St Jude og Cyber Veikleikar lækningatækja
Í lok 2016 og byrjun 2017, fréttatilkynningar vakti áhorfendur að fólk með slæma fyrirætlanir gæti hugsanlega hakk inn í ígræðanlegan lækningatæki einstaklingsins og valdið alvarlegum vandamálum. Sérstaklega eru tækin sem um ræðir markaðssett af St. Jude Medical, Inc. og eru gangráðir (sem meðhöndla sinus hægsláttar og hjartsláttar ), ígræðanleg hjartsláttartruflanir (ICD) (sem meðhöndla sleglahraðsláttur og sleglatíð) og CRT tæki (sem meðhöndla hjartabilun ).
Þessar fréttatilkynningar kunna að hafa vakti ótta meðal fólks sem hefur þessi lækningatæki án þess að setja málið í nægilegu sjónarhorni.
Eru ígræddar hjartatæki í hættu fyrir netrása? Já, vegna þess að stafrænt tæki sem inniheldur þráðlausa samskipti er að minnsta kosti fræðilega viðkvæm, þar á meðal gangráðsmenn, ICD og CRT tæki. En svo langt hefur raunveruleg nettóárás á eitthvað af þessum ígræddum tækjum aldrei verið skjalfest. Og (þökk sé að miklu leyti að nýlegri kynningu um tölvusnápur, bæði lækningatæki og stjórnmálamenn), eru FDA og tækjaframleiðendur nú að vinna að því að klára slíka veikleika.
St Jude Card Devices og Hacking
Sagan brutust fyrst í ágúst 2016 þegar fræga sölumaður Carson Block tilkynnti opinberlega að St Jude hefði selt hundruð þúsunda ígræðanlegra gangráðgjafa, defibrillators og CRT tæki sem voru mjög viðkvæm fyrir reiðhestum.
Block sagði að fyrirtæki með netkerfi sem hann var tengdur við (MedSec Holdings, Inc.), hafði gert mikla rannsókn og komist að því að St Jude tæki voru einstaklega viðkvæm fyrir reiðhestum (öfugt við sömu tegundir lækningatækja sem seld voru af Medtronic, Boston Scientific og önnur fyrirtæki).
Einkum sagði Block, St Jude kerfi "skorti jafnvel grundvallaröryggisvarnir", svo sem gegn hugsanlegum tækjum, dulkóðun og tækjum gegn kembiforrit, eins og venjulega er notað af öðrum iðnaði.
The meintur varnarleysi var tengd við ytri, þráðlausa eftirlitið sem öll þessi tæki hafa byggt inn í þau. Þessar þráðlausu eftirlitskerfi eru hannaðir til að greina sjálfkrafa tækjabúnað fyrir vandamál áður en þeir geta valdið skaða og strax tengja þessi vandamál við lækninn. Þessi fjarlægur eftirlitseiginleikar, sem nú eru notaðar af öllum tækjafyrirtækjum, hafa verið skráðar til að auka öryggi fyrir sjúklinga sem hafa þessar vörur verulega. Fjarlægur eftirlitskerfi St Jude er kallaður "Merlin.net".
Ásakanir Block voru frekar stórkostlegar og ollu strax hlutabréfaverð St Jude, sem var einmitt það sem Mark sagði. Til athugunar, áður en hann gerði ásakanir um St Jude, fyrirtækið Block (Muddy Waters, LLC), hafði tekið stóran skammt í St Jude. Þetta þýddi að félagið í Block stóð að gera milljónir dollara ef hlutabréfa St Jude féll verulega og hélt áfram nógu lágt til að ná samkomulagi við kaup Abbott Labs.
St Jude skaut strax aftur með áberandi fréttatilkynningum í kjölfarið, að Block er ásakanir um "algerlega ósatt". St Jude sótti einnig Muddy Waters, LLC fyrir að sögn miðla rangar upplýsingar til að vinna með St Jude hlutabréfaverð. Á sama tíma horfðu sjálfstæðar rannsakendur á St. Jude varnarvanda og komu að mismunandi niðurstöðum. Einn hópur staðfesti að tæki St Jude voru sérstaklega viðkvæm fyrir netárásum; annar hópur komst að því að þeir væru ekki. Allt málið var sleppt í kjölfar FDA, sem setti upp kröftug rannsókn og lítið var heyrt um málið í nokkra mánuði.
Á þeim tíma batnaði St Jude's birgðir mikið af glatað gildi hennar, og í lok 2016 var kaupin af Abbott tekin með góðum árangri.
Síðan, í janúar 2017, áttu tveir hlutir samtímis. Í fyrsta lagi gaf FDA út yfirlýsingu sem bendir til þess að það hafi örugglega verið vandamál varðandi öryggisöryggi í St. Jude lækningatækjum og að þetta varnarleysi gæti örugglega leyft tölvuárásum og hegðun sem gæti reynst skaðlegt fyrir sjúklinga. Hins vegar benti FDA á að engar sannanir hafi verið fundnar fyrir því að reiðhestur hafi raunverulega átt sér stað í hverjum einstaklingi.
Í öðru lagi lét St Jude út hugbúnaðarspjald fyrir tölvukerfi sem ætlað er að draga verulega úr möguleikanum á tölvusnápur í ígræðanleg tæki þeirra. Hugbúnaðurinn var hannaður til að setja sig sjálfkrafa og þráðlaust yfir St Jude's Merlin.net. FDA mælti með því að sjúklingar sem nota þessi tæki halda áfram að nota þráðlausa eftirlitskerfi St Jude, þar sem "heilsufarbætur fyrir sjúklinga frá áframhaldandi notkun tækisins vega þyngra en áhættu vegna öryggisöryggis."
