St. Jude at Cyber Vulnerability ng Medical Devices
Sa huling bahagi ng 2016 at maagang bahagi ng 2017, itinaas ng mga ulat ng balita na ang mga taong may masamang hangarin ay maaaring potensyal na mag-hack sa isang indibidwal na implantable na medikal na aparato at maging sanhi ng mga malubhang problema. Sa partikular, ang mga device na pinag- uusapan ay ibinebenta sa pamamagitan ng St. Jude Medical, Inc., at kasama ang mga pacemaker (na tinuturing ang sinus bradycardia at bloke ng puso ), mga implantable defibrillators (ICDs) (na nakikitungo sa ventricular tachycardia at ventricular fibrillation ), at CRT devices gamutin ang pagkabigo sa puso ).
Ang mga ulat na ito ng balita ay maaaring magkaroon ng mga takot sa mga taong may mga aparatong medikal na hindi inilalagay ang isyu sa sapat na pananaw.
Nakakatanim ba ang mga aparatong para puso sa panganib para sa cyber attack? Oo, dahil ang anumang digital na aparato na kinabibilangan ng wireless na komunikasyon ay hindi bababa sa teoretikong mahina, kabilang ang mga device ng pacemaker, ICD at CRT. Ngunit sa ngayon, isang aktwal na pag-atake ng cyber laban sa alinman sa mga naka-embed na device na ito ay hindi kailanman na-dokumentado. At (salamat sa malaking bahagi sa kamakailang publisidad tungkol sa pag-hack, kapwa ng mga aparatong medikal at ng mga pulitiko), ang FDA at ang mga tagagawa ng kagamitan ay nagsisikap na ngayon upang ayusin ang anumang mga kahinaan.
St. Jude Cardiac Devices and Hacking
Ang kuwento ay unang sinira noong Agosto, 2016 nang ipahayag ng sikat na maikli na nagbebenta ng Carson Block na nagbebenta si St. Jude ng daan-daang libong mga implantable na mga pacemaker, mga defibrillator at CRT device na lubhang mahina sa pag-hack.
Ang block ay nagsabi na ang isang cybersecurity company na kung saan siya ay kaanib (MedSec Holdings, Inc.), ay gumawa ng isang masinsinang pagsisiyasat at natagpuan na ang mga aparatong St. Jude ay katangi-tanging mahina laban sa pag-hack (kumpara sa parehong uri ng mga medikal na device na ibinebenta ng Medtronic, Boston Scientific, at iba pang mga kumpanya).
Sa partikular, sinabi Block, ang mga sistema ng St. Jude ay "kulang kahit na ang pinaka-pangunahing panlaban sa seguridad," tulad ng mga anti-tampering device, encryption, at anti-debugging tool, ng uri na karaniwang ginagamit ng iba pang mga industriya.
Ang di-umano'y kahinaan ay may kaugnayan sa remote, wireless na pagsubaybay sa lahat ng mga aparatong ito na binuo sa kanila. Ang mga wireless monitoring system na ito ay dinisenyo upang awtomatikong makita ang mga umuusbong na mga problema sa aparato bago sila makagawa ng pinsala, at agad na iparating ang mga problemang ito sa doktor. Ang remote na tampok ng pagmamanman, na ngayon ay nagtatrabaho sa lahat ng mga tagagawa ng device, ay naitala na makabuluhang mapabuti ang kaligtasan para sa mga pasyente na may mga produktong ito. Ang remote monitoring system ni St. Jude ay tinatawag na "Merlin.net."
Ang mga paratang ng Block ay medyo kamangha-manghang at dulot ng agarang pagbaba sa presyo ng stock ni St. Jude-na tiyak na layunin ng Block. Sa nota, bago gumawa ng kanyang mga paratang tungkol sa St. Jude, ang kumpanya ng Block (Muddy Waters, LLC), ay nagkaroon ng malaking maikling posisyon sa St. Jude. Nangangahulugan ito na ang kumpanya ng Block ay nakatayo upang makagawa ng milyun-milyong dolyar kung ang stock ni St. Jude ay nahulog nang malaki, at nanatiling mababa ang sapat upang i-scotch ang isang napagkasunduan sa pagkuha ng Abbott Labs.
