St. Jude lan Cyber Vulnerability of Medical Devices
Ing pungkasan 2016 lan awal 2017, laporan warta ngumumake yen spekulasi yen wong sing nduweni niat ala bisa mbebayani menyang piranti medis implantable lan nyebabake masalah serius. Piranti sing dimaksud iki dipasarake dening St. Jude Medical, Inc, lan kalebu pacemaker (sing nangani bradikardia sinus lan pemblokiran jantung ), defibrilator implantable (ICDs) (sing ngobati tachycardia ventrikel lan fibrillasi ventricular ), lan piranti CRT (kang nambani gagal jantung ).
Laporan-laporan warta iki bisa uga ngandhakake wedi marang wong-wong sing nduweni piranti-piranti medis kasebut tanpa menehi masalah dadi perspektif sing cukup.
Apa piranti jantung sing ditanem ing risiko serangan cyber? Ya, amarga piranti digital sing kalebu komunikasi nirkabel paling rentan secara teoritis, kalebu perangkat pacu, ICD, lan piranti CRT. Nanging nganti saiki, serangan cyber sacara nyata marang salah sawijining perangkat sing ditemokake durung tau didokumentasikake. Lan (thanks banget kanggo publisitas anyar babagan peretasan, piranti kedokteran lan politisi), FDA lan manufaktur piranti saiki kerja keras kanggo nambal kerentanan kasebut.
St. Jude Cardiac Devices and Hacking
Crita sing pisanan pecah ing Agustus, 2016 nalika karier pendek Carson Block umum ngumumake yen St. Jude wis ngedol ratusan ewu piranti pacu jantung sing implan, piranti defibrillator lan piranti CRT sing banget ngremehake kanggo hacking.
Blok nyatakake yen perusahaan cybersecurity karo apa sing ditindakake dheweke (MedSec Holdings, Inc.), wis nglakoni investigasi intensif lan nemokake yen piranti St Jude mung bisa ngremukake reregan (adoh saka piranti sing padha karo piranti medis sing didol dening Medtronic, Boston Scientific, lan perusahaan liyane).
Khususé, Blok nyatakake, sistem St Jude "kurang nduwèni pertahanan keamanan sing paling dhasar," kayata piranti anti-tampering, enkripsi, lan alat anti-debugging, saka jenis sing umum digunakake ing industri liyane.
Kerentanan miturut omongane uwong gegandhengan karo remot, pemantauan nirkabel kabeh perangkat kasebut wis dibangun. Sistem pemantauan nirkabel iki dirancang kanthi otomatis ndeteksi masalah piranti anyar sadurunge bisa nyebabake kacilakan, lan nyatake masalah kasebut langsung menyang dhokter. Fitur pemantauan jarak jauh, sing saiki dipunginaake dening kabeh manufaktur piranti, wis didokumentasikake kanthi nyata nambahake safety kanggo pasien sing duwe produk kasebut. Sistem monitoring remot St. Jude diarani "Merlin.net."
Tuduhan-tuduhan pamblokiran sing cukup spektakuler lan nyebabake penurunan langsung ing rega saham St Jude-sing bener-bener dijenengi Blok. Cathetan, sadurunge nggawe panyokrolan babagan St. Jude, perusahaan Block (Muddy Waters, LLC), wis njupuk posisi cendhak utama ing St. Jude. Iki tegese perusahaan Blok ngadeg kanggo nggawe mayuta-yuta dolar yen saham St Jude ambruk banget, lan tetep kurang cukup kanggo scotch lan akuisisi sarujuk dening Abbott Labs.
Sawisé serangan Block-shaped, St Jude langsung dipecat kanthi rilis pers kasebut kanthi tegas ngakoni yen alangan Block minangka "pancen ora bener." St. Jude uga nuntut Muddy Waters, LLC amarga disebare informasi palsu kanggo ngapusi St. rega saham. Sementara, peneliti independen nyawang pitakonan kerentanan St Jude lan teka menyang kesimpulan sing beda. Siji klompok nyatakaké yèn piranti-piranti St. Jude pancen ngrugèkaké serangan cyber; klompok liyane nyatakake dheweke ora. Jeksa Agung bisa ditemokake ing pucuking FDA, sing ngetokake penyelidikan sing kuat, lan ora ana sing krungu babagan prastawa iki nganti pirang-pirang wulan.
Ing wektu kuwi saham St Jude mbalekake akeh kerugian, lan ing pungkasan 2016 akuisisi iki kasil dipanggoni.
Banjur, ing Januari, 2017, rong perkara kedadean bebarengan. Kaping pisanan, FDA ngumumake pernyataan sing nerangake yen ana masalah cybersecurity karo perangkat medis St. Jude, lan kerentanan kasebut bisa uga ngidini intrusi lan eksploitasi cyber sing bisa mbuktekake mbebayani kanggo pasien. Nanging, FDA nudhuhake yen ora ana bukti sing ditemokake yen peretasan wis bener ditindakake ing saben individu.
Kapindho, St. Jude ngeculake software patch cybersecurity sing dirancang kanggo ngurangi kamungkinan patraman ing piranti sing bisa ditemokake. Patch software dirancang kanggo nginstal dhewe kanthi otomatis lan tanpa kabel, ing Merlin.net St. Jude. FDA nyaranake para pasien sing nganggo piranti kasebut terus nggunakake sistem pengawasan nirkabel St Jude, amarga "manfaat kesehatan kanggo pasien sing terus nganggo piranti luwih gedhe tinimbang resiko keamanan cybersecurity".
