Kan implanterbara pacemakers och defibrillatorer hackas?
Är implanterade hjärtanordningar i fara för cyberattacker? Ja, för att en digital enhet som innehåller trådlös kommunikation är åtminstone teoretiskt sårbar, inklusive pacemakare, ICD och CRT-enheter. Men hittills har en faktisk cyberattack mot någon av dessa implanterade enheter aldrig dokumenterats. Och (tack till stor del till den senaste publiciteten om hacking, både medicintekniska produkter och politiker) arbetar FDA och enhetstillverkarna nu hårt för att korrigera sådana sårbarheter.
St. Jude Cardiac Devices och Hacking
Berättelsen först bröt i augusti 2016 när den berömda säljaren Carson Block meddelade offentligt att St. Jude hade sålt hundratusentals implanterbara pacemakers, defibrillatorer och CRT-enheter som var extremt utsatta för hacking. Block sa att ett företag för cybersäkerhet som han var ansluten till (MedSec Holdings, Inc.) hade gjort en intensiv undersökning och fann att St. Jude-enheter var unikt utsatta för hacking (i motsats till samma medicinska apparater som säljs av Medtronic, Boston Scientific och andra företag). I synnerhet sade Block, St. Jude-systemen "saknade även de mest grundläggande säkerhetsförsvaren", såsom anti-manipuleringsanordningar, kryptering och anti-debugging-verktyg, av det slag som vanligtvis används av resten av branschen.Den påstådda sårbarheten var relaterad till fjärrkontrollen, trådlös övervakning som alla dessa enheter har byggt in i dem. Dessa trådlösa övervakningssystem är utformade för att automatiskt upptäcka problem med nya enheter innan de kan orsaka skada och omedelbart kommunicera dessa problem med läkaren. Denna fjärrövervakningsfunktion, som nu används av alla tillverkare av apparater, har dokumenterats för att förbättra säkerheten avsevärt för patienter som har dessa produkter. St. Judes fjärrövervakningssystem heter "Merlin.net".
Blocks påståenden var ganska spektakulära och orsakade en omedelbar nedgång i St. Judes aktiekurs - vilket var exakt Blocks uttalade mål. Observera, innan han gjorde sina påståenden om St. Jude, hade Block's company (Muddy Waters, LLC) haft en stor kort position i St. Jude. Detta innebar att Blocks företag stod för att tjäna miljarder dollar om St. Jude's lager sjönk väsentligt och var tillräckligt låg för att skötta ett överenskommet förvärv av Abbott Labs.
Efter Blockens välkända angrepp sparkade St Jude omedelbart tillbaka med starkt formulerade pressmeddelanden, vilket innebär att Blocks påståenden var "helt osanna." St. Jude stämde också Muddy Waters, LLC för att påstås sprida falsk information för att manipulera St. Jude s aktiepriser. Under tiden tittade oberoende utredare på S: t Jude sårbarhetsfrågan och kom till olika slutsatser. En grupp bekräftade att St. Jude enheter var särskilt utsatta för cyberattack; En annan grupp drog slutsatsen att de inte var det. Hela problemet släpptes i knutet till FDA, som lanserade en kraftfull utredning, och lite höras om saken i flera månader. Under den tiden återhämtade St. Jude's lager mycket av sitt förlorade värde, och i slutet av 2016 blev förvärvet av Abbott framgångsrikt slutfört.
Sedan, i januari 2017, hände två saker samtidigt. Först släppte FDA ett uttalande som tyder på att det fanns faktiskt problem med cybersäkerhet med medicinsk utrustning från St. Jude, och att denna sårbarhet verkligen skulle möjliggöra cyberintrång och exploater som kan vara skadliga för patienterna. FDA påpekade emellertid att inga bevis har konstaterats att hacking faktiskt hade ägt rum i någon individ.
För det andra släppte St. Jude en mjukvarupatch för cybersecurity avsedda att kraftigt minska möjligheten att hacka in i sina implanterbara enheter. Programvaran patch var utformad för att installera sig automatiskt och trådlöst, över St. Jude's Merlin.net. FDA rekommenderade att patienter som har dessa enheter fortsätter att använda St Judes trådlösa övervakningssystem, eftersom "hälsofördelarna för patienter från fortsatt användning av enheten överstiger cybersäkerhetsriskerna".
Var lämnar detta oss?
