St. Jude і Cyber Уразлівасці медыцынскіх прыбораў
У канец 2016 і пачатку 2017 года, інфармацыйныя паведамленні павіс прывід, што людзі з дрэннымі намерамі патэнцыйна могуць узламаць имплантируемого медыцынскага прылады індывіда і выклікаць сур'ёзныя праблемы. У прыватнасці, прылады ў якіх ідзе гаворка, які прадаецца St. Jude Medical, Inc., і ўключаюць у сябе кардыястымулятараў (якія лечаць сінусового брадыкардыя і блакады сэрца ), имплантируемые дэфібрылятар (ИКД) (якія лечаць жалудачкавай тахікардыя і фібрыляцыя страўнічкаў ), і ЭПТ - прылад (якія лячэння сардэчнай недастатковасці ).
Гэтыя інфармацыйныя паведамленні, магчыма, выклікалі асцярогі сярод людзей, у якіх ёсць гэтыя медыцынскія прылады без размяшчэння пытання ў дастатковую перспектыву.
Імплантаваны сардэчныя прылады ў небяспекі для кібер-нападаў? Так, таму што любое лічбавае прылада, якое ўключае ў сябе бесправадную сувязь, па меншай меры тэарэтычна ўразлівыя, у тым ліку кардыёстымулятар, ИКД і ЭПТ-прылад. Але да гэтага часу, фактычная кібер-атака супраць любога з гэтых імплантаваных прылад ніколі не была дакументавана. І (у значнай ступені дзякуючы нядаўняй галоснасці аб узломе, як медыцынскіх прылад і палітыкі), то FDA і вытворцы прылад у цяперашні час працуюць цяжка выправіць любыя такія ўразлівасці.
St. Jude Сардэчныя Прылады і Хакерство
Гісторыя першая зламаў у жніўні 2016 года, калі праслаўляецца кароткае прадавец Carson Блок публічна абвясціў, што St. Jude прадавалі сотні тысяч имплантируемых кардыястымулятараў, дефібріллятора і ЭПТ-прылад, якія былі вельмі ўразлівыя для ўзлому.
Блок сказаў, што кібербяспека кампанія, з якой ён быў звязаны (MedSec Holdings, Inc.), была зроблена інтэнсіўным даследаванне і выявіла, што Санкт-Джуд прылада было адназначна ўразлівыя для ўзлому (у адрозненне ад тых жа відаў медыцынскіх вырабаў, якія прадаюцца Medtronic, Boston Scientific, і іншыя кампаніі).
У прыватнасці, сказаў Блок, сістэмы St. Jude «не хапае нават самых элементарных абароны бяспекі», такія як анты-падробкі прылад, шыфраванне і анты-адладкавыя сродкаў, у свайго роду звычайна выкарыстоўваецца ў астатняй прамысловасці.
Меркаваная ўразлівасць была звязана з пультам дыстанцыйнага кіравання, бесправадныя маніторынгу ўсе гэтыя прылады маюць убудаваныя ў іх. Гэтыя бесправадныя сістэмы маніторынгу прызначаныя для аўтаматычнага выяўлення праблем ўзнікаюць прылад, перш чым яны змогуць нанесці шкоду, і давесці гэтыя праблемы неадкладна да лекара. Гэтая аддаленая функцыя маніторынгу, у цяперашні час выкарыстоўваецца усімі вытворцамі прылад, была зарэгістраваная значна павысіць бяспеку для пацыентаў, у якіх ёсць гэтыя прадукты. Сістэма дыстанцыйнага маніторынгу St. Jude называецца «Merlin.net.»
сцвярджэння Блока былі даволі відовішчнымі і выклікалі неадкладнае падзенне кошту акцый-які St. Jude была менавіта заяўленай мэтай Блока. Варта адзначыць, што перш чым рабіць свае сцвярджэнні аб St. Jude, кампаніі Блока (Muddy Waters, LLC), быў зроблены важны кароткую пазіцыю ў St. Jude. Гэта азначала, што кампанія Блок варта зрабіць мільёны даляраў, калі акцыі St. Jude ўпалі па сутнасці, і заставаўся дастаткова нізкімі, каб скотч ўзгодненага набыцця Abbott Labs.
