เซนต์จูดและช่องโหว่ของอุปกรณ์การแพทย์
ในช่วงปลายปี 2016 และต้นปี พ.ศ. 2560 รายงานข่าวได้เปิดเผยว่าผู้ที่มีเจตนาร้ายอาจเจาะเข้าสู่อุปกรณ์ทางการแพทย์ที่ฝังตัวของแต่ละบุคคลและก่อให้เกิดปัญหาร้ายแรง โดยเฉพาะอุปกรณ์ที่เป็นปัญหานี้วางตลาดโดย St. Jude Medical, Inc. และรวมถึง เครื่องกระตุ้นหัวใจ ( pacemakers) (ซึ่งใช้รักษา อาการหัวใจล้มเหลวไซนัส และ หัวใจอุดตัน ), เครื่องกระตุ้นหัวใจบกพร่องที่ฝัง (ICDs) (ซึ่งทำหน้าที่เป็น จังหวะใน ห้อง และ ventricular fibrillation ) และ อุปกรณ์ CRT รักษา ภาวะหัวใจล้มเหลว )
รายงานข่าวเหล่านี้อาจทำให้เกิดความกลัวในหมู่ผู้ที่มีอุปกรณ์ทางการแพทย์เหล่านี้โดยไม่ได้วางประเด็นไว้ในมุมมองที่เพียงพอ
อุปกรณ์ฝังหัวใจมีความเสี่ยงสำหรับการโจมตีในโลกไซเบอร์หรือไม่? ใช่เนื่องจากอุปกรณ์ดิจิทัลใด ๆ ที่มีการสื่อสารแบบไร้สายมีความเสี่ยงน้อยที่สุดในทางทฤษฎีรวมถึงเครื่องกระตุ้นหัวใจอุปกรณ์ ICD และอุปกรณ์ CRT แต่จนถึงขณะนี้การโจมตีทางอินเทอร์เน็ตที่เกิดขึ้นจริงกับอุปกรณ์ฝังเหล่านี้ไม่เคยได้รับการจัดทำเป็นเอกสาร และ (ส่วนใหญ่ขอบคุณในการประชาสัมพันธ์เมื่อเร็ว ๆ นี้เกี่ยวกับการลักลอบทั้งของอุปกรณ์ทางการแพทย์และนักการเมือง) องค์การอาหารและยาและผู้ผลิตอุปกรณ์กำลังทำงานอย่างหนักเพื่อแก้ไขช่องโหว่ดังกล่าว
เซนต์จูดอุปกรณ์หัวใจและการแฮ็ก
เรื่องแรกเกิดขึ้นในเดือนสิงหาคมปี 2016 เมื่อผู้ขายสั้น Carson Block ชื่อดังกล่าวเปิดเผยต่อสาธารณชนว่า St. Jude ขายเครื่องกระตุ้นหัวใจเครื่องกระตุ้นหัวใจและอุปกรณ์ CRT จำนวนหลายร้อยหลายพันเครื่องที่เสี่ยงต่อการแฮ็ก
บล็อกกล่าวว่า บริษัท cybersecurity ซึ่งเขาเป็น บริษัท ในเครือ (MedSec Holdings, Inc. ) ได้ทำการตรวจสอบอย่างเข้มข้นและพบว่าอุปกรณ์ของ St. Jude มีความเสี่ยงต่อการแฮ็ก (ในทางตรงกันข้ามกับอุปกรณ์ทางการแพทย์ชนิดเดียวกันที่ขายโดย Medtronic, Boston Scientific และ บริษัท อื่น ๆ )
โดยเฉพาะอย่างยิ่ง Block กล่าวว่าระบบของ St. Jude "ขาดการป้องกันด้านความปลอดภัยขั้นพื้นฐานมากที่สุด" เช่นอุปกรณ์ป้องกันการปลอมแปลง, การเข้ารหัสและเครื่องมือป้องกันการแก้จุดบกพร่องซึ่งใช้กันทั่วไปในอุตสาหกรรมอื่น ๆ
ช่องโหว่ดังกล่าวเกี่ยวข้องกับรีโมทไร้สายที่ตรวจสอบอุปกรณ์เหล่านี้ทั้งหมดที่มีอยู่ภายใน ระบบการตรวจสอบแบบไร้สายนี้ได้รับการออกแบบมาเพื่อตรวจจับปัญหาอุปกรณ์ที่เกิดขึ้นใหม่โดยอัตโนมัติก่อนที่จะสามารถก่อให้เกิดอันตรายได้และแจ้งปัญหาเหล่านี้ให้กับแพทย์ทันที คุณลักษณะการตรวจสอบจากระยะไกลนี้ซึ่งใช้โดยผู้ผลิตอุปกรณ์ทุกรายได้รับการรับรองเพื่อปรับปรุงความปลอดภัยสำหรับผู้ป่วยที่มีผลิตภัณฑ์เหล่านี้อย่างมีนัยสำคัญ ระบบการตรวจสอบจากระยะไกลของ St. Jude เรียกว่า "Merlin.net"
