İmplantasiya edilə bilən Pacemaker və Defibrilatorlar Hacked ola bilərmi?

St Jude və Cyber ​​Tibbi Cihazların Həssaslığı

2016-cı ilin sonunda və 2017-ci ilin əvvəllərində xəbərlər, pis niyyətli insanlar potensial olaraq fərdinin implantasiya edilə bilən tibbi cihazına girə biləcək və ciddi problemlər yarada biləcəyini göstərir. Xüsusilə, sözügedən cihazlar St Jude Medical, Inc. tərəfindən satılır və sinus bradikardiürək bloku olan implantable defibrilator (ICD) ( ventrikulyar taxikardiyaventrikulyar fibrilasiyanı müalicə edən) və CRT cihazları ürək çatışmazlığını müalicə edin

Bu xəbərlər məsələni kifayət qədər perspektivə yerləşdirmədən bu tibbi cihazları olan insanlar arasında qorxuya səbəb ola bilər.

Kiber hücumlar üçün riskli olan implantasiya edilmiş kardiyak qurğular var mı? Bəli, simsiz rabitə olan istənilən rəqəmsal cihaz ən azı nəzəri cəhətdən zəifdir, o cümlədən, pacemakers, ICD və CRT cihazları. Amma bu günə qədər bu implantasiya edilmiş cihazlardan hər hansı birinə qarşı gerçək bir kiber hücum heç vaxt sənədləşdirilməmişdir. Və (tibbi qurğular və siyasətçilər də hacking haqqında son açıqlamalar üçün çox hissəsi sayəsində), FDA və cihaz istehsalçıları artıq bu cür zəiflikləri yandırmaq üçün çox çalışırlar.

St Jude Kardiyak Cihazları və Hacking

Hikayə ilk olaraq 2016-cı ilin Avqust ayında qırdı. Ünlü qısa satan Carson Blok, St Jude'nin, yüz minlərlə implantasiya edilə bilən peyvarlar, defibrilatörler və Hack cihazlarına qarşı həssas olan CRT cihazlarını satdığını açıqladı.

Blok, onunla əlaqəli bir kibertəhlükəsizlik şirkətinin (MedSec Holdings, Inc) sıx bir araşdırma etdiklərini və St Jude cihazlarının hacking üçün olduqca həssas olduğunu təsbit etdiyini (Medtronic tərəfindən satılan eyni cür tibbi cihazlardan fərqli olaraq, Boston Elmi və digər şirkətlər).

Xüsusilə, sözügedən Blok, St Jude sistemlərinin "sənayenin geri qalan hissəsi tərəfindən istifadə olunan sortlara qarşı anti-təhrikedici qurğular, şifrələmə və yanma əleyhinə vasitələr" kimi ən mühüm müdafiə mühafizəsi yoxdur.

Sözügedən zəiflik bu cihazların hamısını qurduqları uzaq, simsiz monitorinq ilə əlaqəli idi. Bu simsiz monitorinq sistemləri yaranan səbəblərdən əvvəl meydana çıxan cihaz problemlərini avtomatik olaraq aşkar etmək üçün nəzərdə tutulub və bu problemləri dərhal həkimə çatdırır. Hazırda bütün cihaz istehsalçıları tərəfindən istifadə edilən bu uzaq monitorinq xüsusiyyəti bu məhsulları olan xəstələrin təhlükəsizliyini əhəmiyyətli dərəcədə yaxşılaşdırmaq üçün sənədləşdirilmişdir. St Jude'nin uzaqdan nəzarət sistemi "Merlin.net" adlanır.

Blokun iddiaları olduqca möhtəşəm idi və St Jude'nin səhm qiymətində dərhal bir düşməyə səbəb oldu - bu, məhz blokun hədəfi idi. Qeyd edək ki, St Jude, Blok şirkətinin (Muddy Waters, LLC) etdiyi iddialarını vermədən əvvəl, St Jude'de böyük bir qısa mövqedə qalmışdı. Bu, Blok şirkətinin Azad Jude hissəsi əhəmiyyətli dərəcədə düşdüyünü və Abbott Labs tərəfindən razılaşdırılmış satın alınması üçün kifayət qədər aşağı qaldıqdan sonra milyonlarla dollar qazanmaq idi.

