken tämän seuraavasti: Näyttää varmalta, että St. Jude -kaukosäätöjärjestelmässä oli tietoturvahaavoittuvuuksia , ja nämä haavoittuvuudet näyttävät olleen tavanomaisia koko teollisuudelle. (Joten, St. Jude: n ensimmäiset epäkohdat näyttävät olevan liioiteltuja.)
Lisäksi on ilmeistä, että St. Jude muutti nopeasti tämän haavoittuvuuden korjaamiseksi ja toimi yhdessä FDA: n kanssa ja että FDA: n lopulta tyydyttävät nämä vaiheet. Itse asiassa FDA: n yhteistyön ja sen perusteella, että haavoittuvuutta on käsitelty riittävästi ohjelmistopäivityskohdan avulla, St. Jude ei näyttäisi olevan yhtä vakava kuin Mr. Blockin vuonna 2016 väitti. ( Joten Mr. Blockin alustavat lausunnot näyttävät olevan liioiteltuja). Lisäksi korjaukset tehtiin ennen kenenkään vahingoittumista.
Olipa Mr. Blockin ilmeinen eturistiriita (jolloin St. Jude'n osakekurssi ajettiin alhaisemmaksi), se olisi saattanut hänet ylittämään potentiaaliset tietoverkkoriskejä, mutta tämä on kysymys siitä, että tuomioistuimet voivat määrittää .
Tällä hetkellä näyttää siltä, että korjaavalla ohjelmistopäivityksellä, jolla on St. Jude -laitteita, ei ole erityistä syytä olla liian huolissaan hakkerointiin.
Miksi implantoitavat sydänkohtaukset ovat haavoittuvia?
Tällä hetkellä useimmat meistä ymmärtävät, että kaikki digitaalisessa laitteessa, jota käytämme elämäämme, joka sisältää langattoman viestinnän, on vähintään teoriassa haavoittuvassa verkkokiihdossa. Siihen kuuluu kaikki implantoitavat lääketieteelliset laitteet, joiden kaikkien on oltava yhteydessä langattomasti ulkomaailman (eli kehon ulkopuolisen maailman) kanssa.
Mahdollisuus, että ihmiset tai ryhmät, jotka ovat taipuneet pahaan, saattavat todellakin torjua lääkinnällisiä laitteita, on viime vuosina tullut enemmän todelliseksi uhaksi. Tässä mielessä St. Jude -haavoittuvuuteen liittyvä julkisuus voi olla myönteinen vaikutus. On selvää, että sekä lääkinnällisten laitteiden teollisuus että FDA ovat nyt hyvin vakavia tämän uhkan suhteen ja toimivat nyt merkittävällä voimalla sen täyttämiseksi.
Mitä FDA tekee ongelmasta?
FDA: n huomio on keskittynyt juuri tähän kysymykseen, todennäköisesti suurelta osin St. Jude -laitteiden kiistelyistä. FDA julkaisi joulukuussa 2016 lääketieteellisten laitteiden valmistajille suunnatun 30-sivuisen "opas" -asiakirjan, jossa esitetään uudet säännöt, jotka koskevat jo markkinoilla olevien lääkinnällisten laitteiden tietoverkkohyökkäyksiä. (Samanlaiset säännöt kehitteillä olevista lääketieteellisistä tuotteista julkaistiin vuonna 2014.) Uudet säännöt kuvaavat, miten valmistajien pitäisi pyrkiä tunnistamaan ja korjaamaan tietoturvahaavoittuvuudet markkinoiduissa tuotteissa sekä luomaan ohjelmia uusien turvallisuusongelmien tunnistamiseksi ja raportoimiseksi.
Bottom Line
Kun otetaan huomioon langattomaan tietoliikennejärjestelmään luonnostaan liittyvät tietoverkkoriski, jonkin verran verkkoalttiutta haavoittuvuus on väistämätön implantoitavien lääkinnällisten laitteiden kanssa. Mutta on tärkeää tietää, että puolustukset voidaan rakentaa näihin tuotteisiin hakkeroinnin tekemiseksi vain kauko-mahdollisuudeksi, ja jopa herra Block sopi, että useimmille yrityksille tämä on tapahtunut. Jos St. Jude on aiemmin ollut hieman laiska asiaa, näyttää siltä, että yhtiö on parantanut sen vuonna 2016 saamansa kielteisen julkisuuden, joka aikoinaan vakavasti uhannut liiketoimintaansa. St. Jude on tilannut muun muassa riippumattoman Cyber Security Medical Advisory Boardin, joka valvoo ponnistelujaan eteenpäin. Muut lääkinnällisten laitteiden valmistajat ovat todennäköisesti seuraamassa. Siksi sekä FDA että lääkinnällisten laitevalmistajat käsittelevät asiaa voimakkaammin.
Ihmisiä, jotka ovat istuttaneet sydämentahdistinta, ICD: itä tai CRT-laitteita, pitäisi kiinnittää huomiota tietokonevälinettä koskevaan ongelmaan, koska me todennäköisesti kuulemme enemmän siitä, kun aika kuluu. Mutta nyt ainakin riskit näyttävät olevan melko pieniä, ja varmasti ylittävät etähallinseurannan edut.
> Lähteet:
> FDA. Pyhän Jude Medicalin implantoitavissa olevat sydänlaitteet ja Merlin @ home -tunnisteiden tunnistetut haavoittuvuudet: FDA: n turvallisuusviestintä. 9. tammikuuta 2017.
> Muddy Waters. MW lausuma STJ / ABT: n Cyber-haavoittuvuuksien tunnustamisesta. Lehdistötiedote 9.1.2017.
> St Jude Medical. St Jude Medical ilmoitti Cybersecurity Updates lehdistötiedotteesta. 9. tammikuuta 2017.