Пасля таго, як добра разрэкламаванай атакі Блока, St Jude адразу ж адкрылі агонь у адказ з моцна сфармуляваным прэс-рэлізы пра тое, што сцвярджэнні Блока былі «абсалютна не адпавядае рэчаіснасці.» St. Jude таксама падаў у суд Мадзі Уотэрса, LLC за нібыта распаўсюд ілжывай інфармацыі для таго, каб маніпуляваць Санкт-Джуд цэны на акцыі. Між тым, незалежныя даследнікі глядзелі на пытанні аб уразлівасці St. Jude і прыйшлі да розных высноў. Адна група пацвердзіла, што прылады St. Jude былі асабліва ўразлівыя для Кібератакі; іншая група прыйшла да высновы, яны не былі. Усё пытанне быў паніжаны ў крузе ў FDA, які пачаў энергічнае расследаванне, і мала было чуваць аб матэрыі на працягу некалькіх месяцаў.
За гэты час акцыі St. Jude аднавіліся большую частку страчанай кошту, а ў канца 2016 года набыццё Abbott быў паспяхова завершаны.
Затым, у студзені 2017 года, адбыліся дзве рэчы адначасова. Па-першае, FDA выпусціла заяву аб тым, што сапраўды існуюць кібербяспека праблемы з St. Jude медыцынскім прыладам, і што гэтая ўразлівасць можа сапраўды дазволіць кібер-ўварванняў і эксплоіты, якія могуць апынуцца шкоднымі для пацыентаў. Тым не менш, FDA адзначыў, што ніякіх доказаў не было выяўлена, што ўзлом было на самай справе мелі месца ў любым чалавеку.
Па-другое, St. Jude выпусціла кібербяспека выпраўлення праграмнага забеспячэння, прызначаны для значна паменшыць верагоднасць ўзлому іх имплантируемых прылад. Праграмнае забеспячэнне патч быў распрацаваны, каб усталяваць сябе аўтаматычна і без правадоў, праз Merlin.net Святога Джуда. FDA рэкамендаваў пацыентам, у якіх гэтыя прылады працягваюць выкарыстоўваць бесправадную сістэму маніторынгу St Jude, так як «перавагі для здароўя пацыентаў ад далейшага выкарыстання прылады пераважвае рызыкі кібербяспекі.»
Дзе ж гэта нам?
Сказанае ў значнай ступені апісвае факты, як мы ў грамадстве ведаюць іх. Як хто-то, хто быў цесна звязаны з развіццём першага имплантируемого прылады сістэмы аддаленага маніторынгу (не ў Санкт-Джуд), я вытлумачыць усё гэта наступным чынам: Уяўляецца несумнеўным, што ёсць на самой справе кібербяспека ўразлівасці ў сістэме дыстанцыйнага маніторынгу St. Jude і гэтыя ўразлівасці, па ўсёй бачнасці, былі са звычайных для галіны ў цэлым. (Такім чынам, пачатковыя адмовы Святога Джуда, па ўсёй бачнасці, былі перабольшаныя.)
Акрамя таго, відавочна, што St. Jude рухаўся хутка для ліквідацыі гэтай уразлівасці, працуючы сумесна з FDA, і што гэтыя крокі былі ў канчатковым рахунку прызнаныя здавальняючымі FDA. На самай справе, мяркуючы па супрацоўніцтве ў FDA, і той факт, што ўразлівасць была ў дастатковай ступені разгледзець з дапамогай праграмнага патча, праблема St. Jude, здаецца, не быць гэтак жа моцным, як было сцвярджае г-н Блок ў 2016 годзе ( такім чынам, першапачатковыя заявы г Блока, па ўсёй бачнасці, былі перабольшаныя). Акрамя таго, папраўкі былі зробленыя, перш чым хто пацярпеў.
Будзьце непрыкрыты канфлікт г Блока цікавасці (калі кіраванне ўніз цана акцый St. Jude стаяў на чысты яго вялікія грошы), магчыма, прымусілі яго пераацэньваць патэнцыйныя рызыкі кібер гукі можна, але гэта пытанне для судоў з мэтай вызначэння ,
Зараз уяўляецца верагодным, што, з прыкладным які карэктуе праграмным забеспячэннем патчам, людзі з прыладамі St. Jude няма асаблівых прычын быць занадта занепакоеныя хакерскімі атакі.
