St Jude dan Kerentanan Siber Peranti Perubatan
Pada akhir 2016 dan awal 2017, laporan berita menimbulkan hantu bahawa orang yang mempunyai niat buruk boleh berpotensi meretas ke peranti perubatan implan individu dan menyebabkan masalah yang serius. Khususnya, peranti yang dipersoalkan dipasarkan oleh St. Jude Medical, Inc., dan termasuk alat pacu jantung (yang merawat bradikardia sinus dan blok jantung ), defibrilator implan (ICDs) (yang merawat tachycardia ventrikel dan fibrillasi ventrikel ), dan peranti CRT (yang merawat kegagalan jantung ).
Laporan berita ini mungkin menimbulkan kebimbangan di kalangan orang yang mempunyai peranti perubatan ini tanpa meletakkan isu itu menjadi perspektif yang mencukupi.
Adakah peranti jantung yang ditanam berisiko untuk serangan siber? Ya, kerana mana-mana peranti digital yang termasuk komunikasi tanpa wayar sekurang-kurangnya secara teori terdedah, termasuk alat pacu jantung, ICD dan peranti CRT. Tetapi setakat ini, serangan siber sebenar terhadap mana-mana peranti yang ditanam ini tidak pernah didokumenkan. Dan (terima kasih sebahagian besarnya kepada publisiti baru-baru ini mengenai peretasan, kedua-dua alat perubatan dan ahli politik), FDA dan pengeluar peranti kini bekerja keras untuk menambal sebarang kelemahan seperti itu.
Peranti Jantung dan Jantung St. Jude
Kisah pertama kali pecah pada bulan Ogos, 2016 ketika Carson Block yang menjual penjual pendek terkenal mengumumkan bahawa St. Jude telah menjual ratusan ribu alat pacu jantung, defibrillator dan alat CRT yang sangat rentan terhadap penggodaman.
Blok mengatakan bahawa syarikat keselamatan siber yang mana dia berafiliasi (MedSec Holdings, Inc.), telah melakukan penyiasatan yang intensif dan mendapati bahawa peranti St Jude adalah unik terdedah kepada penggodaman (berbanding dengan jenis peranti perubatan yang sama yang dijual oleh Medtronic, Boston Scientific, dan syarikat lain).
Khususnya, kata Blok, sistem St Jude "tidak mempunyai pertahanan keselamatan yang paling asas," seperti alat-alat anti pengubahan, penyulitan, dan alat anti-debugging, jenis yang biasa digunakan oleh industri lain.
Kelemahan yang dikatakan berkaitan dengan pemantauan jarak jauh, wayarles semua peranti ini telah dibina ke dalamnya. Sistem pemantauan wayarles ini direka untuk mengesan masalah peranti baru yang secara automatik sebelum mereka dapat menyebabkan kemudaratan, dan mengkomunikasikan masalah ini dengan segera kepada doktor. Ciri pemantauan jarak jauh, yang kini digunakan oleh semua pengeluar peranti, telah didokumenkan untuk meningkatkan keselamatan secara signifikan bagi pesakit yang mempunyai produk ini. Sistem pemantauan jarak jauh St. Jude dipanggil "Merlin.net."
Tuduhan blok itu cukup hebat dan menyebabkan kejatuhan harga saham St. Jude-yang tepat adalah matlamat Blok yang dinyatakan. Sebelum ini, sebelum membuat tuduhannya mengenai St. Jude, syarikat Blok (Muddy Waters, LLC), telah mengambil kedudukan pendek di St. Jude. Ini bermakna syarikat Blok berdiri untuk membuat berjuta-juta dolar sekiranya stok St Jude turun dengan ketara, dan kekal rendah untuk menjaringkan pemerolehan yang dipersetujui oleh Abbott Labs.
