St. Jude kaj Cyber Vulnerability of Medical Devices
Fine de 2016 kaj frua 2017, novaĵaj raportoj levis la spektadon, ke homoj kun malbonaj intencoj povus potenciale ataki la enplantan medicinan aparaton de individuo kaj kaŭzi seriozajn problemojn. Specife, la aparatoj en demando estas merkatitaj fare de St. Jude Medical, Inc., kaj inkluzivas pacemakers (kiuj traktas sinus bradikardion kaj korablokon ), implantables desfibriladores (ICDs) (kiuj traktas ventikulajn takikardion kaj ventriculajn fibriladon ) kaj CRT-aparatojn (kiuj trakti koron malsukceso ).
Ĉi tiuj novaĵoj eble levis timojn inter homoj, kiuj havas ĉi tiujn medicinajn aparatojn sen meti la temon en sufiĉan perspektivon.
Estas enplantitaj koraj aparatoj en risko por ciber-atakoj? Jes, ĉar iu ajn cifereca aparato, kiu inkluzivas senkablan komunikadon, estas almenaŭ teorie vundebla, inkluzive de pacemakers, ICDs kaj CRT-aparatoj. Sed ĝis nun, reala ciber-atako kontraŭ iu ajn el ĉi tiuj enplantitaj aparatoj neniam estis dokumentita. Kaj (dankonparte al freŝa publikeco pri pirabado, kaj de medicinaj aparatoj kaj de politikistoj), la FDA kaj la fabrikaj fabrikantoj nun laboras malfacile por diskonigi tiajn vundojn.
Jude Kardaj Aparatoj kaj Hakado
La rakonto unue rompis en aŭgusto 2016, kiam la fama mallonga vendisto Carson Bloko publike sciigis, ke St. Jude vendis centojn da miloj da implanteblaj ŝuistoj, defibriladores kaj CRT-aparatoj, kiuj estis ekstreme vundeblaj al hakado.
Block diris, ke cibersecureca kompanio kun kiu li aniĝis (MedSec Holdings, Inc.) faris intensan esploron kaj trovis, ke St. Jude-aparatoj estis tute vundeblaj al hakado (kontraŭe al la samaj specoj de medicinaj aparatoj venditaj fare de Medtronic, Boston Scienca, kaj aliaj kompanioj).
En aparta, diris Blokoj, la St. Jude-sistemoj "malhavis eĉ la plej bazajn sekurecajn defendojn", kiel kontraŭkomfortaj aparatoj, ĉifrado kaj kontraŭ-depuración, de la speco komune uzata fare de la resto de la industrio.
La supozata vulnerabileco rilatis al la malproksima, sendrata monitoreo ĉiuj ĉi tiuj aparatoj enmetis al ili. Ĉi tiuj sistemoj de sendrata viglado estas desegnitaj por detekti aŭtomate la problemojn de emerĝa aparato antaŭ ol ili povas kaŭzi malbonon kaj komuniki tiujn problemojn tuj al la kuracisto. Ĉi tiu funkcio de monitoreo remota, nun uzita de ĉiuj fabrikantoj de mekanismoj, estis dokumentita por plibonigi signife la sekureco por la pacientoj kiuj havas ĉi tiujn produktojn. La malproksima sistemo de monitoreo de Jude nomiĝas "Merlin.net".
La akuzoj de la bloko estis sufiĉe espectaciaj kaj kaŭzis tujan guton en la prezo de St. Jude -kuste precize la deklarita celo de Bloko. Notinde, antaŭ fari siajn akuzoj pri St. Jude, la kompanio de Bloko (Muddy Waters, LLC), prenis gravan mallongan pozicion en St. Jude. Ĉi tio signifis ke la kompanio de Bloko staris por fari milionojn da dolaroj, se la stoko de St. Jude falis substance, kaj restis sufiĉe malalta por akiri akordan akiron fare de Abbott Labs.
