St. Jude och Cyber Vulnerability of Medical Devices
I slutet av 2016 och början av 2017 höjde nyhetsrapporter språket att personer med dåliga avsikter skulle kunna hacka in i en individs implanterbara medicinska apparat och orsaka allvarliga problem. I synnerhet marknadsförs de aktuella enheterna av St. Jude Medical, Inc. och inkluderar pacemakers (som behandlar sinus bradykardi och hjärtblod ), implanterbara defibrillatorer (ICD) (som behandlar ventrikulär takykardi och ventrikelflimmer ) och CRT-enheter (som behandla hjärtsvikt ).
Dessa nyhetsrapporter kan ha ökat rädslan bland personer som har dessa medicinska apparater utan att placera frågan i tillräckligt perspektiv.
Är implanterade hjärtanordningar utsatta för cyberattacker? Ja, för att en digital enhet som innehåller trådlös kommunikation är åtminstone teoretiskt sårbar, inklusive pacemaker, ICD och CRT-enheter. Men hittills har en faktisk cyberattack mot någon av dessa implanterade enheter aldrig dokumenterats. Och (tack till stor del till den senaste publiciteten om hacking, både medicintekniska produkter och politiker) arbetar FDA och enhetstillverkarna nu hårt för att korrigera eventuella sårbarheter.
St. Jude Cardiac Devices and Hacking
Berättelsen först bröt i augusti 2016 när den berömda säljaren Carson Block offentligt meddelade att St. Jude hade sålt hundratusentals implanterbara pacemakers, defibrillatorer och CRT-enheter som var extremt utsatta för hacking.
Block sa att ett företag för cybersäkerhet som han var ansluten till (MedSec Holdings, Inc.), hade gjort en intensiv undersökning och fann att St. Jude-enheter var unikt utsatta för hacking (i motsats till samma medicinska apparater som säljs av Medtronic, Boston Scientific och andra företag).
I synnerhet sade Block, st. Jude-systemen "saknade även de mest grundläggande säkerhetsförsvaren", såsom anti-manipuleringsanordningar, kryptering och anti-debugging-verktyg, av det slag som vanligtvis används av resten av branschen.
Den påstådda sårbarheten var relaterad till fjärrkontrollen, trådlös övervakning som alla dessa enheter har byggt in i dem. Dessa trådlösa övervakningssystem är utformade för att automatiskt detektera problem med nya enheter innan de kan orsaka skada och omedelbart kommunicera dessa problem med läkaren. Denna fjärrövervakningsfunktion, som nu används av alla tillverkare av apparater, har dokumenterats för att förbättra säkerheten avsevärt för patienter som har dessa produkter. St. Judes fjärrövervakningssystem heter "Merlin.net".
Blocks påståenden var ganska spektakulära och orsakade en omedelbar nedgång i St. Judes aktiekurs - vilket just var Blocks uttalade mål. Observera, innan han gjorde sina påståenden om St. Jude, Block's company (Muddy Waters, LLC), hade tagit en stor kort position i St. Jude. Detta innebar att Block's företag stod för att göra miljoner dollar om St. Jude's lager sjönk väsentligt och var tillräckligt låg för att skötta ett överenskommet förvärv av Abbott Labs.
Efter Blockens välkända angrepp sparkade St Jude omedelbart tillbaka med starkt formulerade pressmeddelanden, vilket innebär att Blocks påståenden var "helt osäkra". St. Jude stämde också Muddy Waters, LLC för att påstås sprida falsk information för att manipulera St. Jude s aktiepriser. Under tiden tittade oberoende utredare på S: t Jude sårbarhetsfrågan och kom till olika slutsatser. En grupp bekräftade att St. Jude enheter var särskilt utsatta för cyberattack; en annan grupp drog slutsatsen att de inte var det. Hela frågan släpptes i knutet till FDA, som lanserade en kraftfull utredning, och lite höras om saken i flera månader.
Under den tiden återhämtade St. Jude's lager mycket av sitt förlorade värde, och i slutet av 2016 blev förvärvet av Abbott framgångsrikt slutfört.
Därefter hände i januari 2017 två saker samtidigt. För det första släppte FDA ett uttalande som tyder på att det verkligen fanns problem med cybersäkerhet med medicinsk utrustning från St. Jude, och att denna sårbarhet verkligen skulle möjliggöra cyberintrång och exploater som kan vara skadliga för patienterna. FDA påpekade emellertid att inga bevis har konstaterats att hacking faktiskt hade ägt rum i någon individ.
För det andra släppte St. Jude en mjukvarupatch för cybersecurity utformad för att kraftigt minska möjligheten att hacka in i sina implanterbara enheter. Programvaran patch var utformad för att installera sig automatiskt och trådlöst, över St. Jude's Merlin.net. FDA rekommenderade att patienter som har dessa enheter fortsätter att använda St Judes trådlösa övervakningssystem, eftersom "hälsofördelarna för patienter från fortsatt användning av enheten överväger cybersäkerhetsriskerna".
