Tıbbi Cihazların Aziz Jude ve Siber Güvenlik Açığı
2016 yılının sonlarında ve 2017'nin başlarında, haberler, kötü niyetle insanların potansiyel olarak bir kişinin vücuda yerleştirilebilen tıbbi cihazına girip ciddi sorunlara yol açabileceği şeklindeki hayaletleri ortaya çıkardı. Spesifik olarak, söz konusu cihazlar, St. Jude Medical Inc. tarafından pazarlanmaktadır ve kalp pili ( sinüs bradikardisini ve kalp bloğunu tedavi eden), implante edilebilir defibrilatörleri (ICD'ler) ( ventriküler taşikardi ve ventriküler fibrilasyonu tedavi eden) ve CRT cihazlarını içermektedir. kalp yetmezliğini tedavi et.
Bu haber raporları, bu tıbbi cihazlara sahip kişiler arasında, konuyu yeterli bir perspektife sokmadan korku yaratabilir.
İmplante kardiyak cihazlar siber atak riski altında mıdır? Evet, kablosuz iletişimi içeren herhangi bir dijital cihaz, kalp pili, ICD ve CRT cihazları dahil olmak üzere en azından teorik olarak savunmasızdır. Ancak şimdiye kadar, bu implante cihazların herhangi birine karşı gerçek bir siber saldırı hiçbir zaman belgelenmemiştir. Ve (büyük ölçüde hem tıbbi cihazların hem de politikacıların bilgisayar korsanlığıyla ilgili tanıtımına teşekkürler), FDA ve cihaz üreticileri şu anda bu tür güvenlik açıklarını kaldırmak için çok çalışıyorlar.
Jude Kardiyak Cihazlar ve Hacking
Hikaye ilk olarak, meşhur kısa satıcı Carson Block'un, St. Jude'nin saldırıya son derece hassas olan yüz binlerce implante edilebilir kalp pili, defibrilatör ve CRT cihazı sattığını kamuoyuna duyurduğu Ağustos 2016'da kırıldı.
Block, bağlı bulunduğu bir siber güvenlik şirketinin (MedSec Holdings, Inc.) yoğun bir soruşturma başlattığını ve St. Jude cihazlarının Hacking tarafından satılan aynı tür tıbbi cihazların aksine, saldırıya karşı benzersiz bir savunmasız olduğunu belirtti. Boston Scientific ve diğer şirketler).
Özellikle, söz konusu Blok, St. Jude sistemleri, endüstrinin geri kalanı tarafından yaygın olarak kullanılan türden koruma aygıtları, şifreleme ve hata ayıklama araçları gibi "en temel güvenlik savunmalarını bile içermez".
İddia edilen güvenlik açığı uzaktan kumandayla ilgiliydi, tüm bu cihazların kablosuz olarak izlenmesi onlara dahil edildi. Bu kablosuz izleme sistemleri, ortaya çıkan cihaz sorunlarını, zarar vermeden önce otomatik olarak algılayacak ve bu sorunları derhal doktora bildirecek şekilde tasarlanmıştır. Şu anda tüm cihaz üreticileri tarafından kullanılan bu uzaktan izleme özelliği, bu ürünlere sahip hastalar için güvenliği önemli ölçüde artıracak şekilde belgelenmiştir. Jude'nin uzaktan izleme sistemine “Merlin.net” denir.
Block'un iddiaları oldukça göz alıcıydı ve St. Jude'nin hisse senedi fiyatında ani düşüşe neden oldu. Not, St. Jude hakkındaki iddialarını yapmadan önce, Block's şirketi (Muddy Waters, LLC), St. Jude'de büyük bir kısa pozisyon almıştı. Bu, Block's şirketinin, St. Jude'nin stoğu önemli ölçüde düştüğünde milyonlarca dolar yapmak için durdu ve Abbott Labs tarafından kararlaştırılan bir anlaşma elde etmek için yeterince düşük kaldı.