Pagkatapos ng maayos na pag-atake sa Block, agad na pinabalik ni St Jude ang malakas na mga pahayag ng press release sa epekto na ang mga paratang ni Block ay "ganap na hindi totoo." Sinusubra din ni St. Jude ang Muddy Waters, LLC dahil sa diumano'y pagpapalaganap ng maling impormasyon upang manipulahin ang St. Jude's mga presyo ng stock. Samantala, ang mga independyenteng imbestigador ay tumingin sa tanong na kahinaan ng St. Jude at dumating sa iba't ibang konklusyon. Kinumpirma ng isang grupo na ang mga kagamitang St. Jude ay partikular na mahina laban sa pag-atake sa cyber; Napagpasyahan ng ibang grupo na hindi sila. Ang buong isyu ay bumaba sa kandungan ng FDA, na naglunsad ng masiglang pagsisiyasat, at kaunti ang narinig ng bagay sa loob ng maraming buwan.
Sa panahong iyon ay nakuhang muli ang stock ni St. Jude ng nawawalang halaga nito, at sa huli ng 2016 ang matagumpay na pagkakaloob ng pagkuha ni Abbott.
Pagkatapos, noong Enero, 2017, dalawang bagay ang nangyari nang sabay-sabay. Una, ang FDA ay nagpalabas ng isang pahayag na nagpapahiwatig na mayroong mga problema sa cybersecurity sa mga aparatong medikal ng St. Jude, at ang kahinaan na ito ay maaaring magpapahintulot sa mga cyber intrusion at pagsasamantala na maaaring makaminsala sa mga pasyente. Gayunpaman, itinuturo ng FDA na walang katibayan na natagpuan na ang pag-hack ay talagang kinuha sa anumang indibidwal.
Ikalawa, inilabas ni St. Jude ang isang cybersecurity patch software na dinisenyo upang lubos na bawasan ang posibilidad ng pag-hack sa kanilang mga implantable device. Ang software patch ay dinisenyo upang i-install mismo awtomatikong at wireless, sa buong St. Jude ng Merlin.net. Inirerekomenda ng FDA na ang mga pasyenteng may mga aparatong ito ay patuloy na gumagamit ng sistema ng pagmamanman ng wireless na St Jude, dahil "ang mga benepisyo sa kalusugan sa mga pasyente mula sa patuloy na paggamit ng device ay lumalabas sa mga panganib sa cybersecurity."
Saan Nag-iwan Ito sa Amin?
Ang nabanggit na medyo naglalarawan ng mga katotohanan habang nakikilala natin ang publiko. Tulad ng isang taong malapit na kasangkot sa pag-unlad ng unang maipapatupad na aparato remote monitoring system (hindi St. Jude's), binibigyang-kahulugan ko ang lahat ng ito sa sumusunod na paraan: Tila tiyak na mayroong mga cybersecurity kahinaan sa sistema ng remote monitoring ng St. Jude , at ang mga kahinaan na ito ay lumitaw na sa karaniwan para sa industriya sa malaki. (Kaya, ang mga unang pagtanggi ng St. Jude ay tila pinalaking.)
Dagdag pa, maliwanag na mabilis na lumipat si St. Jude upang pahintulutan ang kahinaan na ito, nagtatrabaho kasabay ng FDA, at ang mga hakbang na ito ay itinuturing na kasiya-siya sa FDA. Sa katunayan, ang paghusga sa pamamagitan ng pakikipagtulungan ng FDA at ang katunayan na ang kahinaan ay sapat na inilahad sa pamamagitan ng isang patch ng software, ang problema ni St. Jude ay tila hindi halos kasing dati ng pinaghihinalaang ni Mr. Block sa 2016. ( Kaya, ang mga unang pahayag ni Mr. Block ay tila pinalaki). Higit pa rito, ginawa ang mga pagwawasto bago sinaktan ang sinuman.
Kung ang bangungot ng interes ni Mr. Block (kung saan ang pagmamaneho ng presyo ng stock ni St Jude ay nakatayo sa netong malaking bangko), maaaring maging sanhi siya sa oversell ang mga potensyal na cyber na panganib na posible, ngunit ito ay isang tanong para sa mga korte ng batas upang matukoy .
Para sa ngayon tila malamang na, sa pamamagitan ng pagwawasto ng patch ng software na inilalapat, ang mga taong may mga aparatong St. Jude ay walang partikular na dahilan na labis na nag-aalala tungkol sa pag-atake ng pag-hack.
