Kan Implantable Pacemakers og Defibrillators bli hacket?
Er implanterte hjerteanordninger i fare for cyberangrep? Ja, fordi en hvilken som helst digital enhet som inkluderer trådløs kommunikasjon, er minst teoretisk sårbar, inkludert pacemakere, ICDer og CRT-enheter. Men så langt har et faktisk cyberangrep mot noen av disse implanterte enhetene aldri blitt dokumentert. Og (takket i stor grad til nylig publisitet om hacking, både medisinske enheter og politikere), jobber FDA og enhetsprodusentene nå hardt for å lappe slike sårbarheter.
St. Jude Cardiac Devices and Hacking
Historien brøt først i august 2016 da den berømte kjente selger Carson Block kunngjorde at St. Jude hadde solgt hundrevis av tusenvis av implanterbare pacemakere, defibrillatorer og CRT-enheter som var svært utsatt for hacking. Block sa at en Cybersecurity selskap som han var tilknyttet (MedSec Holdings, Inc.), hadde gjort en intensiv etterforskning og fant at St. Jude enhetene var unikt utsatt for hacking (i motsetning til de samme typer medisinsk utstyr selges av Medtronic, Boston Scientific, og andre selskaper). Spesielt sier Block, St. Jude-systemene "manglet selv de mest grunnleggende sikkerhetsforsvarene", for eksempel anti-manipulering enheter, kryptering og anti-debugging verktøy, av den typen som vanligvis brukes av resten av industrien.Den påståtte sårbarheten var relatert til fjernkontrollen, trådløs overvåking av alle disse enhetene har bygget inn i dem. Disse trådløse overvåkingssystemene er utviklet for å automatisk oppdage problemer med nye enheter, før de kan forårsake skade, og kommunisere disse problemene umiddelbart til legen. Denne fjernovervåkingsfunksjonen, som nå er ansatt av alle enhetsprodusenter, har blitt dokumentert for å forbedre sikkerheten for pasienter som har disse produktene betydelig. St. Judes fjernovervåkingssystem kalles "Merlin.net".
Blocks påstander var ganske spektakulære og forårsaket en umiddelbar nedgang i St. Judes aksjekurs - som nettopp var Block's uttalte mål. Merket, før han gjorde sine påstander om St. Jude, Block's selskap (Muddy Waters, LLC), hadde tatt en stor kort posisjon i St. Jude. Dette betydde at Block's firma sto for å tjene millioner av dollar dersom St. Jude's aksje falt betydelig og holdt seg lav nok til å skaffe seg en avtale om å kjøpe Abbott Labs.
Etter Block er mye omtalt angrep, St Jude umiddelbart skjøt tilbake med sterkt formulert pressemeldinger om at Block påstander var “helt usanne.” St. Jude også saksøkt Muddy Waters, LLC for angivelig å spre falsk informasjon for å manipulere St. Judes aksjepriser. I mellomtiden så uavhengige etterforskere på St. Jude sårbarhetsspørsmålet og kom til forskjellige konklusjoner. En gruppe bekreftet at St. Jude's enheter var spesielt utsatt for cyberangrep; En annen gruppe konkluderte med at de ikke var det. Hele problemet ble droppet i fanget av FDA, som lanserte en kraftig undersøkelse, og det ble ikke hørt om noe i flere måneder. I løpet av den tiden gjenvunnet St. Jude sine aksjer mye av sin tapte verdi, og i slutten av 2016 ble overtakelsen av Abbott gjennomført.
Så i januar 2017 skjedde to ting samtidig. For det første utgav FDA en uttalelse som indikerte at det faktisk var problemer med cybersikkerhet med St. Jude medisinske enheter, og at denne sårbarheten faktisk kunne tillate cyberinntrengninger og -utnytelser som kunne være skadelige for pasientene. FDA påpekte imidlertid at ingen bevis har blitt funnet at hacking faktisk hadde skjedd i noen enkeltperson.
For det andre utgav St. Jude et programvaresikkerhetsprogramvare for cybersikkerhet designet for å redusere muligheten for hacking i sine implanterbare enheter. Programvareoppdateringen ble utviklet for å installere seg automatisk og trådløst, over St. Jude's Merlin.net. FDA anbefalte at pasienter som har disse enhetene, fortsetter å bruke St Judes trådløse overvåkingssystem, siden "helsemessige fordeler til pasienter fra fortsatt bruk av enheten oppveier cybersikkerhetsrisikoen."
Hvor forlater dette oss?