Post la bone publikigita atako de Bloko, St Jude tuj pafis kun forte vortitaj gazetaraj komunikoj al la efiko, ke la akuzoj de Block estis "tute malvera". St. Jude ankaŭ demandis Muddy Waters, LLC pro supozeble disvastiganta falsan informon por manipuli Sanktan Judon Provizaj prezoj. Dume, sendependaj esploristoj rigardis la demandon de vulnerabilidad de St. Jude kaj venis al malsamaj konkludoj. Unu grupo konfirmis, ke la aparatoj de St. Jude estis aparte vundeblaj al ciber-atako; alia grupo finis, ke ili ne estis. La tuta temo falis en la rondiron de la FDA, kiu lanĉis viglan esploron, kaj malmulte aŭdis pri la afero dum pluraj monatoj.
Dum tiu tempo la stoko de St. Jude rekuperis multe de sia perdita valoro, kaj fine de 2016 la akiro fare de Abbott estis finita sukcese.
Tiam, en januaro 2017, du aferoj okazis samtempe. Unue, la FDA publikigis deklaron indikante, ke efektive cibersekurecaj problemoj kun sanktaj aparatoj de St. Jude, kaj ke ĉi tiu vundebleco povus efektive permesi ciber-intrusiojn kaj eksplodojn, kiuj povus rezulti malutilaj por pacientoj. Tamen, la FDA notis, ke neniu evidenteco estis trovita, ke fakte hakado okazis en iu ajn individuo.
En dua loko, St. Jude liberigis programon pri cibersecureco desegnita por tre malpliigi la eblecon de pirabado en siajn enplantajn aparatojn. La programprogramo estis desegnita por instali sin aŭtomate kaj sendifekte, tra Merlin.net de St. Jude. La FDA rekomendis, ke pacientoj, kiuj havas ĉi tiujn aparatojn, daŭre uzas la sistemon de monitoro de radiofónico de St Jude, pro tio ke "la sanaj profitoj al la pacientoj de la uzo de la mekanismo daŭre superas la riskojn de cibersecuridad".
Kie Ĉi Ĉi Forlasas Nin?
La antaŭaj priskriboj priskribas la faktojn, kiel ni konas ilin en la publiko. Kiel iu, kiu intime partoprenis pri la disvolviĝo de la unua implantebla aparato malproksima sistemo de monitoreo (ne St. Jude), mi interpretas ĉion ĉi jene: Ŝajnas certa, ke efektive viktimoj de cibersecureco estis en la sistemo de monitoreo remoto St. Jude , kaj ĉi tiuj vulnerabilecoj ŝajnas esti eksterordinara por la industrio ĝenerale. (Do, la komencaj malvenkoj de St. Jude ŝajnas esti troigitaj.)
Plue, ŝajnas, ke St. Jude movis rapide por remeti ĉi tiun vundecon, laborante kune kun la FDA, kaj ke ĉi tiuj paŝoj estis finfine konsideritaj kontentigaj de la FDA. Fakte, juĝante per la kunlaboro de la FDA kaj la fakto, ke la vulnerabileco estis sufiĉe kontraktita per programprogramo, la problemo de St. Jude ŝajnas ne esti preskaŭ tiel severa kiel estis asertita fare de Mr. Block en 2016. ( Do, komenca deklaro de Mr. Block ŝajnas esti troigita). Krome, la korektoj estis faritaj antaŭ ol iu ajn damaĝis.
Ĉu la ekspluatata konflikto de la s-ro Bloko (per kiu stiri la prezon de St. Jude staris por retolekti la grandajn dolarojn), eble kaŭzis lin supersendi la eblajn eblajn riskojn de eblaj riskoj, sed ĉi tio estas demando por la tribunaloj .
Nuntempe ŝajnas verŝajne, kun la korekta programprogramo aplikita, homoj kun sanktuloj de Judo havas neniun apartan kialon por esti tro maltrankviligita pri pirantaj atakoj.
