St. Jude og Cyber Vulnerability of Medical Devices
I slutten av 2016 og tidlig 2017 hevet nyhetsrapporter spekteret at folk med dårlige intensjoner potensielt kunne hacke inn i en persons impliserbare medisinsk utstyr og forårsake alvorlige problemer. Spesielt markedsføres de aktuelle enhetene av St. Jude Medical, Inc., og inkluderer pacemakere (som behandler sinus bradykardi og hjerteblokk ), implanterbare defibrillatorer (ICD) (som behandler ventrikulær takykardi og ventrikulær fibrillering ) og CRT-enheter (som behandle hjertesvikt ).
Disse nyhetsrapporterne kan ha økt frykten blant folk som har disse medisinske apparatene uten å sette problemet i et tilstrekkelig perspektiv.
Er implanterte hjerteanordninger i fare for cyberangrep? Ja, fordi en hvilken som helst digital enhet som inkluderer trådløs kommunikasjon, er minst teoretisk sårbar, inkludert pacemakere, ICDer og CRT-enheter. Men så langt har et faktisk cyberangrep mot noen av disse implanterte enhetene aldri blitt dokumentert. Og (takket i stor grad til nylig publisitet om hacking, både medisinske enheter og politikere), jobber FDA og enhetsprodusentene nå hardt for å plukke opp slike sårbarheter.
St. Jude Cardiac Devices and Hacking
Historien brøt først i august 2016 da den berømte kjente selger Carson Block offentliggjorde at St. Jude hadde solgt hundrevis av tusenvis av implanterbare pacemakere, defibrillatorer og CRT-enheter som var svært utsatt for hacking.
Block sa at et selskap for cybersikkerhet som han var tilknyttet (MedSec Holdings, Inc.), hadde gjort en intensiv undersøkelse og fant ut at St. Jude-enheter var unikt sårbare for hacking (i motsetning til de samme medisinske apparatene som ble solgt av Medtronic, Boston Scientific, og andre selskaper).
Spesielt sier Block, St. Jude-systemene "manglet selv de mest grunnleggende sikkerhetsforsvarene", for eksempel anti-manipulering enheter, kryptering og anti-debugging verktøy, av den typen som vanligvis brukes av resten av bransjen.
Den påståtte sårbarheten var relatert til fjernkontrollen, trådløs overvåking av alle disse enhetene har bygget inn i dem. Disse trådløse overvåkingssystemene er utviklet for å automatisk oppdage problemer med nye enheter før de kan forårsake skade, og kommunisere disse problemene umiddelbart til legen. Denne fjernovervåkingsfunksjonen, som nå er ansatt av alle enhetsprodusenter, har blitt dokumentert for å forbedre sikkerheten for pasienter som har disse produktene betydelig. St. Jude's fjernovervåkingssystem heter "Merlin.net".
Blocks påstander var ganske spektakulære og forårsaket en umiddelbar nedgang i St. Jude's aksjekurs - som nettopp var Block's uttalte mål. Merket, før han gjorde sine påstander om St. Jude, Block's selskap (Muddy Waters, LLC), hadde tatt en stor kort posisjon i St. Jude. Dette medførte at Block's firma sto for å tjene millioner av dollar dersom St. Jude's aksje falt betydelig, og forblev lav nok til å skaffe seg en avtalt oppkjøp av Abbott Labs.
Etter Block's velkjente angrep, slått St. Jude øyeblikkelig tilbake med sterkt formulerte pressemeldinger, slik at Bloks påstander var "helt usanne." St. Jude saksøkte også Muddy Waters, LLC for angivelig formidling av falsk informasjon for å manipulere St. Jude's aksjepriser. I mellomtiden så uavhengige etterforskere på St. Jude sårbarhetsspørsmålet og kom til forskjellige konklusjoner. En gruppe bekreftet at St. Jude's enheter var spesielt utsatt for cyberangrep; En annen gruppe konkluderte med at de ikke var det. Hele problemet ble droppet i fanget av FDA, som lanserte en kraftig undersøkelse, og det ble ikke hørt om noe i flere måneder.
I løpet av den tiden gjenvunnet St. Jude's aksje mye av sin tapte verdi, og i slutten av 2016 ble overtakelsen av Abbott konkludert med suksess.
Så, i januar 2017, skjedde to ting samtidig. For det første utgav FDA en uttalelse som indikerte at det faktisk var problemer med cybersikkerhet med St. Jude medisinske enheter, og at denne sårbarheten faktisk kunne tillate cyberinntrengninger og -utnytelser som kunne være skadelige for pasientene. FDA påpekte imidlertid at ingen bevis har blitt funnet at hacking faktisk hadde skjedd i noen enkeltperson.
For det andre, St. Jude utgitt et program for sikkerhetsprogramvare for cybersikkerhet designet for å redusere muligheten for hacking i sine implanterbare enheter. Programvareoppdateringen ble utviklet for å installere seg automatisk og trådløst, over St. Jude's Merlin.net. FDA anbefalte at pasienter som har disse enhetene, fortsetter å bruke St Judes trådløse overvåkingssystem, siden "helsemessige fordeler til pasienter fra fortsatt bruk av enheten oppveier cybersikkerhetsrisikoen."
