St. Jude i la vulnerabilitat cibernètica dels dispositius mèdics
A finals de 2016 i principis de 2017, els informes notificaven que les persones amb males intencions podrien piratejar el dispositiu mèdic implantable d'un individu i causar problemes greus. En concret, els dispositius en qüestió són comercialitzats per St. Jude Medical, Inc., i inclouen marcapassos (que tracten la bradicàrdia sinusal i el bloqueig del cor ), desfibril·ladors implantables (ICD) (que tracten la taquicàrdia ventricular i la fibril·lació ventricular ) i els dispositius CRT (que tractar la insuficiència cardíaca ).
Aquests informes poden haver generat temors entre les persones que tenen aquests dispositius mèdics sense situar el problema en una perspectiva suficient.
S'han implantat dispositius cardíacs en risc d'atacs cibernètics? Sí, perquè qualsevol dispositiu digital que inclogui la comunicació sense fils sigui almenys teòricament vulnerable, incloent marcapassos, dispositius ICD i CRT. Però fins ara, un atac cibernètic real contra qualsevol d'aquests dispositius implantados mai no ha estat documentat. I (gràcies en gran part a la recent publicitat sobre hacking, tant de dispositius mèdics com de polítics), la FDA i els fabricants de dispositius estan treballant ara per solucionar aquestes vulnerabilitats.
Dispositius cardíacs St. Jude i hacking
La història es va trencar per primera vegada a l'agost de 2016 quan el famós venedor curt Carson Block va anunciar públicament que St. Jude havia venut centenars de milers de marcapassos implantables, desfibriladors i dispositius CRT que eren extremadament vulnerables a l'hacking.
Block va dir que una empresa de seguretat cibernètica amb la que estava afiliat (MedSec Holdings, Inc.) havia realitzat una investigació intensiva i va descobrir que els dispositius de St. Jude eren exclusivament vulnerables a l'hacking (a diferència del mateix tipus de dispositius mèdics venuts per Medtronic, Boston Scientific, i altres empreses).
En concret, va dir Block, els sistemes de St. Jude "no tenien fins i tot les defenses de seguretat més bàsiques", com ara dispositius anti-manipulació, xifratge i eines anti-depuració, del tipus utilitzat habitualment per la resta de la indústria.
La suposada vulnerabilitat es va relacionar amb la supervisió remota i sense fils que tots aquests dispositius els van integrar. Aquests sistemes de monitorització sense fils estan dissenyats per detectar automàticament els problemes de l'aparell emergent abans que puguin causar danys i comunicar aquests problemes immediatament al metge. Aquesta característica de monitorització remota, ara emprada per tots els fabricants de dispositius, ha estat documentada per millorar significativament la seguretat dels pacients que tenen aquests productes. El sistema de monitorització remota de St. Jude s'anomena "Merlin.net".
Les acusacions de Block eren bastant espectaculars i van provocar una caiguda immediata del preu de les accions de St. Jude, que precisament era l'objectiu concret de Block. Cal destacar, abans de fer les seves denúncies sobre St. Jude, la companyia de Block (Muddy Waters, LLC), havia pres una posició curta important a St. Jude. Això va significar que l'empresa de Block es trobava per fabricar milions de dòlars si l'estoc de St. Jude va disminuir substancialment i es va mantenir prou baix per escatimar una adquisició acordada per Abbott Labs.
Després de l'atac ben publicitat del Block, St Jude va disparar immediatament amb comunicats de premsa amb paraules fortes, segons les afirmacions del bloc "absolutament falses". St. Jude també va demandar a Muddy Waters, LLC per suposadament difondre informació falsa per manipular St Jude's preus de les accions. Mentrestant, investigadors independents van examinar la qüestió de vulnerabilitat de St. Jude i van arribar a conclusions diferents. Un grup va confirmar que els dispositius de St. Jude eren particularment vulnerables als ciberataques; un altre grup va concloure que no ho eren. Tot el tema es va deixar caure a la falda de la FDA, que va llançar una investigació vigorosa, i es va saber poc sobre la qüestió durant diversos mesos.
Durant aquest temps, l'estoc de St. Jude va recuperar gran part del seu valor perdut, ia finals de 2016, l'adquisició per Abbott es va concloure amb èxit.
Després, al gener de 2017, dues coses van succeir simultàniament. En primer lloc, la FDA va publicar una declaració que indicava que hi havia efectivament problemes de ciberseguretat amb els dispositius mèdics de St. Jude, i que aquesta vulnerabilitat podria permetre intrusions i explotacions cibernètiques que podrien resultar nocives per als pacients. No obstant això, la FDA va assenyalar que no s'ha trobat cap prova que el pirateig s'hagués produït en cap individu.
En segon lloc, St. Jude va publicar un parche de programari de seguretat cibernètica dissenyat per reduir enormement la possibilitat d'hackear-se en els seus dispositius implantables. El parche de programari va ser dissenyat per instal·lar-se de manera automàtica i sense fil, a través de Merlin.net de St. Jude's. La FDA va recomanar que els pacients que tinguessin aquests dispositius continuïn utilitzant el sistema de vigilància inalàmbrica de St Jude, ja que "els beneficis de salut per als pacients que continuen utilitzant el dispositiu superen els riscos de ciberseguretat".