Kial Estas Enplanteblaj Koraj Dispozicioj Vulneblaj al Cyber-Atako?
Nuntempe la plej multaj el ni konsciis, ke iu ajn cifereca aparato, kiun ni uzas en niaj vivoj, kiuj implicas sendratajn komunikadojn, estas almenaŭ teorie vundebla al ciberizo. Tio inkluzivas ajnan enplantan medicinan aparaton, ĉiuj devas komuniki sendifekte kun la ekstera mondo (tio estas, la mondo ekster la korpo).
La ebleco, ke homoj aŭ grupoj, kiuj klinas sin al malbono, povus efektivigi medicinajn aparatojn en la lastaj jaroj, por ke ili ŝajnas pli realan minacon. En ĉi tiu lumo, la publikeco ĉirkaŭ la vulnerabilitatoj de St. Jude eble havis pozitivan efikon. Estas klare, ke la medicina aparato kaj la FDA nun tre seriozas pri ĉi tiu minaco, kaj nun agas kun grava vigleco por renkonti ĝin.
Kio estas la FDA Faranta Pri la Problemo?
La atento de la FDA estis lastatempe enfokusigita en ĉi tiu afero, verŝajne en granda parto pro la diskutado pri la mekanismoj de St. Jude. En decembro de 2016 la FDA publikigis 30-paĝan "gvidan" dokumenton por fabrikantoj de medicinaj aparatoj, elmontrante novan aron de reguloj por trakti ciber-vulnerabilojn en medicinaj aparatoj jam en la merkato. (Similaj reguloj por medicinaj produktoj ankoraŭ evoluantaj estis publikigitaj en 2014.) La novaj reguloj priskribas kiel fabrikantoj devas identigi kaj ripari vulnerabilojn de cibersecureco en produktoj merkatitaj, kaj kiel establi programojn por identigi kaj raporti novajn problemojn pri sekureco.
La Fundo-Linio
Konsiderante la ciber-riskojn idente asociitajn al iu sendrata komunikada sistemo, iu grado de ciber-vulnerableco estas neevitebla kun implantables medicinaj aparatoj. Sed gravas scii, ke defendaĵoj povas esti konstruitaj en ĉi tiujn produktojn por fari hakadon nur remotan eblon, kaj eĉ sinjoro Bloko konsentas, ke por multaj kompanioj ĉi tio okazis. Se St. Jude antaŭe estis iom mallaŭte pri ĉi tiu afero, la kompanio ŝajnas esti resanigita de ĝi pro la negativa publikeco kiun ili ricevis en 2016, kiuj dum tempo serioze minacis sian negocon. Inter aliaj aferoj, St. Jude komisiis sendependan Ciberean Sekurecan Kuraca Konsilantaro por kontroli siajn klopodojn antaŭen. Aliaj kuracaj firmaoj probable verŝajne. Tiel, ambaŭ FDA kaj medicinaj fabrikistoj pritraktas la aferon kun pli granda vigleco.
Homoj, kiuj enplantis ŝuistojn, ICDs aŭ CRT-aparatojn certe zorgas pri la afero pri ciber-vulnerableco, ĉar ni verŝajne aŭdos pli pri ĝi laŭ la tempo. Sed nuntempe, almenaŭ, la risko ŝajnas esti tre malgranda, kaj certe estas superfortita de la avantaĝoj de izolita aparato.
> Fontoj:
> FDA. Cybersecurity Vulnerabilities Identigita en Instaladoj Cardíacas Implantables de St. Jude Medical kaj Transmisor Merlin @ home: FDA Safety Communication. 9an de januaro 2017.
> Muddy Waters. MW-Diskuto pri STJ / ABT-Agnoskado de Ciber-Vulnerabilecoj. Gazetara eldono Januaro 9, 2017.
> St Jude Medical. St Jude Medical anoncas Gazetarajn Ĝisdatigojn pri Cybersecurity. 9an de januaro 2017.