Hvor forlater dette oss?
Ovennevnte beskriver ganske mye fakta som vi i offentligheten kjenner dem. Som noen som var nært involvert i utviklingen av det første implanterbare fjernkontrollsystemet (ikke St. Jude's), tolker jeg alt dette på følgende måte: Det virker sikkert at det var sikkerhetsproblemer i St. Jude fjernovervåkingssystem , og disse sårbarhetene synes å ha vært uvanlige for næringen som helhet. (Så, St. Judes opprinnelige fornektelser ser ut til å ha vært overdrevet.)
Videre er det tydelig at St. Jude beveget seg raskt for å rette opp dette sårbarheten, jobbet sammen med FDA, og at disse trinnene til slutt ble ansett som tilfredsstillende av FDA. Faktisk, å dømme etter FDAs samarbeid og det faktum at sårbarheten var tilstrekkelig håndtert ved hjelp av en programvareoppdatering, synes St. Jude's problem ikke å være nesten like alvorlig som det var påstått av Mr. Block i 2016. ( Så, Mr. Blocks opprinnelige uttalelser ser ut til å ha vært overdrevet). Videre ble korreksjonene gjort før noen ble skadet.
Hvorvidt Mr. Blocks åpenbare interessekonflikt (ved å kjøre ned St. Jude's aksjekurs stod for å tjene ham store penger), kunne ha ført til at han oversell de potensielle cyberrisikoene lyder mulig, men dette er et spørsmål for domstolene å bestemme .
For nå virker det sannsynlig at folk med St. Jude-enheter, med korrigerende programvareoppdatering, ikke har noen spesiell grunn til å være altfor bekymret for hackingangrep.
Hvorfor er implantable hjerteenheter utsatt for cyberangrep?
Nå er de fleste av oss klar over at enhver digital enhet vi bruker i våre liv som involverer trådløs kommunikasjon, er i det minste teoretisk sårbar for cyberattack. Det inkluderer enhver implanterbar medisinsk enhet, som alle må kommunisere trådløst med omverdenen (det vil si verden utenfor kroppen).
Muligheten for at folk eller grupper bøyde seg på det onde, kan faktisk hack inn i medisinsk utstyr, har de siste årene virket som en reell trussel. I dette lyset kan publisiteten rundt St. Jude sårbarhetene ha hatt en positiv effekt. Det er klart at både medisinsk utstyrsindustrien og FDA er nå veldig seriøse om denne trusselen, og har nå en betydelig styrke for å møte den.
Hva gjør FDA om problemet?
FDAs oppmerksomhet har nylig blitt fokusert på dette problemet, trolig i stor grad på grunn av kontroversen over St. Jude-enheter. I desember 2016 utgav FDA et 30-siders "veiledningsdokument" for produsenter av medisinske enheter, og utarbeidet et nytt sett med regler for adressering av cybersikkerhetsproblemer i medisinske enheter som allerede er i markedet. (Lignende regler for medisinske produkter som fortsatt er under utbygging ble publisert i 2014.) De nye reglene beskriver hvordan produsenter bør gå på å identifisere og fikse sikkerhetsproblemer i markedsføringsprodukter, og hvordan man etablerer programmer for å identifisere og rapportere nye sikkerhetsproblemer.
Bunnlinjen
Gitt cyberrisikoen forbundet med ethvert trådløst kommunikasjonssystem, er en viss grad av cybersårbarhet uunngåelig med implanterbare medisinske enheter. Men det er viktig å vite at forsvar kan bygges inn i disse produktene for å gjøre hacking bare en ekstern mulighet, og selv Mr. Block er enig i at for de fleste bedrifter har dette skjedd. Hvis St. Jude tidligere har vært litt laks om denne saken, ser selskapet ut til å ha blitt kurert av det ved den negative publisiteten de mottok i 2016, noe som for en tid truet sin virksomhet alvorlig. St. Jude har blant annet bestilt en uavhengig Cyber Security Medical Advisory Board for å overvåke sin innsats framover. Andre medisinske enheter vil trolig følge med. Således behandler både FDA og medisinsk utstyrsproduktører problemet med økt styrke.
Folk som har implantert pacemakere, ICDer eller CRT-enheter, bør absolutt være oppmerksom på problemet med cybersårbarhet, da vi sannsynligvis vil høre mer om det når tiden går. Men i det minste synes risikoen for å være ganske liten, og det er absolutt oppveid av fordelene ved ekstern enhetskontroll.
> Kilder:
> FDA. Cybersecurity Vulnerabilities Identifisert i St. Jude Medical's Implantable Cardiac Devices og Merlin @ Home Transmitter: FDA Safety Communication. 9. januar 2017.
> Muddy Waters. MW-erklæring om STJ / ABT-anerkjennelse av sikkerhetsproblemer med cyber. Pressemelding 9. januar 2017.
> St Jude Medical. St Jude Medical kunngjør Cybersecurity Updates pressemelding. 9. januar 2017.