On ens deixa això?
L'anterior es descriu pràcticament els fets que coneixem al públic. Com a persona que estava íntimament involucrada en el desenvolupament del primer sistema de control remot de dispositius implanables (no de St. Jude's), torno a interpretar tot això de la següent manera: Sembla segur que hi havia, sens dubte, vulnerabilitats de seguretat cibernètica en el sistema de monitorització remota de St. Jude , i aquestes vulnerabilitats semblen haver estat fora del normal per a la indústria en general. (Per tant, les denegacions inicials de St. Jude semblen haver estat exagerades).
A més, és evident que St. Jude es va traslladar ràpidament per solucionar aquesta vulnerabilitat, treballant conjuntament amb la FDA i que aquests últims van ser considerats satisfactoris per la FDA. De fet, a jutjar per la cooperació de la FDA i el fet que la vulnerabilitat es tractés suficientment mitjançant un parche de programari, el problema de St. Jude sembla no ser tan sever com havia estat al·legat per Mr. Block en 2016. ( Per tant, les declaracions inicials de Mr. Block semblen haver estat exagerades). A més, les correccions es van fer abans que algú fossés perjudicat.
Ja sigui que el conflicte d'interessos públic de Mr. Block (que reduïa el preu de les accions de St. Jude per netejar-li molts dòlars), podria haver-li provocat que sigui capaç de superar els potencials riscos cibernètics possibles, però aquesta és una qüestió per als tribunals de justificar .
De moment, sembla probable que, amb el pegat de programari correctiu aplicat, les persones amb dispositius de St. Jude no tenen un motiu particular per estar excessivament preocupats pels atacs de pirateig.
Per què són implícits dispositius cardíacs vulnerables al ciberataque?
Ara, la majoria de nosaltres ens adonem que qualsevol dispositiu digital que utilitzem en les nostres vides que impliqui la comunicació sense fils és almenys teòricament vulnerable al ciberataque. Això inclou qualsevol dispositiu mèdic implantable, que s'ha de comunicar sense fil amb el món exterior (és a dir, el món fora del cos).
La possibilitat que persones o grups inclosos en el mal puguin piratejar els dispositius mèdics ha estat, en els últims anys, semblar una amenaça real. En aquest sentit, la publicitat que envolta les vulnerabilitats de St. Jude pot haver tingut un efecte positiu. És evident que tant la indústria de dispositius mèdics com la FDA ara són molt greus per aquesta amenaça i ara actuen amb un fort impuls per complir-lo.
Què fa la FDA sobre el problema?
L'atenció de la FDA s'ha centrat recentment en aquest assumpte, probablement en gran part a causa de la controvèrsia sobre els dispositius de St. Jude. Al desembre de 2016, la FDA va publicar un document de "guia" de 30 pàgines per als fabricants d'aparells mèdics, establint un nou conjunt de normes per abordar les vulnerabilitats cibernètiques en els dispositius mèdics que ja es troben al mercat. (Les normes similars per als productes mèdics encara en desenvolupament es van publicar el 2014.) Les noves regles descriuen com els fabricants haurien d'identificar i solucionar les vulnerabilitats de seguretat cibernètica en productes comercialitzats i com establir programes per identificar i informar nous problemes de seguretat.
La línia inferior
Tenint en compte els riscos cibernètics inherentment associats a qualsevol sistema de comunicació sense fils, un cert grau de vulnerabilitat cibernètica és inevitable amb dispositius mèdics implantables. Però és important saber que les defenses es poden integrar a aquests productes per fer que el pirateig sigui només una possibilitat remota, i fins i tot el Sr. Block està d'acord que per a la majoria d'empreses això ha passat. Si St. Jude ha estat una mica relaxat sobre aquest assumpte, la companyia sembla haver estat curat per la publicitat negativa que van rebre el 2016, que durant un temps van amenaçar greument el seu negoci. Entre altres coses, St. Jude ha encarregat a un Consell Assessor Mèdic independent de Seguretat Cibernètica per supervisar els seus esforços en el futur. És probable que altres companyies de dispositius mèdics segueixin el seu exemple. Per tant, tant la FDA com els fabricants de dispositius mèdics estan abordant el problema amb un major vigor.
Les persones que han implantat marcapassos, dispositius ICD o CRT haurien de prestar atenció a la qüestió de la vulnerabilitat cibernètica, ja que és probable que escoltin més sobre això a mesura que passa el temps. Però, ara com ara, almenys, el risc sembla ser bastant reduït i, sens dubte, supera els beneficis del control remot de dispositius.
> Fonts:
> FDA. Vulnerabilitats de la ciberseguretat identificades als dispositius cardíacs implantables de St. Jude Medical i Transmissor de Merlin @ home: Comunicació de seguretat de la FDA. 9 de gener de 2017.
> Aigües fangoses. Declaració de MW a STJ / ABT Reconeixement de vulnerabilitats cibernètiques. Nota de premsa 9 de gener de 2017.
> St Jude Medical. St Jude Medical anuncia comunicat de premsa de Cybersecurity Updates. 9 de gener de 2017.