聖猶達和醫療設備的網絡脆弱性
在2016年末和2017年初,新聞報導引發了幽靈的說法,那些意圖不好的人可能會侵入個人的植入式醫療設備並造成嚴重問題。 具體而言,所述裝置由St.Jude Medical,Inc.銷售,並且包括起搏器 (用於治療竇性心動過緩和心臟阻滯 ), 植入式除顫器(ICD) (用於治療室性心動過速和心室纖維性顫動 )和CRT裝置 (其治療心力衰竭 )。
這些新聞報導可能引發了有這些醫療設備的人們的擔憂,而沒有將這個問題置於充分的角度。
植入心臟設備是否存在網絡攻擊風險? 是的,因為任何包含無線通信的數字設備至少在理論上都是脆弱的,包括起搏器,ICD和CRT設備。 但到目前為止,針對這些植入設備的實際網絡攻擊從未被記錄。 (很大程度上要歸功於近期有關醫療設備和政治家黑客入侵的宣傳),FDA和設備製造商現在正在努力修補這些漏洞。
聖猶大心臟設備和黑客
這個故事於2016年8月首次爆發,當時著名的賣空者Carson Block公開宣布St. Jude銷售數十萬植入式心臟起搏器,除顫器和極易受黑客攻擊的CRT設備。
Block表示,他所隸屬的一家網絡安全公司(MedSec Holdings,Inc.)進行了深入調查,發現St. Jude設備非常容易受到黑客攻擊(與Medtronic出售的同類醫療設備相反,波士頓科學公司等)。
特別是Block說,St. Jude系統“缺乏最基本的安全防禦”,例如其他行業通常使用的防篡改設備,加密和反調試工具。
所謂的漏洞與所有這些設備內置的遠程無線監控有關。 這些無線監控系統設計用於在出現問題之前自動檢測新出現的設備問題,並將這些問題立即傳達給醫生。 這種遠程監測功能現在已被所有設備製造商採用,已被證明可以顯著提高患者使用這些產品的安全性。 聖猶達的遠程監控系統被稱為“Merlin.net”。
Block的指控非常壯觀,導致聖裘德的股價立即下跌 - 這正是Block的既定目標。 值得注意的是,在對St. Jude提出指控之前,Block的公司(Muddy Waters,LLC)在St. Jude擔任了重要的空頭頭寸。 這意味著,如果St. Jude的股票大幅下跌,Block的公司就可以賺到數百萬美元,並且仍然足夠低,足以讓雅培實驗室同意收購。
在Block受到公開的攻擊之後,St Jude立即回擊了措辭強硬的新聞稿,大意是Block的指控“絕對是不真實的”。St. Jude還起訴Muddy Waters,LLC涉嫌傳播虛假信息以操縱St. Jude's股票價格。 同時,獨立調查人員審視了聖裘德漏洞問題,並得出了不同的結論。 一個小組證實聖裘德的設備特別容易受到網絡攻擊; 另一個小組認為他們不是。 整個問題都被FDA放在了一邊,FDA發起了一場激烈的調查,幾個月來幾乎沒有人聽說過這件事。
在此期間,聖裘德的股票收回了大部分的損失價值,2016年年底,雅培收購成功。
然後,在2017年1月,兩件事情同時發生。 首先,FDA發布了一份聲明,指出聖猶達醫療設備確實存在網絡安全問題,而且這種漏洞確實可能允許網絡入侵和可能對患者有害的漏洞利用。 然而,FDA指出,沒有證據表明黑客實際上是在任何個人身上發生的。
其次,聖猶達公司發布了一個網絡安全軟件補丁,旨在大大降低入侵植入設備的可能性。 該軟件補丁旨在通過St. Jude的Merlin.net自動無線安裝。 FDA建議患有這些設備的患者繼續使用St Jude的無線監測系統,因為“繼續使用該設備對患者的健康益處超過了網絡安全風險。”
這給我們留下了什麼?
上述內容非常詳細地描述了我們在公眾中知道的事實。 作為與第一個植入式設備遠程監控系統(不是St. Jude's)開發密切相關的人員,我通過以下方式解讀了這一切:似乎肯定聖Jude遠程監控系統確實存在網絡安全漏洞,而這些漏洞對於整個行業來說似乎並不平常。 (所以,聖裘德的最初否認似乎被誇大了。)
此外,很顯然,聖猶達與FDA迅速合作修復了這個漏洞,並且這些步驟最終被FDA認定為令人滿意。 事實上,根據FDA的合作和通過軟件補丁處理漏洞的事實判斷,聖猶達的問題似乎不像Block先生2016年所聲稱的那樣嚴重。(所以,布洛克先生的最初陳述似乎被誇大了)。 此外,更正是在任何人受到傷害之前作出的。
無論是布萊克先生的明顯利益衝突(即驅使聖猶達股價下跌的原因是他將大筆資金淨化),這可能導致他超出潛在的網絡風險聽起來是可能的,但這是法院判定的一個問題。
目前看來,在應用修正軟件補丁的情況下,擁有St. Jude設備的人沒有特別的理由過分擔心黑客攻擊。
為什麼植入式心臟設備易受網絡攻擊?
到目前為止,我們大多數人都意識到,我們生活中涉及無線通信的任何數字設備至少在理論上容易受到網絡攻擊。 這包括任何植入式醫療設備,所有這些設備都必須與外部世界(即身體外部的世界)進行無線通信。
在過去的幾年裡,人們或群體對邪惡的邪惡可能實際上侵入醫療設備的可能性似乎更多地成為真正的威脅。 從這個角度來看,圍繞聖裘德漏洞的宣傳可能會產生積極的影響。 很顯然,醫療器械行業和FDA都對這種威脅非常認真,現在正以極大的活力採取行動來應對這一威脅。
FDA正在做什麼?
FDA的注意力已經集中在這個問題上,很大程度上可能是因為對聖猶達器械的爭議。 2016年12月,FDA向醫療器械製造商發布了一份30頁的“指導”文件,為解決已經在市場上的醫療器械的網絡漏洞制定了一套新的規則。 (關於仍在製定中的醫療產品的類似規則已於2014年發布。)新規則描述了製造商應如何確定和修復市場化產品中的網絡安全漏洞,以及如何建立識別和報告新安全問題的計劃。
底線
鑑於與任何無線通信系統固有相關的網絡風險,植入式醫療設備無法避免某種程度的網絡脆弱性。 但重要的是要知道,防禦措施可以嵌入到這些產品中,以使黑客成為一種遙遠的可能性,甚至Block先生也同意,對於大多數公司來說,這已經發生了。 如果St. Jude之前對這件事情有些鬆懈,公司似乎已經通過他們在2016年收到的負面宣傳而得到治愈,這一舉動一度嚴重威脅到他們的業務。 除此之外,聖猶達委託獨立的網絡安全醫療諮詢委員會監督其未來的努力。 其他醫療器械公司可能會效仿。 因此,FDA和醫療設備製造商都在積極應對這個問題。
植入心臟起搏器,ICD或CRT設備的人們當然應該關注網絡脆弱性問題,因為隨著時間的推移,我們可能會聽到更多的信息。 但至少現在,風險似乎很小,遠遠超出了遠程設備監控的好處。
>來源:
> FDA。 網絡安全漏洞在St. Jude Medical的植入式心臟設備和Merlin @ home變送器:FDA安全通信中發現。 2017年1月9日。
> Muddy Waters。 MW關於STJ / ABT確認網絡脆弱性的聲明。 新聞稿2017年1月9日。
>聖裘德醫療。 St Jude Medical宣布Cybersecurity Updates新聞稿。 2017年1月9日。