ข้อกล่าวหาของ Block น่าตื่นเต้นและทำให้ราคาหุ้นของ St. Jude ลดลงอย่างรวดเร็วซึ่งเป็นเป้าหมายที่กำหนดไว้ของ Block ก่อนที่ข้อกล่าวหาของเขาเกี่ยวกับ St. Jude บริษัท ของ Block (Muddy Waters, LLC) ได้รับตำแหน่งสั้น ๆ ใน St. Jude นั่นหมายความว่า บริษัท ของ Block มีเงินหลายล้านเหรียญหากหุ้นของ St. Jude ลดลงอย่างมากและยังคงต่ำพอที่จะซื้อหุ้นโดย Abbott Labs ที่ตกลงกันไว้
หลังจากการโจมตีที่ประกาศอย่างเป็นทางการของ Block แล้ว St Jude ได้รีบกลับมาพร้อมกับแถลงข่าวอย่างจริงจังที่มีผลต่อข้อกล่าวหาของบล็อกว่า "จริง ๆ " เซนต์จูดยังฟ้องร้อง Muddy Waters, LLC สำหรับการเผยแพร่ข้อมูลเท็จเพื่อที่จะจัดการกับ St. Jude's ราคาหุ้น ในขณะเดียวกันนักวิจัยอิสระได้พิจารณาคำถามเกี่ยวกับช่องโหว่ของ St. Jude และได้ข้อสรุปที่แตกต่างกัน กลุ่มหนึ่งยืนยันว่าอุปกรณ์ของ St. Jude มีความเสี่ยงที่จะถูกโจมตีทางไซเบอร์ กลุ่มอื่นสรุปว่าพวกเขาไม่ได้ ปัญหาทั้งหมดถูกทิ้งลงในตักขององค์การอาหารและยาซึ่งเปิดตัวการตรวจสอบอย่างเข้มแข็งและไม่ค่อยได้ยินเรื่องนี้เป็นเวลาหลายเดือน
ในช่วงเวลานั้นหุ้นของ St. Jude ฟื้นตัวขึ้นอย่างมากจากมูลค่าที่สูญหายไปและในช่วงปลายปี 2016 การซื้อกิจการโดย Abbott ก็สรุปได้สำเร็จ
จากนั้นในเดือนมกราคม 2017 มีเหตุการณ์สองอย่างเกิดขึ้นพร้อม ๆ กัน ประการแรกองค์การอาหารและยาแถลงข่าวระบุว่ามีปัญหาเกี่ยวกับระบบรักษาความปลอดภัยในโลกไซเบอร์กับอุปกรณ์ทางการแพทย์ของ St. Jude และช่องโหว่นี้อาจทำให้เกิดการบุกรุกและการโจมตีทางอินเทอร์เน็ตที่อาจเป็นอันตรายต่อผู้ป่วย อย่างไรก็ตาม FDA ชี้ให้เห็นว่าไม่มีหลักฐานใดที่พบว่าการแฮ็กได้เกิดขึ้นจริงในบุคคลใด
ประการที่สอง St. Jude ได้ออกแพทช์ซอฟต์แวร์ cybersecurity ที่ออกแบบมาเพื่อลดความเป็นไปได้ในการแฮ็กเข้าไปในอุปกรณ์ฝังตัวของพวกเขา แพทช์ซอฟต์แวร์ได้รับการออกแบบมาเพื่อติดตั้งตัวเองโดยอัตโนมัติและแบบไร้สายผ่าน Merlin.net ของ St. Jude องค์การอาหารและยาแนะนำว่าผู้ป่วยที่มีอุปกรณ์เหล่านี้ยังคงใช้ระบบการตรวจสอบแบบไร้สายของ St Jude เนื่องจาก "ประโยชน์ต่อสุขภาพแก่ผู้ป่วยจากการใช้อุปกรณ์อย่างต่อเนื่องเกินกว่าความเสี่ยงในโลกไซเบอร์"
ที่นี้ปล่อยให้เรา?
