Shën Jude dhe Cenueshmëria Cyber e Pajisjeve Mjekësore
Në fund të vitit 2016 dhe në fillim të vitit 2017, raportet e lajmeve ngritën spektrin që njerëzit me synime të këqija mund të sulmonin pajisjen implantuese të një individi dhe të shkaktojnë probleme serioze. Në mënyrë të veçantë, pajisjet në fjalë tregtohen nga St. Jude Medical, Inc., dhe përfshijnë pacemakers (që trajtojnë bradycardia sinus dhe bllok zemrash ), defibrillators implante (ICDs) (të cilat trajtojnë takikardinë ventricular dhe fibrilim ventricular ); trajtojnë dështimin e zemrës ).
Këto raporte të lajmeve mund të kenë ngritur frikë midis njerëzve që kanë këto pajisje mjekësore pa e vendosur çështjen në një perspektivë të mjaftueshme.
A janë pajisjet e kardiake të implantuara në rrezik për sulme kibernetike? Po, për shkak se çdo pajisje dixhitale që përfshin komunikimin pa tel është të paktën teorikisht i prekshëm, përfshirë pacemakers, ICDs dhe pajisjet CRT. Por deri më tani, një sulm në internet kundër ndonjë prej këtyre pajisjeve të implantuara nuk është dokumentuar kurrë. Dhe falë pjesës më të madhe të publicitetit të kohëve të fundit rreth hakmerrjes, të të dy pajisjeve mjekësore dhe të politikanëve, FDA dhe prodhuesit e pajisjes tani po punojnë shumë për të rregulluar ndonjë dobësi të tillë.
Shën Jude Pajisje Kardiake dhe Hacking
Historia filloi të shpërthejë në gusht 2016, kur blloku i famshëm Carson Blloku publikisht njoftoi se St Jude kishte shitur qindra mijëra stimulues, defibrilatorë dhe pajisje të KRRT-së që ishin tepër të ndjeshëm ndaj hakerëve.
Blloku tha se një kompani e sigurisë kibernetike me të cilën ai ishte i lidhur (MedSec Holdings, Inc.), kishte bërë një hetim intensiv dhe zbuloi se pajisjet e Shën Jude ishin në mënyrë të veçantë të ndjeshme ndaj hakerimit (në krahasim me të njëjtat pajisje mjekësore të shitura nga Medtronic, Boston Scientific, dhe kompani të tjera).
Në veçanti, tha Blloku, sistemet e Shën Jude-së "u mungonin edhe mbrojtjet më të rëndësishme të sigurisë", siç janë pajisjet anti-tampering, encryption dhe mjetet anti-debugging, të llojit të përdorur zakonisht nga pjesa tjetër e industrisë.
Dobësia e supozuar lidhej me monitorimin e largët, pa tela që të gjitha këto pajisje kanë ndërtuar në to. Këto sisteme të monitorimit pa tel janë të dizajnuara për të zbuluar automatikisht problemet e reja të pajisjes para se ata të jenë në gjendje të shkaktojnë dëm dhe t'i komunikojnë menjëherë këto probleme tek mjeku. Ky funksion i monitorimit të largët, i përdorur tashmë nga të gjithë prodhuesit e pajisjes, është dokumentuar për të përmirësuar ndjeshëm sigurinë për pacientët që kanë këto produkte. Sistemi i monitorimit të largët të Shën Jude quhet "Merlin.net".
Pretendimet e Bllokut ishin mjaft spektakolare dhe shkaktuan një rënie të menjëhershme të çmimit të aksioneve të Shën Jude-e cila ishte pikërisht qëllimi i deklaruar i Bllokut. Të theksohet, para se të bëheshin pretendimet e tij rreth Shën Jude, kompania e Bllokut (Muddy Waters, LLC), kishte marrë një pozicion të madh të shkurtër në Shën Jude. Kjo do të thoshte se kompania e Bllokut qëndronte të bënte miliona dollarë nëse stoku i Shën Jude-it ra ndjeshëm dhe mbeti mjaft i ulët për të nxjerrë një blerje të rënë dakord nga Abbott Labs.
