Kunnen implanteerbare pacemakers en defibrillators worden gehackt?
Zijn geïmplanteerde cardiale apparaten in gevaar voor cyberaanvallen? Ja, want elk digitaal apparaat dat draadloze communicatie omvat, is op zijn minst theoretisch kwetsbaar, inclusief pacemakers, ICD's en CRT-apparaten. Maar tot nu toe is een echte cyberaanval tegen een van deze geïmplanteerde apparaten nooit gedocumenteerd. En (grotendeels dankzij de recente publiciteit over hacking, zowel van medische apparaten als van politici), werken de FDA en de apparaatfabrikanten nu hard aan het oplossen van dergelijke kwetsbaarheden.
St. Jude cardiale apparaten en hacking
Het verhaal brak voor het eerst in augustus 2016, toen beroemde kortbaan-verkoper Carson Block publiekelijk aankondigde dat St. Jude honderdduizenden implanteerbare pacemakers, defibrillatoren en CRT-apparaten had verkocht die extreem kwetsbaar waren voor hackers. Block zei dat een cybersecuritybedrijf waarmee hij verbonden was (MedSec Holdings, Inc.) een intensief onderzoek had uitgevoerd en vond dat St. Jude-apparaten uniek kwetsbaar waren voor hacking (in tegenstelling tot dezelfde soorten medische apparaten die door Medtronic werden verkocht, Boston Scientific en andere bedrijven). Vooral het blok, het St. Jude-systeem "ontbeerde zelfs de meest elementaire veiligheidsdefinities", zoals anti-manipulatie-apparaten, encryptie en anti-debugging tools, van het soort dat gewoonlijk wordt gebruikt door de rest van de industrie..De vermeende kwetsbaarheid had te maken met de externe, draadloze bewaking die al deze apparaten hebben ingebouwd. Deze draadloze bewakingssystemen zijn ontworpen om automatisch opkomende apparaatproblemen te detecteren voordat ze schade kunnen aanrichten, en communiceren deze problemen onmiddellijk aan de arts. Deze externe bewakingsfunctie, nu in gebruik bij alle apparaatfabrikanten, is gedocumenteerd om de veiligheid voor patiënten met deze producten aanzienlijk te verbeteren. Het externe bewakingssysteem van St. Jude wordt "Merlin.net" genoemd.
De aantijgingen van Block waren behoorlijk spectaculair en veroorzaakten een onmiddellijke daling van de aandelenkoers van St. Jude, wat precies het verklaarde doel van Block was. Merk op dat Block's bedrijf (Muddy Waters, LLC), voordat hij zijn beschuldigingen over St. Jude aanvoerde, een belangrijke shortpositie in St. Jude had ingenomen. Dit betekende dat Block's bedrijf miljoenen dollars verdiende als de voorraad van St. Jude aanzienlijk daalde en laag genoeg bleef om een overeengekomen overname door Abbott Labs te scotcheren..
Na de goed gepubliceerde aanval van Block sloeg St Jude onmiddellijk terug met krachtig geformuleerde persberichten dat Block's beschuldigingen "absoluut niet klopten". St. Jude vervolgde ook Muddy Waters, LLC voor het naar verluidt verspreiden van valse informatie om St. Jude's te manipuleren Aandelenkoersen. Ondertussen keken onafhankelijke onderzoekers naar de kwetsbaarheidsvraag van St. Jude en kwamen tot andere conclusies. Eén groep bevestigde dat de apparaten van St. Jude bijzonder kwetsbaar waren voor cyberaanvallen; een andere groep concludeerde dat ze dat niet waren. De hele kwestie werd in de schoot geworpen van de FDA, die een krachtig onderzoek startte, en gedurende enkele maanden was er weinig van gehoord. Gedurende die tijd herstelde de voorraad van St. Jude veel van zijn verloren waarde, en eind 2016 werd de overname door Abbott met succes afgerond.
In januari 2017 gebeurden er twee dingen tegelijk. Ten eerste bracht de FDA een verklaring uit die aangaf dat er inderdaad cyberbeveiligingsproblemen waren met medische hulpmiddelen van St. Jude, en dat deze kwetsbaarheid inderdaad cyberintrusies en -uitbraken mogelijk zou maken die schadelijk zouden kunnen zijn voor patiënten. De FDA wees er echter op dat er geen bewijs is gevonden dat hacking daadwerkelijk bij een individu had plaatsgevonden.
Ten tweede heeft St. Jude een cyberbeveiligingssoftwarepatch uitgegeven die ontworpen is om de mogelijkheid van het binnendringen in hun implanteerbare apparaten sterk te verminderen. De softwarepatch is ontworpen om zichzelf automatisch en draadloos te installeren, via St. Jude's Merlin.net. De FDA heeft geadviseerd dat patiënten met deze apparaten het draadloze bewakingssysteem van St Jude blijven gebruiken, omdat "de voordelen voor de patiënt van blijvend gebruik van het apparaat opwegen tegen de cyberbeveiligingsrisico's."
Waar laat dit ons vandaan?