Ngendi Apa iki Ninggalake Kita?
Bab iki pancen nggambarake fakta-fakta kaya sing kita kenal ing masyarakat. Minangka wong sing kepéngin banget ngembangaké sistem pemantauan remotable piranti pisanan (ora St. Jude), aku ngandharaké kabèh cara iki: Mesthine manawa ana kamungkinan cybersecurity ing sistem pemantauan St Jude , lan kerentanan iki katon metu saka biasa kanggo industri gedhe. (Mulane, penolakan awal St. Jude katon wis exaggerated.)
Luwih, jelasake menawa St. Jude pindhah kanthi cepet kanggo ngrampungake kerentanan iki, kerja bareng karo FDA, lan langkah-langkah kasebut pungkasane dianggep puas dening FDA. Nyatane, kanthi menehi kritik saka kerjasama FDA lan kasunyatan manawa kerentanan cekap ditangani kanthi piranti lunak, masalah St Jude misale jek ora meh abot banget amarga diduga dening Blok Blok taun 2016. ( Dadi, statement awal Blok katon wis dibesar-besarkan). Salajengipun, koreksi dipun damel saderengipun badhe damai.
Kepiye konflik kepentingan Mr. Block sing kepungkur (kanthi cara ngundhakake rega saham St Jude ngadeg kanggo netepake dhuwit gedhe), bisa nyebabake dheweke bisa nyilikake risiko cyber potensial sing bisa diarani, nanging iki minangka pitakonan kanggo pengadilan kanggo nemtokake .
Saiki sapunika, kanthi patrap lunak koreksi dipigunakaké, wong-wong piranti St Jude ora duwe alesan tartamtu sing bakal keprihaten bab serangan hacking.
Apa Alat Jantung Implantable Rentan Serangan Cyber?
Saiki, meh kabeh kita nyadari yen piranti digital apa wae sing digunakake ing urip kita sing nyangkut komunikasi nirkabel paling sethithik sacara rawan karo cyberattack. Sing kalebu piranti medis implantable, kabeh kudu communicate nirkabel karo donya njaba (sing, donya njaba awak).
Kemungkinan wong utawa kelompok sing mbengkongake piala bisa bener-bener ngobrol ing piranti-piranti medis, ing sawetara taun pungkasan, katon minangka ancaman nyata. Ing cahya iki, publisitas sing ngliwati kerentanan St Jude uga nduweni efek positif. Iku jelas yen industri piranti kedokteran lan FDA saiki banget serius babagan ancaman iki, lan saiki tumindak kanthi semangat penting kanggo ketemu.
Apa FDA Apa Babagan Masalah?
Perhatian FDA wis luwih fokus ing masalah iki, saengga akeh banget amarga kontroversi liwat piranti St Jude. Ing Desember, 2016, FDA ngetokaké dokumentasi "pitunjuk" 30-kaca kanggo manufaktur piranti-piranti medis, ngethok aturan anyar kanggo ngatasi kerentanan cyber ing piranti-piranti medis sing wis ana ing pasaran. (Aturan sing padha kanggo produk-produk medis sing isih diterbitake diterbitake ing 2014.) Aturan anyar njlèntrèhaké manawa manufaktur kudu ngenali lan mbenakake kerentanan cybersecurity ing produk sing dipasarke, lan carane mbangun program kanggo ngenali lan laporan masalah keamanan anyar.
Ing ngisor garis
Amarga risiko cyber kasebut sejatine ana hubungane karo sistem komunikasi nirkabel, sawetara tingkat kerentanan cyber ora ono karo piranti medis sing bisa ditemokake. Nanging penting kanggo mangerteni batesan bisa dibangun ing prodhuk-prodhuk kasebut kanggo nggawe peretas mung bisa wae, malah Block uga setuju yen kanggo perusahaan sing paling akeh iki wis kedadeyan. Yen St. Jude sadurunge wis rada nyolong babagan prakara iki, perusahaan katon wis ditambani kanthi publisitas negatif sing ditampa ing taun 2016, sing kanggo wektu akeh ngancam bisnis. Antarane liyane, St. Jude wis nugasake sawijining Badan Penasehat Medis Cyber Security kanggo njaga upaya kasebut. Perusahaan piranti medis liyané bisa uga ngetutake. Mangkono, prodhuk piranti FDA lan piranti kesehatan ngatasi masalah iki kanthi tambah entheng.
Wong sing nduweni alat pacu jantung, piranti ICD utawa piranti CRT mesthine kudu narik kawigaten babagan masalah kerentanan cyber, kaya sing kita kerep mirsani babagan wektu kasebut. Nanging saiki, paling sithik, resiko kaya-kaya cukup cilik, lan mesthi ditemtokake manawa manfaat saka ngawasi piranti remot.
> Sumber:
> FDA. Kekirangan Cybersecurity Diidentifikasi ing Jantung Medical Devices Implantable Devices and Merlin @ home Transmitter: Komunikasi Komunikasi FDA. 9 Januari 2017.
> Muddy Waters. MW Statement on STJ / ABT Acknowledgment of Cyber Vulnerabilities. Penerbitan release 9 Januari 2017.
> St Jude Medical. St Jude Medical mbewarakke release Cybersecurity Updates. 9 Januari 2017.