Bakit ang mga Device na Implantable Para sa puso ay nahihina sa Cyber Attack?
Sa ngayon karamihan sa atin ay napagtanto na ang anumang digital na aparato na ginagamit natin sa ating buhay na nagsasangkot ng wireless na komunikasyon ay hindi bababa sa teoretikong mahina sa cyberattack. Kasama rito ang anumang implantable medical device, na lahat ay dapat makipag-usap nang wireless sa labas ng mundo (iyon ay, ang mundo sa labas ng katawan).
Ang posibilidad na ang mga tao o mga grupo na nakatungo sa kasamaan ay maaaring tunay na sumagis sa mga aparatong medikal ay, sa nakalipas na ilang taon, ay tila higit na isang tunay na pananakot. Sa ganitong liwanag, ang publisidad na nakapaligid sa mga kahinaan ng St. Jude ay maaaring may positibong epekto. Ito ay malinaw na ang parehong industriya ng medikal na aparato at ang FDA ay ngayon napaka seryoso tungkol sa banta na ito, at ngayon kumikilos na may makabuluhang lakas upang matugunan ito.
Ano ang Paggawa ng FDA Tungkol sa Problema?
Ang pansin ng FDA ay bagong nakatutok sa isyung ito, malamang sa malaking bahagi dahil sa kontrobersya sa mga aparatong St. Jude. Noong Disyembre, 2016, inilabas ng FDA ang isang 30-pahinang "gabay" na dokumento para sa mga tagagawa ng mga aparatong medikal, na nagtatakda ng isang bagong hanay ng mga panuntunan para sa pagtugon sa mga cyber-vulnerabilities sa mga aparatong medikal na nasa merkado. (Ang mga katulad na alituntunin para sa mga medikal na produkto na pa rin na binuo ay na-publish noong 2014.) Ang mga bagong patakaran ay naglalarawan kung paano dapat na lumabas ang mga tagagawa tungkol sa pagtukoy at pag-aayos ng mga kahinaan sa cybersecurity sa mga produktong nabenta, at kung paano magtatag ng mga programa upang makilala at mag-ulat ng mga bagong problema sa seguridad.
Ang Bottom Line
Dahil sa mga panganib sa cyber na likas na nauugnay sa anumang wireless na sistema ng komunikasyon, ang ilang antas ng cyber vulnerability ay hindi maiiwasan sa mga implantable medical devices. Ngunit mahalagang malaman na ang mga depensa ay maaaring itayo sa mga produktong ito upang gawing malayuang posibilidad ang pag-hack, at kahit na si Ginoong Block ay sumang-ayon na para sa karamihan ng mga kumpanya na ito ay nangyari. Kung si St. Jude ay dati nang luma tungkol sa bagay na ito, ang kumpanya ay lilitaw na napagaling ng mga ito sa pamamagitan ng negatibong publisidad na natanggap nila sa 2016, na para sa isang oras seryosong nanganganib sa kanilang negosyo. Kabilang sa iba pang mga bagay, si St. Jude ay nag-atas ng isang malayang Cyber Security Medical Advisory Board upang masubaybayan ang mga pagsusumikap nito pasulong. Ang iba pang mga kumpanya ng medikal na aparato ay malamang na sumunod sa suit. Kaya, ang parehong mga tagagawa ng FDA at mga aparatong pang-medikal ay tinutugunan ang isyu na may mas mataas na kalakasan.
Ang mga taong may implanted pacemakers, ICDs o CRT na mga aparato ay dapat na tiyak na magbayad ng pansin sa mga isyu ng cyber kahinaan, bilang namin ay malamang na marinig ang higit pa tungkol sa mga ito bilang oras napupunta sa pamamagitan ng. Ngunit sa ngayon, kahit na ang panganib ay tila napakaliit, at tiyak na napakalaki ng mga benepisyo ng pagsubaybay sa malayuang aparato.
> Pinagmulan:
> FDA. Cybersecurity Vulnerabilities Identified in St. Jude Medical's Implantable Devi Devices and Merlin @ home Transmitter: FDA Safety Communication. Enero 9, 2017.
> Muddy Waters. MW Statement on STJ / ABT Pagkilala sa Cyber Vulnerabilities. Pindutin ang paglabas Enero 9, 2017.
> St Jude Medikal. Ang St Jude Medikal ay nag-aanunsyo ng press release ng Cybersecurity Updates. Enero 9, 2017.