Blokun geniş yayılmış hücumundan sonra, St Jude dərhal qüvvətli mətbu nəşrlər ilə blokun iddialarının "tamamilə laqeyd" olduğunu təsəvvür etdi. St Jude də Muddy Waters MMC-yə, St Jude'nin əleyhinə hərəkət etmək üçün saxta məlumatlar yaymaq iddiası ilə iddia etdi səhm qiymətləri. Bu sırada müstəqil müstəntiqlər, St Jude vulnerability sualına baxdılar və müxtəlif nəticələrə gəldilər. Bir qrup, St Jude cihazlarının kiber hücuma qarşı xüsusilə həssas olduğunu təsdiq etdi; bir qrup başqa olmadıqlarını söylədi. Bütün məsələ FDA-nın dövründə qüvvətləndirilmiş bir istintaqa başlamışdır və bir neçə ay ərzində məsələ barədə çox az eşitmişdir.

Bu dövrdə St Jude hissəsi itirilmiş dəyərinin çoxunu bərpa etdi və 2016-cı ilin sonunda Abbott tərəfindən alınması uğurla başa çatdı.

Sonra 2017-ci ilin yanvar ayında iki şey bir anda baş verdi. Birincisi, FDA, St Jude tibb cihazları ilə həqiqətən kibertəhlükəsizlik problemləri olduğunu ifadə edən bir bəyanat yaymış və bu zəiflik həqiqətən xəstələrə zərər verə biləcək kiber təhqirlərə və istismarlara imkan verə bilər. FDA, hacking həqiqətən hər hansı bir fərddə meydana gəldiyi heç bir dəlil tapılmadı.

İkinci olaraq, St Jude onların implantable cihazlar daxil hacking ehtimalı azaldılması üçün nəzərdə tutulmuşdur bir cybersecurity proqram patch azad. Proqram yaması St Jude'nin Merlin.net saytında avtomatik olaraq və kabelsiz olaraq qurulmaq üçün nəzərdə tutulmuşdur. FDA, bu cihazları olan xəstələrin St-Jude simsiz izləmə sistemini istifadə etməyə davam etməsini tövsiyə etdi, çünki "cihazın davamlı istifadəsindən xəstələrə verilən sağlamlıq faydaları kiber təhlükəsizliyi risklərindən üstündür".

Bizi harada buraxır?

Əvvəlki hallar ictimaiyyətdə bildiyimiz kimi faktları açıq şəkildə təsvir edir. İlk Implantable cihazın uzaqdan izləmə sisteminin (St Jude deyil) inkişafı ilə yaxından maraqlandığı bir kəs kimi, bunları bunları aşağıdakı kimi izah edirəm: Göründüyü kimi, St Jude uzaqdan izləmə sistemində həqiqətən kiber təhlükəsizlik təhlükələri var idi və bu zəifliklər sənayenin adi halına gəlmişdir. (Belə ki, St Jude başlanğıc imtina şişirdilmiş görünür.)

Əlavə olaraq, St Jude FDA ilə birlikdə işləyən bu zəifliyi aradan qaldırmaq üçün tez bir zamanda hərəkət etdi və bu addımlar nəticədə FDA tərəfindən qənaətbəxş sayıldı. Əslində, FDA əməkdaşlığı və vulnerability bir proqram yaması ilə kifayət qədər məşğul olduğu faktına əsasən, St Jude problemi 2016-cı ildə cənab Blok iddia etdiyi qədər ağır ola bilməz. ( Belə ki, cənab Blokun ilkin ifadələri şişirdilmiş görünür). Bundan əlavə, hər kəs zərər vermədən əvvəl düzəlişlər edilmişdir.

Cənab Blokun açıq maraq doğuran münaqişəsi (müqayisədə St Jude fond bazarının qiymətini aşağı salmaqla ona böyük pul qazandırmaq üçün dayanırdı), ona potensial kiber risklərdən mümkün səslər çıxarmağa səbəb ola bilərdi, amma bu məhkəmə məhkəmələri üçün bir sualdır .

İndiyə qədər düzəldici proqram yamağı tətbiq edildikdə, St Jude cihazları olan insanlar hacking hücumları ilə bağlı olduqca narahat olmağın bir səbəbi yoxdur.

Implantasiya edilə bilən Kardiyak Cihazlar Niyə Cyber ​​Attack'a Həssasdır?