Var lämnar detta oss?
Ovanstående beskriver ganska mycket fakta som vi i allmänhet känner till dem. Som någon som var intimt involverad i utvecklingen av det första implanterbara fjärrövervakningssystemet (inte St. Jude's), tolkar jag allt detta på följande sätt: Det verkar säkert att det fanns säkert säkerhetsproblem i fjärrövervakningssystemet St. Jude , och dessa sårbarheter verkar ha varit vanliga för branschen som helhet. (Så, St. Jude: s ursprungliga förnekanden verkar ha varit överdrivna.)
Vidare är det uppenbart att St. Jude flyttade snabbt för att avhjälpa denna sårbarhet, som fungerade tillsammans med FDA, och att dessa steg i slutändan ansågs tillfredsställande av FDA. I själva verket verkar det inte vara så allvarligt som St. Blude påstod av 2016. Faktum är att domar av FDA: s samarbete och det faktum att sårbarheten behandlades tillräckligt med hjälp av en mjukvarupatch Så, Blåks initiala uppgifter verkar ha varit överdrivna). Vidare gjordes rättelser innan någon skadades.
Oavsett om Mr. Blocks uppenbara intressekonflikt (genom att köra ner St Jude-aktiekursen stod för att han skulle tjäna stora pengar), skulle kunna få honom att överdriva de potentiella cyberriskerna låter möjligt, men det här är en fråga för domstolarna att bestämma .
För närvarande verkar det troligt att, med korrigeringsprogramvaran patch applicerat, människor med St. Jude enheter har ingen särskild anledning att vara alltför bekymrad över hacking attacker.
Varför är implanterbara hjärtinstrument utsatta för cyberattack?
För närvarande inser de flesta av oss att alla digitala enheter som vi använder i våra liv som involverar trådlös kommunikation är åtminstone teoretiskt sårbara för cyberattack. Det inkluderar alla implanterbara medicinska enheter, som alla måste kommunicera trådlöst med omvärlden (det vill säga världen utanför kroppen).
Möjligheten att människor eller grupper böjda på ondskan verkligen kan hacka in i medicinsk utrustning har under de senaste åren blivit mer av ett verkligt hot. I detta ljus kan publiciteten kring St. Jude sårbarheter ha haft en positiv effekt. Det är uppenbart att både medicinsk apparatindustrin och FDA nu är mycket seriösa om detta hot och nu agerar med stor kraft för att möta det.
Vad gör FDA om problemet?
FDA: s uppmärksamhet har nyligen fokuserats på denna fråga, troligen i stor utsträckning på grund av kontroversen över St. Jude-enheter. I december 2016 släppte FDA ett 30-sidigt "vägledning" -dokument för tillverkare av medicintekniska produkter och lade fram en ny uppsättning regler för att ta itu med cyber-sårbarheter i medicinsk utrustning som redan finns på marknaden. (Liknande regler för medicinska produkter som fortfarande är under utveckling publicerades 2014.) De nya reglerna beskriver hur tillverkare ska gå för att identifiera och fixa säkerhetsproblem i marknadsförda produkter och hur man etablerar program för att identifiera och rapportera nya säkerhetsproblem.
Poängen
Med tanke på de cyberrisker som är förknippade med något trådlöst kommunikationssystem är viss grad av cybersårbarhet oundviklig med implanterbara medicinska anordningar. Men det är viktigt att veta att försvar kan byggas in i dessa produkter för att göra hacken bara en avlägsen möjlighet, och till och med Mr Block håller med om att det för de flesta företag har hänt. Om St. Jude tidigare har varit lite lat om denna fråga, verkar företaget ha blivit botad av den negativa reklam som de fick 2016, vilket för en tid hotade sin verksamhet. St. Jude har bland annat beställt en oberoende rådgivande rådgivare för rådgivning i Cyber Security för att övervaka sina ansträngningar framöver. Andra medicintekniska företag kommer sannolikt att följa efter. Således behandlar både FDA och medicintekniska tillverkare problemet med ökad kraft.
Människor som har implanterat pacemaker, ICD eller CRT-enheter borde verkligen uppmärksamma frågan om cybersårbarhet, eftersom vi sannolikt kommer att höra mer om det när tiden går. Men för tillfället verkar risken i alla fall vara ganska liten och uppskattas verkligen av fördelarna med fjärrövervakning av enheter.
> Källor:
> FDA. Cybersecurity Vulnerabilities Identifierad i St. Jude Medical's Implantable Cardiac Devices och Merlin @ Home Transmitter: FDA Safety Communication. 9 januari 2017.
> Muddy Waters. MW-uttalande om STJ / ABT-bekräftelse av säkerhetsrisker för cyber. Pressmeddelande 9 januari 2017.
> St Jude Medical. St Jude Medical tillkännager pressmeddelandet Cybersecurity Updates. 9 januari 2017.