Selepas serangan Blok yang dipublikasikan dengan baik, St Jude dengan segera melepaskan diri dengan siaran akhbar yang kuat sehingga efek Blok itu "benar-benar tidak benar". St. Jude juga menyaman Muddy Waters, LLC kerana didakwa menyebarkan maklumat palsu untuk memanipulasi St. Jude harga stok. Sementara itu, penyiasat bebas memandang soalan kelemahan St Jude dan datang kepada kesimpulan yang berbeza. Satu kumpulan mengesahkan bahawa peranti St Jude sangat terdedah kepada serangan siber; kumpulan lain membuat kesimpulan bahawa mereka tidak. Seluruh isu itu digugurkan di pangkuan FDA, yang melancarkan siasatan yang kuat, dan sedikit didengar mengenai perkara itu selama beberapa bulan.
Pada masa itu stok St Jude pulih banyak nilai yang hilang, dan pada akhir 2016 pengambilalihan oleh Abbott telah berjaya diselesaikan.
Kemudian, pada Januari, 2017, dua perkara berlaku serentak. Pertama, FDA melancarkan pernyataan yang menunjukkan terdapat masalah keselamatan siber dengan peralatan perubatan St. Jude, dan kelemahan ini boleh membiarkan pencerobohan dan eksploitasi siber yang dapat membahayakan pesakit. Walau bagaimanapun, FDA menegaskan bahawa tiada bukti telah didapati bahawa penggodaman sebenarnya berlaku di mana-mana individu.
Kedua, St Jude mengeluarkan patch perisian keselamatan siber yang direka untuk mengurangkan kemungkinan penggodaman ke dalam peranti implan mereka. Patch perisian direka untuk memasang sendiri secara automatik dan tanpa wayar, merentasi Merlin.net St. Jude. FDA mengesyorkan bahawa pesakit yang mempunyai peranti ini terus menggunakan sistem pengawasan wayarles St Jude, kerana "manfaat kesihatan kepada pesakit dari penggunaan terus alat ini melebihi risiko keselamatan siber."
Di manakah ini meninggalkan kami?
Yang terdahulu cukup banyak menerangkan fakta-fakta seperti yang kita kenali di kalangan orang ramai. Sebagai seseorang yang terlibat dengan pembangunan sistem pengawasan terpencil yang pertama (bukan St Jude), saya menafsirkan semua ini dengan cara yang berikut: Nampaknya ada sesetengah kelemahan keselamatan cybersecurity dalam sistem pengawasan jauh St Jude , dan kelemahan ini nampaknya telah menjadi biasa bagi industri pada umumnya. (Jadi, penafian awal St Jude nampaknya dibesar-besarkan.)
Selanjutnya, jelas bahawa St Jude bergerak dengan cepat untuk mengatasi kerentanan ini, bekerja bersamaan dengan FDA, dan bahawa langkah-langkah ini pada akhirnya dianggap memuaskan oleh FDA. Malah, berdasarkan kerjasama FDA dan hakikat bahawa kelemahan itu cukup ditangani dengan cara patch perisian, masalah St Jude seolah-olah tidak begitu parah seperti yang dikatakan oleh Blok Encik pada tahun 2016. ( Oleh itu, kenyataan awal Encik Block kelihatannya dibesar-besarkan). Selain itu, pembetulan telah dibuat sebelum sesiapa yang dirugikan.
Sama ada konflik faedah Encik Block yang berterusan (di mana memandangkan harga stok St Jude berdiri untuk menjatuhkannya dolar besar), mungkin telah menyebabkannya untuk menanggung risiko potensi cyber yang mungkin terdengar mungkin, tetapi ini adalah persoalan bagi mahkamah undang-undang untuk menentukan .
Buat masa ini, nampaknya, dengan patch perisian pembetulan digunakan, orang-orang dengan peranti St Jude tidak mempunyai sebab tertentu untuk terlalu prihatin terhadap serangan hacking.
Mengapa Peranti Jantung Implan Boleh Kerentanan kepada Serangan Siber?