Hvar fer þetta frá okkur?
Framangreint lýsir nokkuð staðreyndirnar eins og við þekkjum almenning almennings. Eins og einhver sem var náinn þátt í þróun fyrsta gervitækni fjarskiptakerfisins (ekki St. Jude), túlka ég allt þetta á eftirfarandi hátt: Það virðist víst að það hafi verið örugglega öryggisleysi í St Jude fjarskiptakerfi , og þessir veikleikar virðast hafa verið óvenjulegar fyrir iðnaðinn í heild. (Svo upphaflega afneitun St. Jude virðist hafa verið ýkt.)
Ennfremur er ljóst að St. Jude flutti fljótt til að bæta við þessum varnarleysi, vinna í samvinnu við FDA og að þessar skref voru að lokum talin fullnægjandi af FDA. Í raun og veru, að meta samvinnu FDA og sú staðreynd að varnarleysið var nægilega fjallað með hugbúnaðarplástur virðist vandamál Stúdíóds ekki vera næstum eins alvarlegt og verið hafði verið af Mr Block í 2016. ( Svo virðist upphaflegar yfirlýsingar Mr Block vera að hafa verið ýktar). Enn fremur voru leiðréttingar gerðar áður en einhver var skaðaður.
Hvort opinbert hagsmunaárekstur Mr. Blocks (þar sem hann stýrði hlutabréfum St Jude, stóð til að hreina hann mikið fé) gæti hafa valdið því að hann gæti sleppt hugsanlegri áhættu á Netinu hljómar mögulegt, en þetta er spurning fyrir dómstólum að ákvarða .
Í augnablikinu virðist líklegt að fólk með St Jude tæki hafi ekki sérstaka ástæðu til að vera of áhyggjufullur um tölvusnápur.
Af hverju eru smitandi hjartatæki sem eru veik fyrir Cyber Attack?
Núna átta okkur flestir á því að stafrænt tæki sem við notum í lífi okkar sem felur í sér þráðlausa samskipti er að minnsta kosti fræðilega viðkvæm fyrir cyberattack. Það felur í sér hvers kyns ígræðanleg lækningabúnað, sem allir verða að senda þráðlaust við umheiminn (það er heimurinn utan líkamans).
Möguleiki á að fólk eða hópar beygði sig á illt gæti raunverulega hakkað inn í lækningatæki hefur á undanförnum árum komið til að virðast vera meiri raunveruleg ógn. Í þessu ljósi getur kynningin í kringum St. Jude veikleika haft jákvæð áhrif. Það er ljóst að bæði lækningatækjumiðnaðurinn og FDA eru nú mjög alvarlegir um þessa ógn og eru nú með verulegan kraft til að mæta því.
Hvað er FDA að gera um vandamálið?
Athygli FDA hefur verið nýlega lögð áhersla á þetta mál, líklega að miklu leyti vegna deilunnar um St Jude tæki. Í desember 2016 gaf FDA út 30 skjala "leiðbeiningar" skjal fyrir framleiðendur lækningatækja og setti fram nýtt sett af reglum um að takast á við netvarnarleysi í lækningatækjum sem eru nú þegar á markaðnum. (Svipaðar reglur um lyf sem eru enn í þróun voru birtar árið 2014.) Nýju reglurnar lýsa því hvernig framleiðendur ættu að fara um að greina og laga öryggisleysi í öryggisleysi í markaðssettum vörum og hvernig á að koma á fót forrit til að greina og tilkynna nýjar öryggisvandamál.
Aðalatriðið
Í ljósi þess að áhættan á netkerfinu tengist einhverju þráðlausu fjarskiptakerfi er einhver ónákvæmni í tengslum við ígræðanleg lækningatæki. En það er mikilvægt að vita að varnir geta verið byggðar inn í þessar vörur til að gera reiðhestur bara fjarlægur möguleiki, og jafnvel herra Block samþykkir að fyrir flest fyrirtæki hafi þetta gerst. Ef St. Jude hefur áður verið nokkuð lax um þetta mál virðist fyrirtækið hafa verið læknað af því með því að neikvæða umfjöllunin sem þeir fengu árið 2016, sem í eitt skipti alvarlega ógnað viðskiptum sínum. Stundum hefur St Jude ráðið sjálfstætt ráðgjafaráð til öryggisráðgjafar til að hafa umsjón með viðleitni sinni. Önnur fyrirtæki í lækningatækjum eru líklegri til að fylgja málinu. Svona, bæði FDA og lækningatæki framleiðendum eru að takast á við málið með aukinni krafti.
Fólk sem hefur ígrædd gangráðsmenn, ICD eða CRT tæki ætti vissulega að fylgjast með útgáfu öryggisvarna, vegna þess að við erum líklegri til að heyra meira um það í ljósi tímabilsins. En fyrir nú, að minnsta kosti, virðist áhættan vera lítill, og er vissulega vegin fyrir ávinningi af ytri tækjabúnaði.
> Heimildir:
> FDA. Cybersecurity Veikleikar sem eru skilgreindir í Implantable Card Devices St Jude Medical og Merlin @ home sendandi: FDA Safety Communication. 9. janúar 2017.
> Muddy Waters. MW Yfirlýsing um STJ / ABT staðfestingu á öryggisleysi Cyber. Fréttatilkynning 9. janúar 2017.
> St Jude Medical. St Jude Medical tilkynnir fréttatilkynningu Cybersecurity Updates. 9. janúar 2017.