Block'un iyi niyetli saldırısından sonra, St Jude, Block'un iddialarının “kesinlikle yanlış” olduğu sonucuna güçlü bir şekilde basılmış basın bültenleri ile derhal geri döndü. St. Jude ayrıca, St. Jude'nin manipüle edilmesi amacıyla sahte bilgileri yaydığı iddiasıyla Muddy Waters, LLC'ye dava açtı. stok fiyatları. Bu arada bağımsız araştırmacılar St. Jude savunmasızlık sorusunu incelediler ve farklı sonuçlara vardılar. Bir grup, St. Jude’ın cihazlarının özellikle siber saldırıya karşı savunmasız olduğunu doğruladı; Başka bir grup, olmadıkları sonucuna vardı. Tüm mesele FDA'nın kucağında bırakıldı, bu da güçlü bir soruşturma başlattı ve birkaç ay boyunca konu hakkında çok az şey duyuldu.
Bu sırada St. Jude'nin stoğu kayıp değerinin büyük bölümünü geri kazanmış ve 2016'nın sonlarında Abbott'un devralımı başarılı bir şekilde sonuçlanmıştır.
Daha sonra, Ocak 2017'de, aynı anda iki şey oldu. İlk olarak, FDA, St. Jude tıbbi cihazlarıyla gerçekten siber güvenlik problemlerinin olduğunu gösteren bir beyanat yayınladı ve bu kırılganlık, gerçekten de, hastalara zarar verebilecek siber saldırılara ve istismarlara izin verebilirdi. Ancak FDA, hacking'in gerçekte herhangi bir kişide gerçekleştiğine dair hiçbir kanıt bulunmadığına dikkat çekti.
İkincisi, St. Jude, implante edilebilir cihazlarına saldırı olasılığını büyük ölçüde azaltmak için tasarlanmış bir siber güvenlik yazılımı yaması yayınladı. Yazılım yaması, St. Jude'nin Merlin.net'inde kendini otomatik olarak ve kablosuz olarak kurmak için tasarlandı. FDA, bu cihazlara sahip olan hastaların St Jude'nin kablosuz izleme sistemini kullanmaya devam etmelerini tavsiye etti çünkü “hastaların sürekli kullanımından kaynaklanan sağlık faydaları siber güvenlik risklerinden daha ağır basıyor”.
Bu bizi nereye bırakıyor?
Anlatılagelen şey, halkın bildiği gibi gerçekleri açıklar. İlk implante edilebilir cihaz uzaktan izleme sisteminin (St. Jude'un değil) geliştirilmesiyle yakından ilgilenen biri olarak, tüm bunları şu şekilde yorumluyorum: St. Jude uzaktan izleme sisteminde gerçekten siber güvenlik açıkları olduğundan eminim. ve bu zayıflıkların sektör için sıra dışı olduğu gözüküyor. (Yani, St. Jude'nin ilk inkarları abartılı görünüyor.)
Dahası, St. Jude'nin FDA ile birlikte çalışarak bu savunmasızlığı düzeltmek için hızlı bir şekilde hareket ettiği ve bu adımların FDA tarafından tatmin edici olduğu sonucuna varılmıştır. Aslında, FDA'nın işbirliğiyle ve bir yazılım yamasıyla savunmasızlığın yeterince ele alındığı gerçeğiyle değerlendirildiğinde, St. Jude'un problemi, 2016'da Bay Block tarafından iddia edildiği gibi neredeyse şiddetli görünmüyor. Yani, Bay Block'un ilk ifadeleri abartılı görünüyor). Ayrıca, herhangi bir kişiye zarar verilmeden önce düzeltmeler yapıldı.
Sayın Block'un çıkar çatışması olup olmadığı (St. Jude'nin hisse senedi fiyatının aşağı yukarı büyük paralar elde etmesi anlamına geldiği), olası siber risklerin mümkün olan en yüksek düzeyde ses çıkarmasına neden olmuş olabilir, ancak bu, mahkemelerin belirleyeceği bir sorudur. .
Şimdilik, düzeltici yazılım yaması uygulandığında, St. Jude cihazlarına sahip kişilerin saldırı saldırıları konusunda aşırı endişe duymak için özel bir sebebi yok gibi görünüyor.