Het voorgaande beschrijft de feiten vrijwel zoals wij ze in het openbaar kennen. Als iemand die nauw betrokken was bij de ontwikkeling van het externe bewakingssysteem van het eerste implanteerbare apparaat (niet van St. Jude), interpreteer ik dit allemaal op de volgende manier: Het lijkt zeker dat er inderdaad cyberbeveiligingskwetsbaarheden waren in het St. Jude bewakingssysteem op afstand en deze kwetsbaarheden lijken voor de branche in het algemeen ongewoon. (Dus de aanvankelijke ontkenningen van St. Jude lijken overdreven te zijn)Verder is het duidelijk dat St. Jude snel verhuisde om deze kwetsbaarheid te herstellen, in samenwerking met de FDA, en dat deze stappen uiteindelijk bevredigend werden bevonden door de FDA. In feite, te oordelen naar de medewerking van de FDA en het feit dat de kwetsbaarheid voldoende werd aangepakt door middel van een softwarepatch, lijkt het probleem van St. Jude niet zo ernstig te zijn als door Mr Block in 2016 werd beweerd. Dus de eerste verklaringen van Mr. Block lijken overdreven). Bovendien werden de correcties aangebracht voordat iemand werd benadeeld.
Of het openlijke belangenconflict van Mr. Block (waarbij het uitstellen van de aandelenkoers van St. Jude hem veel geld opleverde) hem mogelijk heeft overbelast, is een kwestie voor de rechtbanken om te bepalen welke mogelijke cyberrisico's mogelijk zijn..
Voor nu lijkt het waarschijnlijk dat mensen met St. Jude-apparaten, met de correctieve softwarepleister toegepast, geen specifieke reden hebben om zich al te veel zorgen te maken over hack-aanvallen..
Waarom zijn implanteerbare cardiale apparaten kwetsbaar voor cyberaanvallen?
Inmiddels beseffen de meesten van ons dat elk digitaal apparaat dat we in onze levens gebruiken dat draadloze communicatie inhoudt op zijn minst theoretisch kwetsbaar is voor cyberaanvallen. Dat omvat elk implanteerbaar medisch apparaat, dat allemaal draadloos met de buitenwereld (dat wil zeggen de wereld buiten het lichaam) moet communiceren.De mogelijkheid dat mensen of groepen die zich op het kwaad concentreren, daadwerkelijk medische apparaten kunnen hacken, is de laatste paar jaar eerder een echte bedreiging geworden. In dit licht kan de publiciteit rondom de St. Jude-kwetsbaarheden een positief effect hebben gehad. Het is duidelijk dat zowel de industrie voor medische hulpmiddelen als de FDA nu zeer serieus zijn over deze bedreiging, en nu handelen met aanzienlijke kracht om het te ontmoeten.
Wat doet de FDA over het probleem?
De aandacht van de FDA is onlangs op dit onderwerp gericht geweest, waarschijnlijk grotendeels vanwege de controverse over St. Jude-apparaten. In december 2016 heeft de FDA een document met "30 pagina's" met richtlijnen voor fabrikanten van medische hulpmiddelen uitgebracht, met een nieuwe reeks regels voor het aanpakken van cyberkwetsbaarheden in medische hulpmiddelen die al op de markt zijn. (Vergelijkbare regels voor medische producten die nog in ontwikkeling zijn, werden in 2014 gepubliceerd.) De nieuwe regels beschrijven hoe fabrikanten moeten omgaan met het identificeren en oplossen van cybersecurity-kwetsbaarheden in producten die op de markt zijn, en hoe programma's moeten worden opgezet om nieuwe beveiligingsproblemen te identificeren en te melden.Het komt neer op
Gezien de cyberrisico's inherent verbonden aan elk draadloos communicatiesysteem, is enige mate van cyberkwetsbaarheid onvermijdelijk met implanteerbare medische apparaten. Maar het is belangrijk om te weten dat verdedigingen kunnen worden ingebouwd in deze producten om hacking slechts een afgelegen mogelijkheid te maken, en zelfs Mr. Block is het ermee eens dat dit voor de meeste bedrijven is gebeurd. Als St. Jude eerder wat laks was over deze kwestie, lijkt het bedrijf ervan te zijn genezen door de negatieve publiciteit die ze in 2016 hebben gekregen en die hun bedrijf een tijdlang ernstig bedreigden. St. Jude heeft onder andere de opdracht gegeven aan een onafhankelijke Cyber Security Medical Advisory Board om zijn inspanningen in de toekomst te overzien. Andere bedrijven in medische hulpmiddelen zullen waarschijnlijk volgen. Zowel de fabrikanten van FDA als fabrikanten van medische apparatuur pakken het probleem dan ook met meer energie aan.Mensen die pacemakers, ICD's of CRT-apparaten hebben geïmplanteerd, moeten zeker letten op het probleem van cyber-kwetsbaarheid, aangezien we daar waarschijnlijk meer over zullen horen naarmate de tijd verstrijkt. Maar voor nu, althans, lijkt het risico vrij klein te zijn en wordt zeker gecompenseerd door de voordelen van bewaking op afstand.