Hal-hazırda çoxumuz simsiz rabitəni əhatə edən həyatımızda istifadə etdiyimiz hər hansı rəqəmsal qurğunun ən azı kiber-hücuma qarşı nəzəri olaraq zəif olduğunu dərk edir. Hər hansı bir implantasiya edilə bilən tibbi qurğu daxildir, bunların hamısı xarici dünya ilə (yəni bədən xaricində olan dünya) kabelsiz ünsiyyət qurmalıdırlar.

Insanların və ya qrupların pisliyə bükülmüş olması, həqiqətən, tibbi cihazlara hack ola bilər, son bir neçə il ərzində daha real bir təhlükə kimi görünür. Bu işıqda, St Jude zəifliklərini əhatə edən təbliğat müsbət təsir göstərə bilərdi. Həm tibbi cihaz sənayesi, həm də FDA bu təhlükə ilə bağlı çox ciddi bir vəziyyətə gəldikdə, indi də bunun qarşısını almaq üçün əhəmiyyətli qüvvə ilə fəaliyyət göstərirlər.

FDA problemi necə həll edir?

FDA-nın diqqəti, bu məsələyə yeni diqqət yetirmişdir, ehtimal ki, çox hissəsi St Jude cihazları üzərində mübahisələrə səbəb ola bilər. 2016-cı ilin dekabrında FDA bazarda olan tibbi cihazlarda kiber zəifliklərin aradan qaldırılması üçün yeni bir sıra qaydalar qoyaraq tibbi cihaz istehsalçıları üçün 30 səhifəlik "təlimat" sənədini buraxdı. (2014-cü ildə hazırlanan tibbi məhsullar üçün də belə qaydalar dərc edilmişdir). Yeni qaydalar istehsalçıları marketli məhsullarda kibertəhlükəsizlik zəifliklərini müəyyənləşdirmək və müəyyənləşdirmək və yeni təhlükəsizlik problemlərini müəyyənləşdirmək və hesablamaq üçün proqramların necə qurulacağını təsvir edir.

Aşağı xətt

Hər hansı bir simsiz rabitə sistemi ilə mahiyyətcə əlaqəli olan kiber riskləri nəzərə alaraq, implantasiya edilə bilən tibbi cihazlarla bir sıra kiber zəiflik qaçılmazdır. Amma müdafiə etmək üçün bu məhsullara yalnız bir uzaq ehtimalla hacking etmək üçün tikilə bilmək vacibdir və hətta cənab Blok bunu başlayan bir çox şirkət üçün razıdır. Əfsuslar olsun ki, Azad Jude əvvəllər bu məsələ ilə bağlı bir az mürəkkəb olarsa, şirkət 2016-cı ildə əldə etdiyi mənfi təbliğatla müalicə olunur və bir müddət işlərini ciddi şəkildə təhdid edir. Digər şeylər arasında, St Jude müstəqil Cyber ​​Security Tibbi Məsləhət Şurasını irəli gedən səylərini nəzarət altına almışdır. Digər tibbi cihaz şirkətləri, ehtimal ki, təqib edəcəklər. Beləliklə, həm FDA, həm də tibbi cihaz istehsalçıları məsələyə artan qüvvə ilə müraciət edirlər.

Kardiostimulyatorlara, ICD-lərə və ya CRT cihazlarına implantasiya edən insanlar, əlbəttə ki, kiber zəiflik məsələsinə diqqət yetirməlidirlər, çünki zaman keçdikcə bu haqda daha çox məlumat ala bilərik. Amma indi, ən azı, risk olduqca kiçik görünür və əlbəttə ki, uzaqdan cihaz monitorinqinin üstünlükləri ilə üst-üstə düşür.

> Mənbələr:

> FDA. St Jude Tibb İmplantasiya edilə bilən Kardiyak Cihazlar və Merlin @ home Transmitter: FDA Təhlükəsizlik Əlaqə müəyyən Cybersecurity Zərərvericiləri. 9 yanvar 2017.

> Muddy Waters. STW / ABT haqqında MW Statement Kiber zəifliklərin təsdiqlənməsi. 9 yanvar 2017-ci il tarixli mətbuat şərhi.

St Jude Tibb. St Jude Medical Cybersecurity Updates mətbuat şərhi elan edir. 9 yanvar 2017.