Ovennevnte beskriver ganske mye fakta som vi i offentligheten kjenner dem. Som noen som var nært involvert i utviklingen av det første implanterbare fjernkontrollsystemet (ikke St. Jude's), tolker jeg alt dette på følgende måte: Det virker sikkert at det var sikkerhetsproblemer i St. Jude fjernovervåkingssystem , og disse sårbarhetene ser ut til å ha vært uvanlige for næringen som helhet. (Så synes St. Jude's opprinnelige fornektelser å ha vært overdrevet.)Videre er det tydelig at St. Jude beveget seg raskt for å rette opp dette sårbarheten, jobbet sammen med FDA, og at disse trinnene til slutt ble ansett som tilfredsstillende av FDA. Faktisk, å dømme etter FDAs samarbeid og det faktum at sårbarheten var tilstrekkelig håndtert ved hjelp av en programvareoppdatering, synes St. Jude's problem ikke å være nesten like alvorlig som det var påstått av Mr. Block i 2016. ( Så, Mr. Blocks opprinnelige uttalelser ser ut til å ha vært overdrevet). Videre ble korreksjonene gjort før noen ble skadet.
Hvorvidt Mr. Blocks åpenbare interessekonflikt (der han kjørte ned St. Jude's aksjekurs, sto for å tjene ham til store penger), kunne ha ført til at han oversell de potensielle cyberrisikoene lyder mulig, men dette er et spørsmål for domstolene å bestemme.
For nå virker det sannsynlig at folk med St. Jude-enheter, med korrigerende programvareoppdatering, ikke har noen spesiell grunn til å være altfor opptatt av hackingangrep.
Hvorfor er implantable hjerteanordninger utsatt for cyberangrep?
Nå er de fleste av oss klar over at enhver digital enhet vi bruker i våre liv som involverer trådløs kommunikasjon, er minst teoretisk sårbar for cyberattack. Det inkluderer enhver implanterbar medisinsk enhet, som alle må kommunisere trådløst med omverdenen (det vil si verden utenfor kroppen).Muligheten for at folk eller grupper bøyde seg på det onde, kan faktisk hack inn i medisinsk utstyr, har de siste årene kommet til å virke som en reell trussel. I dette lyset kan publisiteten rundt St. Jude sårbarhetene ha hatt en positiv effekt. Det er klart at både medisinsk utstyrsindustrien og FDA nå er veldig seriøse om denne trusselen, og har nå en betydelig styrke for å møte den.
Hva gjør FDA om problemet?
FDAs oppmerksomhet har nylig blitt fokusert på dette problemet, trolig i stor grad på grunn av kontroversen over St. Jude-enheter. I desember 2016 utgav FDA et 30-siders "veilednings" -dokument for produsenter av medisinske enheter, og fastsatte et nytt sett med regler for adressering av cybersikkerhetsproblemer i medisinske enheter som allerede er i markedet. (Lignende regler for medisinske produkter som fortsatt er under utbygging ble utgitt i 2014.) De nye reglene beskriver hvordan produsenter bør gå for å identifisere og fikse sikkerhetsproblemer for cybersikkerhet i markedsførte produkter, og hvordan man etablerer programmer for å identifisere og rapportere nye sikkerhetsproblemer.Bunnlinjen
På grunn av cyberrisikoen som er forbundet med ethvert trådløst kommunikasjonssystem, er en viss grad av cybersårbarhet uunngåelig med implanterbare medisinske enheter. Men det er viktig å vite at forsvar kan bygges inn i disse produktene for å gjøre hacking bare en ekstern mulighet, og til og med Mr. Block er enig i at for de fleste bedrifter har dette skjedd. Hvis St. Jude tidligere har vært litt lat på denne saken, ser selskapet ut til å ha blitt kurert av det ved den negative publisiteten de mottok i 2016, noe som for en tid truet sin virksomhet alvorlig. St. Jude har blant annet bestilt en uavhengig Cyber Security Medical Advisory Board for å overvåke sin innsats framover. Andre medisinske enheter vil trolig følge med. Således behandler både FDA og medisinsk utstyrsproduktører problemet med økt styrke.Folk som har implantert pacemakere, ICDer eller CRT-enheter, bør absolutt være oppmerksom på spørsmålet om cybersårbarhet, da vi sannsynligvis vil høre mer om det når tiden går. Men i det minste synes risikoen for å være ganske liten, og det er absolutt oppveid av fordelene ved ekstern enhetskontroll.