ข้อเท็จจริงที่กล่าวมาข้างต้นนี้อธิบายถึงข้อเท็จจริงที่เรารู้จักในตัวประชาชน ในฐานะที่เป็นคนที่มีส่วนเกี่ยวข้องอย่างใกล้ชิดกับการพัฒนาอุปกรณ์การตรวจสอบระยะไกลแบบฝังตัวครั้งแรก (ไม่ใช่ St. Jude's) ฉันจะตีความข้อมูลทั้งหมดในลักษณะต่อไปนี้: ดูเหมือนว่าจะมีช่องโหว่ทางโลกไซเบอร์ในระบบการตรวจสอบระยะไกลของ St. Jude , และช่องโหว่เหล่านี้ดูเหมือนจะได้รับออกมาจากสามัญสำหรับอุตสาหกรรมที่มีขนาดใหญ่ (ดังนั้นการปฏิเสธเริ่มต้นของ St. Jude ดูเหมือนจะเป็นการพูดเกินจริง)
นอกจากนี้ยังเป็นที่ประจักษ์ชัดว่าเซนต์จูดได้ขยับตัวได้อย่างรวดเร็วเพื่อแก้ไขปัญหาช่องโหว่นี้โดยทำงานร่วมกับองค์การอาหารและยาและขั้นตอนเหล่านี้ก็ถือว่าเป็นที่น่าพอใจโดย FDA ในความเป็นจริงการตัดสินโดยความร่วมมือขององค์การอาหารและยาและความจริงที่ว่าช่องโหว่ได้รับการจัดการอย่างเพียงพอโดยใช้แพทช์ซอฟต์แวร์ปัญหาของ St. Jude ดูเหมือนจะไม่รุนแรงเท่าที่ถูกกล่าวหาโดย Mr. Block ในปีพ. ศ. ดังนั้นข้อความเริ่มต้นของ Mr. Block ดูเหมือนจะถูกพูดเกินจริง) นอกจากนี้การแก้ไขได้ทำก่อนที่จะถูกทำร้าย
ไม่ว่าจะเป็นความขัดแย้งที่ชัดเจนของ Mr. Block (โดยการผลักดันให้ราคาหุ้นของ St. Jude ปรับตัวสูงขึ้นจนทำให้เขาได้รับเงินใหญ่) อาจทำให้เขาต้องเสี่ยงต่อความเสี่ยงในโลกไซเบอร์ที่อาจเกิดขึ้นได้ แต่นี่เป็นคำถามที่ศาลกำหนด .
สำหรับตอนนี้ดูเหมือนว่าจะมีการใช้แพทช์ซอฟต์แวร์ที่ถูกต้องผู้คนที่ใช้อุปกรณ์ St. Jude ไม่มีเหตุผลใดที่จะกังวลเกี่ยวกับการโจมตีระบบแฮ็ก
ทำไมอุปกรณ์หัวใจเต้นผิดจังหวะถึงมีการโจมตีด้วยไซเบอร์?
ตอนนี้เราทุกคนตระหนักดีว่าอุปกรณ์ดิจิทัลที่เราใช้ในชีวิตของเราที่เกี่ยวข้องกับการสื่อสารแบบไร้สายเป็นอย่างน้อยในทางทฤษฎีมีความเสี่ยงที่จะเกิดการโจมตีทางอินเทอร์เน็ต ซึ่งรวมถึงอุปกรณ์ทางการแพทย์ที่สอดใส่ซึ่งทั้งหมดต้องสื่อสารแบบไร้สายกับโลกภายนอก (นั่นคือโลกภายนอกร่างกาย)
ความเป็นไปได้ที่ผู้คนหรือกลุ่มที่มีส่วนเกี่ยวข้องกับความชั่วร้ายอาจถูกตัดเข้าสู่อุปกรณ์ทางการแพทย์ได้ในไม่กี่ปีที่ผ่านมาดูเหมือนจะเป็นภัยคุกคามที่แท้จริงมากขึ้น ด้วยเหตุนี้การประชาสัมพันธ์โดยรอบช่องโหว่ของ St. Jude อาจมีผลดี เป็นที่ชัดเจนว่าทั้งอุตสาหกรรมอุปกรณ์ทางการแพทย์และองค์การอาหารและยาได้ให้ความสำคัญอย่างมากเกี่ยวกับภัยคุกคามนี้และขณะนี้กำลังทำหน้าที่อย่างมีนัยสำคัญที่จะตอบสนองความต้องการดังกล่าว
องค์การอาหารและยาทำอะไรเกี่ยวกับปัญหานี้?
