圣犹达和医疗设备的网络脆弱性
在2016年末和2017年初,新闻报道引发了幽灵的说法,那些意图不好的人可能会侵入个人的植入式医疗设备并造成严重问题。 具体而言,所述装置由St.Jude Medical,Inc.销售,并且包括起搏器 (用于治疗窦性心动过缓和心脏阻滞 ), 植入式除颤器(ICD) (用于治疗室性心动过速和心室纤维性颤动 )和CRT装置 (其治疗心力衰竭 )。
这些新闻报道可能引发了有这些医疗设备的人们的担忧,而没有将这个问题置于充分的角度。
植入心脏设备是否存在网络攻击风险? 是的,因为任何包含无线通信的数字设备至少在理论上都是脆弱的,包括起搏器,ICD和CRT设备。 但到目前为止,针对这些植入设备的实际网络攻击从未被记录。 (很大程度上要归功于近期有关医疗设备和政治家黑客入侵的宣传),FDA和设备制造商现在正在努力修补这些漏洞。
圣犹大心脏设备和黑客
这个故事于2016年8月首次爆发,当时着名的卖空者Carson Block公开宣布St. Jude销售数十万植入式心脏起搏器,除颤器和极易受黑客攻击的CRT设备。
Block表示,他所隶属的一家网络安全公司(MedSec Holdings,Inc.)进行了深入调查,发现St. Jude设备非常容易受到黑客攻击(与Medtronic出售的同类医疗设备相反,波士顿科学公司等)。
特别是Block说,St. Jude系统“缺乏最基本的安全防御”,例如其他行业通常使用的防篡改设备,加密和反调试工具。
所谓的漏洞与所有这些设备内置的远程无线监控有关。 这些无线监控系统设计用于在出现问题之前自动检测新出现的设备问题,并将这些问题立即传达给医生。 这种远程监测功能现在已被所有设备制造商采用,已被证明可以显着提高患者使用这些产品的安全性。 圣犹达的远程监控系统被称为“Merlin.net”。
Block的指控非常壮观,导致圣裘德的股价立即下跌 - 这正是Block的既定目标。 值得注意的是,在对St. Jude提出指控之前,Block的公司(Muddy Waters,LLC)在St. Jude担任了重要的空头头寸。 这意味着,如果St. Jude的股票大幅下跌,Block的公司就可以赚到数百万美元,并且仍然足够低,足以让雅培实验室同意收购。
在Block受到公开的攻击之后,St Jude立即回击了措辞强硬的新闻稿,大意是Block的指控“绝对是不真实的”。St. Jude还起诉Muddy Waters,LLC涉嫌传播虚假信息以操纵St. Jude's股票价格。 同时,独立调查人员审视了圣裘德漏洞问题,并得出了不同的结论。 一个小组证实圣裘德的设备特别容易受到网络攻击; 另一个小组认为他们不是。 整个问题都被FDA放在了一边,FDA发起了一场激烈的调查,几个月来几乎没有人听说过这件事。
在此期间,圣裘德的股票收回了大部分的损失价值,2016年年底,雅培收购成功。
然后,在2017年1月,两件事情同时发生。 首先,FDA发布了一份声明,指出圣犹达医疗设备确实存在网络安全问题,而且这种漏洞确实可能允许网络入侵和可能对患者有害的漏洞利用。 然而,FDA指出,没有证据表明黑客实际上是在任何个人身上发生的。
其次,圣犹达公司发布了一个网络安全软件补丁,旨在大大降低入侵植入设备的可能性。 该软件补丁旨在通过St. Jude的Merlin.net自动无线安装。 FDA建议患有这些设备的患者继续使用St Jude的无线监测系统,因为“继续使用该设备对患者的健康益处超过了网络安全风险。”
这给我们留下了什么?
上述内容非常详细地描述了我们在公众中知道的事实。 作为与第一个植入式设备远程监控系统(不是St. Jude's)开发密切相关的人员,我通过以下方式解读了这一切:似乎肯定圣Jude远程监控系统确实存在网络安全漏洞,而这些漏洞对于整个行业来说似乎并不平常。 (所以,圣裘德的最初否认似乎被夸大了。)
此外,很显然,圣犹达与FDA迅速合作修复了这个漏洞,并且这些步骤最终被FDA认定为令人满意。 事实上,根据FDA的合作和通过软件补丁处理漏洞的事实判断,圣犹达的问题似乎不像Block先生2016年所声称的那样严重。(所以,布洛克先生的最初陈述似乎被夸大了)。 此外,更正是在任何人受到伤害之前作出的。
无论是布莱克先生的明显利益冲突(即驱使圣犹达股价下跌的原因是他将大笔资金净化),这可能导致他超出潜在的网络风险听起来是可能的,但这是法院判定的一个问题。
目前看来,在应用修正软件补丁的情况下,拥有St. Jude设备的人没有特别的理由过分担心黑客攻击。
为什么植入式心脏设备易受网络攻击?
到目前为止,我们大多数人都意识到,我们生活中涉及无线通信的任何数字设备至少在理论上容易受到网络攻击。 这包括任何植入式医疗设备,所有这些设备都必须与外部世界(即身体外部的世界)进行无线通信。
在过去的几年里,人们或群体对邪恶的邪恶可能实际上侵入医疗设备的可能性似乎更多地成为真正的威胁。 从这个角度来看,围绕圣裘德漏洞的宣传可能会产生积极的影响。 很显然,医疗器械行业和FDA都对这种威胁非常认真,现在正以极大的活力采取行动来应对这一威胁。
FDA正在做什么?
FDA的注意力已经集中在这个问题上,很大程度上可能是因为对圣犹达器械的争议。 2016年12月,FDA向医疗器械制造商发布了一份30页的“指导”文件,为解决已经在市场上的医疗器械的网络漏洞制定了一套新的规则。 (关于仍在制定中的医疗产品的类似规则已于2014年发布。)新规则描述了制造商应如何确定和修复市场化产品中的网络安全漏洞,以及如何建立识别和报告新安全问题的计划。
底线
鉴于与任何无线通信系统固有相关的网络风险,植入式医疗设备无法避免某种程度的网络脆弱性。 但重要的是要知道,防御措施可以嵌入到这些产品中,以使黑客成为一种遥远的可能性,甚至Block先生也同意,对于大多数公司来说,这已经发生了。 如果St. Jude之前对这件事情有些松懈,公司似乎已经通过他们在2016年收到的负面宣传而得到治愈,这一举动一度严重威胁到他们的业务。 除此之外,圣犹达委托独立的网络安全医疗咨询委员会监督其未来的努力。 其他医疗器械公司可能会效仿。 因此,FDA和医疗设备制造商都在积极应对这个问题。
植入心脏起搏器,ICD或CRT设备的人们当然应该关注网络脆弱性问题,因为随着时间的推移,我们可能会听到更多的信息。 但至少现在,风险似乎很小,远远超出了远程设备监控的好处。
>来源:
> FDA。 网络安全漏洞在St. Jude Medical的植入式心脏设备和Merlin @ home变送器:FDA安全通信中发现。 2017年1月9日。
> Muddy Waters。 MW关于STJ / ABT确认网络脆弱性的声明。 新闻稿2017年1月9日。
>圣裘德医疗。 St Jude Medical宣布Cybersecurity Updates新闻稿。 2017年1月9日。