Pas sulmit të publikuar nga Block, St Jude menjëherë hodhi poshtë me njoftime për shtyp të fuqishëm në mënyrë që pretendimet e Bllokut ishin "absolutisht të pavërteta". Shën Jude paditi gjithashtu Muddy Waters, LLC për gjoja shpërndarjen e informacionit të rremë në mënyrë që të manipulojë St Jude's çmimet e aksioneve. Ndërkohë, hetuesit e pavarur shqyrtuan pyetjen e cenueshmërisë së Shën Jude dhe arritën në përfundime të ndryshme. Një grup konfirmoi se pajisjet e Shën Jude ishin veçanërisht të prekshme ndaj sulmit kibernetik; një grup tjetër arriti në përfundimin se nuk ishin. E gjithë çështja u hodh në prehrin e FDA-së, e cila filloi një hetim të fuqishëm dhe shumë pak fjalë u dëgjuan për disa muaj.
Gjatë kësaj kohe, stenda e Shën Judeit rimori pjesën më të madhe të vlerës së saj të humbur, dhe në fund të vitit 2016 blerja nga Abbott u përmbyll me sukses.
Pastaj, në janar 2017, dy gjëra ndodhën njëkohësisht. Së pari, FDA lëshoi një deklaratë që tregonte se kishte vërtet probleme kibernetike me pajisjet mjekësore të Shën Jude dhe se kjo cenueshmëri mund të lejonte me të vërtetë ndërhyrje në internet dhe shfrytëzime që mund të provonin të dëmshme për pacientët. Megjithatë, FDA vuri në dukje se asnjë dëshmi nuk është gjetur se hacking kishte ndodhur në të vërtetë në çdo individ.
Së dyti, St Jude lëshoi një patch kompjuterik të sigurisë në internet, i projektuar për të zvogëluar në masë të madhe mundësinë e sulmit në pajisjet e tyre implantuese. Fusha e softuerit u hartua për t'u instaluar automatikisht dhe pa tel, në të gjithë Merlinin e Shën Jude-së. FDA rekomandoi që pacientët të cilët kanë këto pajisje të vazhdojnë të përdorin sistemin e monitorimit pa tel të St Jude, pasi "përfitimet shëndetësore për pacientët nga përdorimi i vazhdueshëm i pajisjes tejkalojnë rreziqet e sigurisë në kibernetikë".
Ku na lë kjo?
Sa më sipër, shumë më shumë përshkruan faktet siç i njohim ata në publik. Si dikush që ishte i përfshirë ngushtë me zhvillimin e sistemit të monitorimit të largët të pajisjes së parë të implantuar (jo Shën Jude), e interpretoj këtë në mënyrën e mëposhtme: Duket e sigurtë se ka pasur të meta në sistemin kibernetik të monitorimit të largët të Shën Jude , dhe këto dobësi duket se kanë qenë jashtë zakonshëm për industrinë në përgjithësi. (Pra, mohimet fillestare të Shën Jude-së duket se janë ekzagjeruar.)
Për më tepër, është e qartë se St Jude u zhvendos shpejt për të ndrequr këtë dobësi, duke punuar në bashkëpunim me FDA, dhe se këto hapa në fund të fundit u konsideruan të kënaqshme nga FDA. Në fakt, duke gjykuar nga bashkëpunimi i FDA dhe fakti që dobësia ishte trajtuar mjaft me anë të një patchi softueri, problemi i Shën Jude nuk duket të jetë pothuajse aq i ashpër siç ishte pretenduar nga Z. Block në vitin 2016. ( Pra, deklaratat fillestare të zotit Block duket se janë ekzagjeruar). Për më tepër, korrigjimet u bënë para se dikush të dëmtohej.
Nëse konflikti i hapur i z. Block ishte i interesuar (ku ngasja e çmimit të aksioneve të Shën Jude-së qëndronte në rrjetin e dollarëve të mëdhenj), mund të kishte bërë që ai të mbingarkonte rreziqet e mundshme kibernetike të mundshme, por kjo është një çështje që gjykatat duhet të përcaktojnë .
Tani për tani duket e mundshme që, me aplikacionin korrektues të softuerit, njerëzit me pajisjet e Shën Judeut nuk kanë arsye të veçanta për t'u shqetësuar shumë për sulmet e sulmit.