ความสนใจขององค์การอาหารและยาได้ให้ความสำคัญกับปัญหานี้มากขึ้นเนื่องจากส่วนใหญ่เกิดจากการโต้เถียงกับอุปกรณ์ของ St. Jude ในเดือนธันวาคมปีพ. ศ. 2562 FDA ได้เปิดตัวเอกสารคำแนะนำสำหรับผู้ผลิตอุปกรณ์ทางการแพทย์จำนวน 30 หน้าซึ่งได้จัดทำกฎระเบียบใหม่เพื่อแก้ไขปัญหาช่องโหว่ทางไซเบอร์ในอุปกรณ์ทางการแพทย์ที่มีอยู่ในตลาดแล้ว (กฎที่เหมือนกันสำหรับผลิตภัณฑ์ทางการแพทย์ที่ยังอยู่ในระหว่างการพัฒนาถูกเผยแพร่ในปี 2014) กฎใหม่อธิบายว่าผู้ผลิตควรไปเกี่ยวกับการระบุและแก้ไขช่องโหว่ทางโลกไซเบอร์ในผลิตภัณฑ์ที่วางตลาดและวิธีการสร้างโปรแกรมเพื่อระบุและรายงานปัญหาด้านความปลอดภัยใหม่ ๆ
บรรทัดด้านล่าง
เนื่องจากความเสี่ยงด้านไซเบอร์ที่เกี่ยวข้องกับระบบการสื่อสารแบบไร้สายมีความเสี่ยงที่จะเกิดขึ้นกับอุปกรณ์ทางการแพทย์ที่ฝังรากฟันเทียม แต่สิ่งสำคัญคือต้องรู้ว่าการป้องกันสามารถสร้างไว้ในผลิตภัณฑ์เหล่านี้เพื่อทำให้การแฮ็กเป็นไปได้เพียงอย่างเดียวและแม้กระทั่ง Mr. Block เห็นพ้องกันว่าสำหรับ บริษัท ส่วนใหญ่นี้เกิดขึ้น หากเซนต์จูดเคยค่อนข้างหย่อนคล้อยเกี่ยวกับเรื่องนี้ บริษัท ดูเหมือนจะได้รับการรักษาให้หายขาดโดยการประชาสัมพันธ์เชิงลบที่พวกเขาได้รับในปีพ. ศ. 2560 ซึ่งเป็นช่วงเวลาที่คุกคามธุรกิจของพวกเขาอย่างจริงจัง นอกเหนือจากสิ่งอื่นใด St. Jude ได้มอบหมายให้คณะกรรมการที่ปรึกษาด้านการรักษาความปลอดภัยไซเบอร์รักษาความปลอดภัยที่เป็นอิสระเพื่อคอยดูแลความพยายามของเขาในอนาคต บริษัท อุปกรณ์ทางการแพทย์อื่น ๆ มีแนวโน้มที่จะปฏิบัติตาม ดังนั้นทั้งองค์การอาหารและยาและผู้ผลิตอุปกรณ์ทางการแพทย์กำลังเผชิญกับปัญหานี้ด้วยความเพียรที่เพิ่มขึ้น
ผู้ที่ปลูกถ่ายเครื่องกระตุ้นหัวใจอุปกรณ์ ICD หรืออุปกรณ์ CRT ควรให้ความสนใจกับปัญหาช่องโหว่ทางไซเบอร์เนื่องจากเรามีแนวโน้มที่จะได้ยินเรื่องนี้มากขึ้นเมื่อเวลาผ่านไป แต่สำหรับตอนนี้อย่างน้อยความเสี่ยงดูเหมือนจะค่อนข้างเล็กและแน่นอนว่ามีค่าเกินดุลโดยประโยชน์จากการตรวจสอบอุปกรณ์ระยะไกล
> แหล่งที่มา:
> FDA ช่องโหว่ของระบบรักษาความปลอดภัยแบบ Cybersecurity ที่ระบุในอุปกรณ์หัวใจเต้นผิดจังหวะของ St. Jude Medical และเครื่องส่งสัญญาณ Merlin @ home: การสื่อสารความปลอดภัยของ FDA 9 มกราคม 2017
> น้ำโคลน คำชี้แจง MW เกี่ยวกับการรับรู้ถึงช่องโหว่ของ Cyber Link ของ STJ / ABT ข่าวประชาสัมพันธ์วันที่ 9 มกราคม 2017
> St Jude Medical St Jude Medical ประกาศข่าวประชาสัมพันธ์ Cybersecurity Updates 9 มกราคม 2017