İmplante Edilebilir Kardiyak Cihazlar Neden Siber Saldırıya Duyarlıdır?
Şimdiye kadar çoğumuz, yaşamımızda kullandığımız herhangi bir dijital cihazın, kablosuz iletişimi içeren en azından teorik olarak siber saldırıya karşı savunmasız olduğunu anlıyoruz. Bu, vücuda dış dünya ile (yani, beden dışındaki dünya) haberleşmesi gereken, herhangi bir vücuda yerleştirilebilen tıbbi cihazı içerir.
Kötülükle eğilen insanların veya grupların aslında tıbbi cihazlara girme olasılığı, son birkaç yılda gerçek bir tehdit olarak görülüyor. Bu bağlamda, St. Jude açıklarını çevreleyen tanıtım olumlu bir etkiye sahip olabilir. Hem tıbbi cihaz endüstrisinin hem de FDA'nın bu tehditle ilgili olarak çok ciddi olduğu ve şu anda bunu karşılamak için önemli bir çaba gösterdiği açıktır.
FDA Problem Hakkında Ne Yapıyor?
FDA'nın dikkati, bu konuya yeni odaklanmıştı; büyük olasılıkla, büyük ölçüde, St. Jude cihazları üzerindeki tartışmalar yüzünden. 2016 Aralık ayında FDA, tıbbi cihaz üreticileri için piyasada bulunan tıbbi cihazlardaki siber güvenlik açıklarını ele alan yeni bir kurallar dizisi ortaya koyan 30 sayfalık bir “rehberlik” belgesi yayınladı. (Henüz geliştirilmekte olan tıbbi ürünler için benzer kurallar 2014 yılında yayınlanmıştır.) Yeni kurallar, üreticilerin pazarlanan ürünlerdeki siber güvenlik açıklarını tespit etmek ve düzeltmek ve yeni güvenlik sorunlarını tanımlamak ve raporlamak için programların nasıl kurulacağı hakkında bilgi vermek.
Alt çizgi
Herhangi bir kablosuz iletişim sistemi ile doğal olarak ilişkili siber riskler göz önüne alındığında, implante edilebilir tıbbi cihazlarla bir dereceye kadar siber güvenlik açığı kaçınılmazdır. Ancak, sadece bir uzaklığı kesmek için bu ürünlere savunmaların yapılabileceğini bilmek önemlidir ve hatta Bay Block, çoğu şirketin bu durumun gerçekleştiğini kabul eder. Eğer Jude daha önce bu konuyla ilgili biraz daha gevşek olsaydı, şirket 2016 yılında aldığı olumsuz tanıtımdan dolayı işini ciddi şekilde tehdit etti. Diğer şeylerin yanı sıra, St. Jude ileriye dönük çabalarını denetlemek için bağımsız bir Siber Güvenlik Tıbbi Danışma Kurulu görevlendirmiştir. Diğer tıbbi cihaz firmalarının da takım elbise takip etmesi muhtemeldir. Bu nedenle, hem FDA hem de tıbbi cihaz üreticileri sorunu daha fazla canlılıkla ele alıyor.
Kalp pili, ICD veya CRT cihazlarını implante etmiş kişiler, siber zafiyete dikkat etmelidir, zira zaman geçtikçe daha fazla duymaktayız. Ama şimdilik, en azından, risk oldukça küçük gibi görünüyor ve kesinlikle uzak cihaz izleme yararları ile ağır bastı.
> Kaynaklar:
> FDA. Jude Medical'in İmplante Edilebilir Kardiyak Cihazlarında ve Merlin @ home Transmitter'da Tanımlanan Siber Güvenlik Açıkları: FDA Güvenlik İletişimi. 9 Ocak 2017.
> Çamurlu Sular. STJ / ABT'nin Siber Güvenlik Açıkları Bilgilerine İlişkin MW Bildirimi. Basın açıklaması 9 Ocak 2017.
> St Jude Tıp. St Jude Medical, Cybersecurity Updates basın bültenini duyurdu. 9 Ocak 2017.