Чаму имплантируемые Сардэчныя прылады ўразлівыя для нападаў Cyber?
На гэты час большасць з нас разумее, што любое лічбавае прылада, мы выкарыстоўваем у нашым жыцці, што ўключае ў сябе бесправадную сувязь, па меншай меры тэарэтычна ўразлівая для Кібератакі. Гэта ўключае ў сябе любыя імплантаваны медыцынскія прылады, якія ўсе павінны падтрымліваць бесправадную сувязь са знешнім светам (гэта значыць, свет па-за целам).
Верагоднасць таго, што людзі ці групы сагнутыя на зле сапраўды можа ўзламаць ў медыцынскія прылады, у апошнія некалькі гадоў, стала здавацца больш рэальнай пагрозай. У гэтым святле, агалоска уразлівасці St. Jude, магчыма, мела станоўчы эфект. Цалкам відавочна, што і вытворцы медыцынскага абсталявання і FDA ў цяперашні час вельмі сур'ёзна ставіцца да гэтай пагрозе, і цяпер дзейнічаюць са значнай сілай, каб сустрэцца з ім.
Што такое FDA Doing Аб праблеме?
Увага FDA была зноў сканцэнтравана на гэтым пытанні, верагодна, у значнай ступені з-за спрэчак з нагоды прылад St. Jude. У снежні 2016 года FDA выпусціла 30-старонкавы «кіраўніцтва» дакумент для вытворцаў медыцынскіх вырабаў, выклаўшы новы набор правіл для вырашэння кібер-ўразлівасці ў медыцынскіх прыладах, якія ўжо на рынку. (Аналагічныя правілы для медыцынскіх вырабаў яшчэ на стадыі распрацоўкі былі апублікаваныя ў 2014 годзе) Новыя правілы апісваюць, як вытворцы павінны ісці пра выяўленне і фіксацыі кібербяспекі уразлівасцяў у прадуктах на рынку, і як усталяваць праграмы па выяўленні і паведамляць новыя праблемы бяспекі.
Bottom Line
Улічваючы кібер-рызыкі неад'емна звязаныя з любой сістэмай бесправадной сувязі, у некаторай ступені кібер-уразлівасці непазбежна з имплантируемых медыцынскіх прылад. Але важна ведаць, што сродкі абароны могуць быць убудаваныя ў гэтыя прадукты, каб зрабіць ўзлом толькі аддаленай магчымасці, і нават г-н Блок згаджаецца, што для большасці кампаній гэта адбылося. Калі St. Jude раней быў млявым з гэтай нагоды, кампанія, здаецца, была выгаіцца ад яго негатыўнай агалоскі яны атрымалі ў 2016 годзе, што на некаторы час сур'ёзнай пагрозы іх бізнэс. Сярод іншага, St. Jude замовіў незалежны кансультатыўны савет медыцынскага кібербяспекі для кантролю за яго намаганні ў будучыні. Іншыя кампаніі медыцынскага абсталявання, хутчэй за ўсё, будуць зробленыя іх прыкладу. Такім чынам, як FDA і вытворцы медыцынскага абсталявання вырашаюць праблему з падвышанай энергіяй.
Людзі, якія имплантируемых электракардыёстымулятараў, ИКД або ЭПТ-прылад, безумоўна, павінны звярнуць увагу на праблему кібер-уразлівасці, так як мы, верагодна, каб пачуць больш пра яго, як праходзіць час. Але цяпер, па меншай меры, рызыка, здаецца, даволі мала, і, безумоўна, пераважваюць перавагі аддаленага маніторынгу прылад.
> Крыніцы:
> FDA. Кібербяспека Уразлівасці Выяўленыя ў хатнім перадатчыку St. Jude Medical ў имплантируемых Сардэчныя Прылады і Merlin @: FDA бяспекі сувязі. 9 студзеня 2017.
> Мадзі Уотэрс. Заява MW на СТП / ABT Пацверджанні Cyber уразлівасцях. Прэс - рэліз 9 студзеня 2017.
> St Jude Medical. St Jude Medical аб'яўляе Кібербяспека Updates прэс - рэліз. 9 студзеня 2017.