San Xude e Vulnerabilidade Cyber de Dispositivos Médicos
A finais de 2016 e principios de 2017, os informes informativos levantaron o espectro de que as persoas con malas intencións podían piratear o dispositivo médico implantable dun individuo e causar serios problemas. Especificamente, os dispositivos en cuestión son comercializados por St. Jude Medical, Inc. e inclúen marcapasos (que tratan a bradicardia sinusal e bloqueo cardíaco ), desfibriladores implantables (ICDs) (que tratan a taquicardia ventricular e a fibrilación ventricular ) e os dispositivos CRT (que tratar a insuficiencia cardíaca ).
Estas noticias poden ter provocado temores entre as persoas que teñen estes dispositivos médicos sen poñer o problema en perspectiva suficiente.
¿Se implantan dispositivos cardíacos en risco por ciberataques? Si, porque calquera dispositivo dixital que inclúa a comunicación sen fíos sexa polo menos teoricamente vulnerable, incluídos os marcapasos, os dispositivos ICD e CRT. Pero ata agora, un ataque cibernético real contra calquera destes dispositivos implantados nunca foi documentado. E (grazas en gran parte á publicidade recente sobre hackeo, tanto de dispositivos médicos como de políticos), a FDA e os fabricantes de dispositivos están a traballar arduamente para detectar tales vulnerabilidades.
Dispositivos cardíacos de St. Jude e hacking
A historia comezou por primeira vez en agosto de 2016 cando o famoso vendedor de curto alcance, Carson Block, anunciou públicamente que St. Jude vendera centos de miles de marcapasos implantables, desfibriladores e dispositivos CRT que eran extremadamente vulnerables ao hackeo.
Block dixo que unha empresa de seguridade cibernética coa que estaba afiliado (MedSec Holdings, Inc.) realizara unha investigación intensiva e descubriu que os dispositivos de St. Jude eran exclusivamente vulnerables ao pirateo (a diferenza dos mesmos tipos de dispositivos médicos vendidos por Medtronic, Boston Scientific, e outras empresas).
En particular, dixo Block, os sistemas de St. Jude "carecían de defensas de seguridade máis básicas", como dispositivos anti-manipulación, cifrado e ferramentas anti-depuración, do tipo comúnmente utilizado polo resto da industria.
A suposta vulnerabilidade estaba relacionada coa monitorización remota e sen fíos que todos estes dispositivos incorporáronos. Estes sistemas de monitorización sen fíos están deseñados para detectar automaticamente os problemas do dispositivo emerxente antes de que poidan causar danos e comunicar estes problemas inmediatamente ao médico. Esta característica de control remoto, agora empregada por todos os fabricantes de dispositivos, foi documentada para mellorar significativamente a seguridade dos pacientes que teñen estes produtos. O sistema de control remoto de St. Jude chámase "Merlin.net".
As acusacións de Block foron bastante espectaculares e provocaron unha caída inmediata do prezo das accións de St. Jude, que era precisamente o obxectivo declarado de Block. Desta forma, antes de facer as súas acusacións sobre a empresa de St. Jude, Block (Muddy Waters, LLC), tomara unha posición curta importante en St. Jude. Isto significou que a compañía de Block estaba a gañar millóns de dólares se o stock de St. Jude caeu substancialmente e mantívose o suficientemente baixo como para escatimar a adquisición acordada por Abbott Labs.
Despois do ben publicitado ataque do Bloque, St Jude inmediatamente disparou con comunicados de prensa fortemente redaccionados no sentido de que as acusacións de Block eran "absolutamente falsas". St. Jude tamén demandou a Muddy Waters, LLC por presuntamente difundir información falsa para manipular St Jude's prezos das accións. Mentres tanto, os investigadores independentes observaron a cuestión de vulnerabilidade de St. Jude e chegaron a conclusións diferentes. Un grupo confirmou que os dispositivos de St. Jude eran particularmente vulnerables ao ataque cibernético; outro grupo concluíu que non o eran. O asunto completo caeu no regazo da FDA, que lanzou unha vigorosa investigación, e pouca cousa se soubo sobre o tema.
Durante ese tempo, as existencias de St. Jude recuperaron gran parte do seu valor perdido e, a finais do 2016, a adquisición por parte de Abbott concluíu con éxito.
Entón, en xaneiro de 2017, dúas cousas sucederon simultaneamente. En primeiro lugar, a FDA publicou unha declaración que indicaba que había problemas de seguridade cibernética cos dispositivos médicos de St. Jude e que esta vulnerabilidade podería permitir efectivamente intrusións e exploits cibernéticas que poidan resultar nocivas para os pacientes. Non obstante, a FDA sinalou que non se constatou que o pirateo tivese lugar nalgún individuo.
En segundo lugar, St. Jude lanzou un parche de software de seguridade cibernética destinado a diminuír moito a posibilidade de hackear nos seus dispositivos implantables. O parche de software foi deseñado para instalarse de forma automática e sen fíos, en Merlin.net de St. Jude. A FDA recomenda que os pacientes que teñan estes dispositivos seguen usando o sistema de seguimento sen fíos de St Jude, xa que "os beneficios de saúde para os pacientes que seguen usando o dispositivo superan os riscos de seguridade cibernética".