Ovanstående beskriver ganska mycket fakta som vi i allmänhet känner till dem. Som någon som var intimt involverad i utvecklingen av det första implanterbara fjärrövervakningssystemet (inte St. Jude's), tolkar jag allt detta på följande sätt: Det verkar säkert att det fanns säkert säkerhetsproblem i fjärrövervakningssystemet St. Jude , och dessa sårbarheter verkar ha varit vanliga för branschen som helhet. (Så, St. Jude: s ursprungliga förnekanden verkar ha varit överdrivna.)Vidare är det uppenbart att St. Jude flyttade snabbt för att avhjälpa denna sårbarhet, som fungerade tillsammans med FDA, och att dessa steg i slutändan ansågs tillfredsställande av FDA. Att döma av FDA: s samarbete och det faktum att sårbarheten var tillräckligt hanterad med hjälp av en mjukvara lappar, verkar inte St. Jude problem inte vara nästan lika allvarligt som blivit påstått av Block i 2016. ( Så, Blockers ursprungliga uttalanden verkar ha varit överdrivna). Vidare gjordes rättelser innan någon skadades.
Huruvida Mr. Blocks uppenbara intressekonflikt (genom att köra ner St. Judes aktiekurs stod för att han skulle tjäna stora pengar), skulle kunna få honom att överdriva de potentiella cyberriskerna låter möjligt, men det här är en fråga för domstolarna att bestämma.
För närvarande verkar det troligt att, med korrigeringsprogramvaran patch applicerat, människor med St. Jude enheter har ingen särskild anledning att vara alltför bekymrad över hacking attacker.
Varför är implanterbara hjärtapparater utsatta för cyberattack?
För närvarande uppfattar de flesta av oss att alla digitala enheter som vi använder i våra liv som involverar trådlös kommunikation är åtminstone teoretiskt sårbara för cyberattack. Det inkluderar alla implanterbara medicinska enheter, som alla måste kommunicera trådlöst med omvärlden (det vill säga världen utanför kroppen).Möjligheten att människor eller grupper böjda på ondskan verkligen kan hacka in i medicinsk utrustning har under de senaste åren blivit mer av ett verkligt hot. I detta ljus kan publiciteten kring St. Jude sårbarheter ha haft en positiv effekt. Det är uppenbart att både medicinteknikindustrin och FDA nu är mycket seriösa om detta hot och nu agerar med stor kraft för att möta det.
Vad gör FDA om problemet?
FDA: s uppmärksamhet har nyligen fokuserat på denna fråga, troligen i stor utsträckning på grund av kontroversen över St. Jude-enheter. I december 2016 släppte FDA ett 30-sidigt "vägledning" -dokument för tillverkare av medicintekniska produkter och lade fram en ny uppsättning regler för att ta itu med cyber-sårbarheter i medicinsk utrustning som redan finns på marknaden. (Liknande regler för medicinska produkter som fortfarande är under utveckling publicerades 2014.) De nya reglerna beskriver hur tillverkare ska gå för att identifiera och fastställa säkerhetssäkerhetsproblem i marknadsförda produkter och hur man etablerar program för att identifiera och rapportera nya säkerhetsproblem.Poängen
Med tanke på de cyberrisker som är förknippade med något trådlöst kommunikationssystem är viss grad av cybersårbarhet oundviklig med implanterbara medicinska anordningar. Men det är viktigt att veta att försvar kan byggas in i dessa produkter för att göra hacking bara en avlägsen möjlighet, och till och med Mr Block håller med om att det för de flesta företag har hänt. Om St. Jude tidigare har varit lite lat om denna fråga, verkar företaget ha blivit botad av den negativa reklam som de fick 2016, vilket för en tid hotade sin verksamhet. St. Jude har bland annat beställt ett oberoende rådgivande rådgivande rådgivande rådgivande rådgivande rådgivare för Cyber Security för att övervaka sina ansträngningar framöver. Andra medicintekniska företag kommer sannolikt att följa. Således behandlar både FDA och medicintekniska tillverkare problemet med ökad kraft.Människor som har implanterat pacemaker, ICD eller CRT-enheter borde verkligen uppmärksamma frågan om cybersårbarhet, eftersom vi sannolikt kommer att höra mer om det när tiden går. Men för tillfället verkar risken i alla fall vara ganska liten och uppskattas säkert av fördelarna med fjärrövervakning av enheter.