Pse janë pajisjet implantabile kardiake të rrezikuara nga sulmet kibernetike?
Deri tani shumica prej nesh e kuptojnë se çdo pajisje dixhitale që ne përdorim në jetën tonë që përfshin komunikimin me valë është të paktën teorikisht i prekshëm ndaj cyberattack. Kjo përfshin çdo pajisje mjekësore implantuese, të gjitha të cilat duhet të komunikojnë me valë me botën e jashtme (domethënë, bota jashtë trupit).
Mundësia që njerëzit ose grupet e prirura për të keqen mund të sulmojnë pajisjet mjekësore, në disa vitet e fundit, duket se përbëjnë një kërcënim të vërtetë. Në këtë dritë, publiciteti që rrethon dobësitë e Shën Jude mund të ketë pasur një efekt pozitiv. Është e qartë se industria e pajisjes mjekësore dhe FDA tani janë shumë serioze për këtë kërcënim dhe tani po veprojnë me energji të konsiderueshme për ta përmbushur atë.
Çfarë është FDA duke bërë për problemin?
Vëmendja e FDA ka qenë e sapo fokusuar në këtë çështje, ndoshta në pjesën më të madhe për shkak të polemikave mbi pajisjet e Shën Jude. Në dhjetor 2016, FDA lëshoi një dokument "udhëzues" prej 30 faqesh për prodhuesit e pajisjeve mjekësore, duke nxjerrë një sërë rregullash të reja për adresimin e dobësive kibernetike në pajisjet mjekësore që janë tashmë në treg. (Rregulla të ngjashme për produktet mjekësore ende në zhvillim u botuan në vitin 2014.) Rregullat e reja përshkruajnë se si prodhuesit duhet të shkojnë në identifikimin dhe ndreqjen e dobësive në sigurinë kibernetike në produktet e tregtuara dhe si të krijojnë programe për të identifikuar dhe raportuar probleme të reja të sigurisë.
Në fund të fundit
Duke pasur parasysh rreziqet kibernetike që lidhen me ndonjë sistem të komunikimit pa tela, një shkallë e cenueshmërisë kibernetike është e pashmangshme me pajisjet mjekësore implantuese. Por është e rëndësishme të dimë se mbrojtja mund të ndërtohet në këto produkte për të bërë hakmarrje vetëm një mundësi të largët, dhe madje edhe Z. Blloku pajtohet që për shumicën e kompanive kjo ka ndodhur. Nëse St Jude ka qenë disi i dobët në lidhje me këtë çështje, kompania duket se është shëruar prej tij nga publiciteti negativ që morën në 2016, gjë që për një kohë e kërcënoi seriozisht biznesin e tyre. Ndër të tjera, Shën Jude ka porositur një Bord të Këshillimit të Sigurimit të Sigurisë të Sigurisë së Cyber për të mbikëqyrur përpjekjet e tij për të shkuar përpara. Kompanitë e tjera të pajisjeve mjekësore kanë gjasa të ndjekin shembullin. Kështu, si FDA dhe prodhuesit e pajisjeve mjekësore po e adresojnë çështjen me një rritje të fuqisë.
Njerëzit të cilët kanë implantuar stimulues kardiakë, ICDs ose pajisje CRT duhet me siguri t'i kushtojnë vëmendje çështjes së cenueshmërisë kibernetike, pasi ne ka të ngjarë të dëgjojmë më shumë rreth kësaj me kalimin e kohës. Por tani për tani, të paktën, rreziku duket të jetë mjaft i vogël dhe sigurisht që tejkalon përfitimet e monitorimit të pajisjeve të largëta.
> Burimet:
> FDA. Vulnerabilities Cybersecurity Identifikuar në Institucionet e zemrës Implantet Mjekësore të Shën Jude dhe Merlin @ home Transmetues: Komunikimi i Sigurisë FDA. 9 janar 2017.
> Muddy Waters. Deklarata MW mbi STJ / ABT Pranimi i Rreziqeve Kibernetike. Komunikatë për shtyp 9 janar 2017.
> St Jude Mjekësi. St Jude Medical njofton përditësimin e përditësimeve të cybersecurity. 9 janar 2017.