Sekarang kebanyakan kita sedar bahawa mana-mana peranti digital yang kita gunakan dalam kehidupan kita yang melibatkan komunikasi tanpa wayar sekurang-kurangnya secara teorinya terdedah kepada cyberattack. Ini termasuk mana-mana peranti perubatan yang dapat ditanam, yang semuanya mesti berkomunikasi secara wayarles dengan dunia luar (iaitu, dunia di luar badan).
Kemungkinan orang atau kumpulan yang membongkar kejahatan mungkin benar-benar menggodam peranti perubatan telah, dalam beberapa tahun kebelakangan ini, kelihatan lebih banyak ancaman sebenar. Dalam cahaya ini, publisiti yang mengelilingi kelemahan St. Jude mungkin mempunyai kesan positif. Sudah jelas bahawa kedua-dua industri peranti perubatan dan FDA kini sangat serius mengenai ancaman ini, dan kini bertindak dengan semangat yang penting untuk menemuinya.
Apakah FDA Melakukan Masalah?
Perhatian FDA telah memberi tumpuan baru kepada isu ini, mungkin sebahagian besarnya kerana kontroversi terhadap peranti St Jude. Pada bulan Disember, 2016, FDA mengeluarkan dokumen "panduan" 30 halaman bagi pengeluar peranti perubatan, meletakkan satu set peraturan baru untuk menangani kekurangan siber dalam peranti perubatan yang sudah ada di pasaran. (Peraturan yang sama untuk produk perubatan yang masih dalam pembangunan diterbitkan pada tahun 2014.) Peraturan baru menggambarkan bagaimana pengeluar perlu mengenal pasti dan membetulkan kelemahan keselamatan siber dalam produk yang dipasarkan, dan cara menubuhkan program untuk mengenal pasti dan melaporkan masalah keselamatan baru.
Garisan bawah
Memandangkan risiko siber secara inheren dikaitkan dengan mana-mana sistem komunikasi tanpa wayar, beberapa tahap kerentanan siber tidak dapat dielakkan dengan peranti perubatan yang dapat dilaksanakan. Tetapi penting untuk mengetahui bahawa pertahanan boleh dibina ke dalam produk ini untuk membuat penggodaman hanya kemungkinan jauh, dan bahkan Encik Block bersetuju bahawa untuk kebanyakan syarikat ini telah terjadi. Jika St Jude sebelum ini agak kurang mengenai perkara ini, syarikat itu kelihatan telah disembuhkan oleh publisiti negatif yang mereka terima pada tahun 2016, yang selama ini mengancam perniagaan mereka. Antara lain, St Jude telah menugaskan Lembaga Penasihat Perubatan Keselamatan Cyber bebas untuk mengawasi usaha-usahanya untuk maju. Syarikat-syarikat peranti perubatan lain mungkin mengikuti. Oleh itu, kedua-dua pengeluar peranti FDA dan perubatan menangani masalah ini dengan meningkatkan semangat.
Orang-orang yang memasang perentak jantung, peranti ICD atau CRT pastinya akan memberi perhatian kepada isu kelemahan siber, kerana kami mungkin mendengar lebih banyak tentang perkara itu seiring dengan berlalunya masa. Tetapi buat masa ini, sekurang-kurangnya, risiko nampaknya agak kecil, dan pastinya jauh melebihi faedah pemantauan peranti jarak jauh.
> Sumber:
> FDA. Kerentanan Cybersecurity Dikenal di Peranti Jantung Perubatan St Jude Perubatan dan Merlin @ home Transmitter: Komunikasi Keselamatan FDA. 9 Januari 2017.
> Muddy Waters. Pernyataan MW mengenai STJ / ABT Pengakuan Kelemahan Cyber. Siaran akhbar 9 Januari 2017.
> St Jude Medical. St Jude Medical mengumumkan pembaharuan akhbar Cybersecurity. 9 Januari 2017.