St. Jude en Cyber Vulnerability of Medical Devices
Eind 2016 en begin 2017 brachten nieuwsberichten het schrikbeeld naar boven dat mensen met slechte bedoelingen potentieel het implanteerbare medische hulpmiddel van een persoon konden hacken en ernstige problemen konden veroorzaken. In het bijzonder worden de apparaten in kwestie op de markt gebracht door St. Jude Medical, Inc., en omvatten pacemakers (die sinusbradycardie en hartblok behandelen ), implanteerbare defibrillatoren (ICD's) (die ventriculaire tachycardie en ventriculaire fibrillatie behandelen ) en CRT-apparaten (die hartfalen behandelen).
Deze nieuwsverslagen hebben bij mensen die deze medische hulpmiddelen hebben angst kunnen oproepen zonder het probleem in voldoende perspectief te plaatsen.
Zijn geïmplanteerde cardiale apparaten in gevaar voor cyberaanvallen? Ja, want elk digitaal apparaat dat draadloze communicatie omvat, is op zijn minst theoretisch kwetsbaar, inclusief pacemakers, ICD's en CRT-apparaten. Maar tot nu toe is een echte cyberaanval tegen een van deze geïmplanteerde apparaten nooit gedocumenteerd. En (grotendeels dankzij de recente publiciteit over hacking, zowel van medische apparatuur als van politici), werken de FDA en de apparaatfabrikanten nu hard aan het oplossen van dergelijke kwetsbaarheden.
St. Jude cardiale apparaten en hacking
Het verhaal brak voor het eerst in augustus 2016, toen beroemde kortbaan-verkoper Carson Block publiekelijk aankondigde dat St. Jude honderdduizenden implanteerbare pacemakers, defibrillatoren en CRT-apparaten had verkocht die extreem kwetsbaar waren voor hackers.
Block zei dat een cyberbeveiligingsbedrijf waarmee hij verbonden was (MedSec Holdings, Inc.) een intensief onderzoek had uitgevoerd en vond dat St. Jude-apparaten uniek kwetsbaar waren voor hacking (in tegenstelling tot dezelfde soorten medische apparaten die door Medtronic werden verkocht, Boston Scientific en andere bedrijven).
Met name in het genoemde blok ontbraken de St. Jude-systemen "zelfs de meest elementaire veiligheidsdefinities", zoals apparaten tegen manipulatie, encryptie en anti-foutopsporingshulpmiddelen, zoals gewoonlijk wordt gebruikt door de rest van de industrie.
De vermeende kwetsbaarheid was gerelateerd aan de externe, draadloze bewaking die al deze apparaten hebben ingebouwd. Deze draadloze bewakingssystemen zijn ontworpen om automatisch opkomende apparaatproblemen te detecteren voordat ze schade kunnen aanrichten, en communiceren deze problemen onmiddellijk aan de arts. Deze externe bewakingsfunctie, nu in gebruik bij alle apparaatfabrikanten, is gedocumenteerd om de veiligheid voor patiënten met deze producten aanzienlijk te verbeteren. Het externe bewakingssysteem van St. Jude wordt "Merlin.net" genoemd.
De aantijgingen van Block waren behoorlijk spectaculair en veroorzaakten een onmiddellijke daling van de aandelenkoers van St. Jude, wat precies het verklaarde doel van Block was. Merk op dat Block's bedrijf (Muddy Waters, LLC), voordat hij zijn beschuldigingen over St. Jude aanvoerde, een belangrijke shortpositie in St. Jude had ingenomen. Dit betekende dat Block's bedrijf miljoenen dollars verdiende als de voorraad van St. Jude aanzienlijk daalde en laag genoeg bleef om een overeengekomen overname door Abbott Labs te scotcheren.
Na de goed gepubliceerde aanval van Block sloeg St Jude onmiddellijk terug met krachtig geformuleerde persberichten dat Block's beschuldigingen "absoluut niet klopten". St. Jude klaagde ook Muddy Waters, LLC aan omdat hij naar verluidt valse informatie verspreidde om St. Jude's te manipuleren Aandelenkoersen. Ondertussen keken onafhankelijke onderzoekers naar de kwetsbaarheidsvraag van St. Jude en kwamen tot andere conclusies. Eén groep bevestigde dat de apparaten van St. Jude bijzonder kwetsbaar waren voor cyberaanvallen; een andere groep concludeerde dat ze dat niet waren. De hele kwestie werd in de schoot geworpen van de FDA, die een krachtig onderzoek lanceerde, en er was enkele maanden weinig over gehoord.
Gedurende die tijd herstelde de voorraad van St. Jude veel van zijn verloren waarde, en eind 2016 werd de overname door Abbott met succes afgerond.
In januari 2017 gebeurden er twee dingen tegelijk. Ten eerste bracht de FDA een verklaring uit die aangaf dat er inderdaad cyberbeveiligingsproblemen waren met medische hulpmiddelen van St. Jude, en dat deze kwetsbaarheid inderdaad cyberintrusies en -uitbraken toelaat die schadelijk zouden kunnen zijn voor patiënten. De FDA wees er echter op dat er geen bewijs is gevonden dat hacking daadwerkelijk in een persoon had plaatsgevonden.
Ten tweede heeft St. Jude een cyberbeveiligingssoftwarepatch uitgegeven die ontworpen is om de mogelijkheid van het binnendringen in hun implanteerbare apparaten sterk te verminderen. De softwarepatch is ontworpen om zichzelf automatisch en draadloos te installeren, via St. Jude's Merlin.net. De FDA heeft geadviseerd dat patiënten met deze apparaten het draadloze bewakingssysteem van St Jude blijven gebruiken, omdat "de voordelen voor de gezondheid van patiënten van blijvend gebruik van het apparaat opwegen tegen de cyberbeveiligingsrisico's."