Onde isto nos deixa?
O que antecede describe os feitos como o coñecemos. Como alguén que estivo intimamente involucrado co desenvolvemento do primeiro sistema de monitorización remota do dispositivo implantable (non de St. Jude's), interpreto todo isto do seguinte xeito: Parece certo que efectivamente houbo vulnerabilidades cibersegurantes no sistema de control remoto de St. Jude , e estas vulnerabilidades parecen ter sido pouco común para a industria en xeral. (Así, as negacións iniciais de St. Jude parecen esaxerarse.)
Ademais, resulta evidente que St. Jude mudouse rápidamente para remediar esta vulnerabilidade, traballando en conxunto coa FDA e que estes pasos foron finalmente considerados satisfactorios pola FDA. De feito, a xulgar pola cooperación da FDA e ao feito de que a vulnerabilidade foi suficientemente tratada mediante un parche de software, o problema de St. Jude parece non ser tan severo como fora alegado polo Sr. Block en 2016. ( Entón, as afirmacións iniciais de Mr. Block parecen ser esaxeradas). Ademais, as correccións foron feitas antes de que alguén fose prexudicado.
Se o conflito manifesto de interese de Mr. Block (polo que baixou o prezo das accións de St. Jude estaba en branco), podería causarlle que superase os posibles riscos cibernéticos posibles, pero esta é unha cuestión para que os tribunais determine .
Por agora parece probable que, co parche de software correctivo aplicado, as persoas con dispositivos de St. Jude non teñen un motivo particular para estar demasiado preocupados polos ataques de pirateo.
Por que os dispositivos cardíacos implantables son vulnerables ao ataque cibernético?
Na actualidade, a maioría de nós entendemos que calquera dispositivo dixital que usemos nas nosas vidas que implica a comunicación sen fíos é polo menos teoricamente vulnerable ao ciberataque. Isto inclúe calquera dispositivo médico implantable, que debe comunicarse sen fíos co mundo exterior (é dicir, o mundo fóra do corpo).
A posibilidade de que persoas ou grupos empeñados no mal teñan acceso a dispositivos médicos que, nos últimos anos, parecen ser unha ameaza real. A este respecto, a publicidade que rodea ás vulnerabilidades de St. Jude puido ter un efecto positivo. É evidente que tanto a industria dos dispositivos médicos como a FDA agora son moi graves sobre esta ameaza e agora actúan con un vigor significativo para atopalo.
Cal é a FDA facendo sobre o problema?
A atención da FDA foi recentemente enfocada a este problema, probablemente en gran parte debido á polémica sobre os dispositivos de St. Jude. En decembro de 2016, a FDA publicou un documento de "guía" de 30 páxinas para os fabricantes de dispositivos médicos, establecendo un novo conxunto de regras para abordar as vulnerabilidades cibernéticas nos dispositivos médicos que xa están no mercado. (As regras semellantes para os produtos médicos aínda en desenvolvemento foron publicadas en 2014.) As novas regras describen como os fabricantes deberían buscar identificación e resolución de vulnerabilidades ciberseguridad en produtos comercializados e como establecer programas para identificar e informar novos problemas de seguridade.
O punto de partida
Dados os riscos cibernéticos inherentemente asociados a calquera sistema de comunicación sen fíos, un grao de vulnerabilidade cibernética é inevitable con dispositivos médicos implantables. Pero é importante saber que as defensas poden integrarse nestes produtos para facer hackear só unha posibilidade remota, e mesmo o señor Block está de acordo en que para a maioría das empresas isto ocorreu. Se St. Jude xa estivera un pouco confuso respecto diso, a compañía parece ter sido curada pola publicidade negativa que recibiu en 2016, que por un tempo ameazaron seriamente o seu negocio. Entre outras cousas, St. Jude encargou un Consello Consultivo Médico independente de Cyber Security para supervisar os seus esforzos en diante. É probable que outras compañías de dispositivos médicos sigan o exemplo. Así, tanto a FDA como os fabricantes de dispositivos médicos están abordando o problema con maior vigor.
As persoas que implantaron marcapasos, dispositivos ICD ou CRT deberían prestar atención ao tema da vulnerabilidade cibernética, xa que é probable que oesen máis sobre o paso do tempo. Pero, polo menos, polo menos, o risco parece ser bastante pequeno e seguramente supera os beneficios do control remoto de dispositivos.
> Fontes:
> FDA. Cibersecurity Vulnerabilidades Identificadas nos dispositivos cardíacos implantables de St. Jude Medical e Transmisor Merlin @ home: Comunicación de seguridade FDA. 9 de xaneiro de 2017.
> Muddy Waters. Declaración de MW en STJ / ABT Recoñecemento de vulnerabilidades cibernéticas. Nota de prensa 9 de xaneiro de 2017.
> St Jude Medical. St Jude Medical anuncia o comunicado de prensa de Cybersecurity Updates. 9 de xaneiro de 2017.