Waar laat dit ons vandaan?
Het voorgaande beschrijft de feiten vrijwel zoals wij ze in het openbaar kennen. Als iemand die nauw betrokken was bij de ontwikkeling van het externe bewakingssysteem van het eerste implanteerbare apparaat (niet van St. Jude), interpreteer ik dit allemaal op de volgende manier: Het lijkt zeker dat er inderdaad cyberbeveiligingskwetsbaarheden waren in het St. Jude remote bewakingssysteem en deze kwetsbaarheden lijken voor de branche in het algemeen ongewoon. (Dus, de eerste weigeringen van St. Jude lijken overdreven te zijn)
Verder is het duidelijk dat St. Jude snel verhuisde om deze kwetsbaarheid te herstellen, in samenwerking met de FDA, en dat deze stappen uiteindelijk bevredigend werden bevonden door de FDA. In feite, te oordelen naar de medewerking van de FDA en het feit dat de kwetsbaarheid voldoende werd aangepakt door middel van een softwarepleister, lijkt het probleem van St. Jude niet zo ernstig te zijn als door Mr Block in 2016 werd beweerd. ( Dus de eerste verklaringen van Mr. Block lijken overdreven te zijn). Bovendien zijn de correcties aangebracht voordat iemand werd benadeeld.
Of het openlijke belangenconflict van Mr. Block (waarbij de aandelenkoers van St. Jude opdaagde om hem veel geld te besparen), hem mogelijk de potentiële cyberrisico's mogelijk heeft doen overbelasten, maar dit is een vraag voor de rechtbanken om te bepalen .
Voor nu lijkt het waarschijnlijk dat mensen met St. Jude-apparaten, met de correctieve softwarepleister die wordt toegepast, geen specifieke reden hebben om zich overdreven zorgen te maken over hackingaanvallen.
Waarom zijn implanteerbare cardiale apparaten kwetsbaar voor cyberaanvallen?
Inmiddels beseffen de meesten van ons dat elk digitaal apparaat dat we in ons leven gebruiken en dat draadloze communicatie omvat, op zijn minst theoretisch kwetsbaar is voor cyberaanvallen. Dat omvat elk implanteerbaar medisch apparaat, die allemaal draadloos met de buitenwereld (dat wil zeggen de wereld buiten het lichaam) moet communiceren.
De mogelijkheid dat mensen of groepen die zich op het kwaad concentreren, daadwerkelijk medische apparaten kunnen hacken, is de laatste paar jaar eerder een echte bedreiging geworden. In dit licht kan de publiciteit rond de St. Jude-kwetsbaarheden een positief effect hebben gehad. Het is duidelijk dat zowel de industrie voor medische hulpmiddelen als de FDA nu zeer serieus zijn over deze bedreiging, en nu handelen met aanzienlijke kracht om eraan te voldoen.
Wat doet de FDA over het probleem?
De aandacht van de FDA is onlangs op dit onderwerp gericht geweest, waarschijnlijk grotendeels vanwege de controverse over St. Jude-apparaten. In december 2016 heeft de FDA een document met 30 pagina's met richtlijnen uitgegeven voor fabrikanten van medische apparaten, met een nieuwe reeks regels voor het aanpakken van cyberkwetsbaarheden in medische apparaten die al op de markt zijn. (Vergelijkbare regels voor medische producten die nog in ontwikkeling zijn, werden in 2014 gepubliceerd.) De nieuwe regels beschrijven hoe fabrikanten moeten omgaan met het identificeren en oplossen van cybersecurity-kwetsbaarheden in producten die op de markt zijn en hoe programma's kunnen worden opgezet om nieuwe beveiligingsproblemen te identificeren en te melden.
Het komt neer op
Gezien de cyberrisico's inherent verbonden aan elk draadloos communicatiesysteem, is enige mate van cyberkwetsbaarheid onvermijdelijk met implanteerbare medische apparaten. Maar het is belangrijk om te weten dat verdedigingen kunnen worden ingebouwd in deze producten om hacking slechts een afgelegen mogelijkheid te maken, en zelfs Mr. Block is het ermee eens dat dit voor de meeste bedrijven is gebeurd. Als St. Jude eerder wat laks is geweest over deze kwestie, lijkt het bedrijf ervan te zijn genezen door de negatieve publiciteit die ze in 2016 hebben gekregen en die hun bedrijf een tijdlang ernstig bedreigden. St. Jude heeft onder andere de opdracht gegeven aan een onafhankelijke Cyber Security Medical Advisory Board om zijn inspanningen in de toekomst te overzien. Andere bedrijven in medische hulpmiddelen zullen waarschijnlijk volgen. Zowel de fabrikanten van FDA als fabrikanten van medische apparatuur pakken het probleem dan ook met verhoogde kracht aan.
Mensen die pacemakers, ICD's of CRT-apparaten hebben geïmplanteerd, moeten zeker letten op het probleem van cyber-kwetsbaarheid, omdat we daar waarschijnlijk meer over zullen horen naarmate de tijd verstrijkt. Maar voor nu, althans, lijkt het risico vrij klein te zijn, en wordt zeker gecompenseerd door de voordelen van bewaking op afstand.
> Bronnen:
> FDA. Cybersecurity-kwetsbaarheden geïdentificeerd in St. Jude Medical's implanteerbare cardiale apparaten en Merlin @ home-zender: FDA-veiligheidscommunicatie. 9 januari 2017.
> Muddy Waters. MW-verklaring over STJ / ABT-bevestiging van cyber-kwetsbaarheden. Persbericht 9 januari 2017.
> St Jude Medical. St Jude Medical kondigt persbericht van Cybersecurity Updates aan. 9 januari 2017.