Әулие Джуд және медициналық құрылғылардың кибер-осалдықтары
2016 жылдың соңында және 2017 жылдың басында жаңалықтар туралы хабарлар нашар ниеттері бар адамдардың жеке адамның имплантацияланатын медициналық құрылғысына кедергі келтіріп, елеулі проблемалар туғызатынын көрсетеді. Атап айтқанда, аталған құрылғыларды St Jude Medical, Inc. компаниясы сатады және жүрек-қан тамырлары ( синус брадикардия және жүрек блоктары ), имплантацияланатын дефибрилляторлар (ICD) ( қарыншалық тахикардияны және қарыншалық фибрилляцияны емдейтін) және CRT құрылғылары жүрек жеткіліксіздігі ).
Бұл жаңалық туралы баяндамалар мәселені жеткілікті тұрғыда орналастырмай-ақ, осы медициналық құрылғылары бар адамдар арасында қорқыныш тудыруы мүмкін.
Кибер-шабуылдарға қауіп төндіретін кардиологиялық құрылғылар имплантациялануда ма? Ия, өйткені сымсыз байланыстары бар кез-келген сандық құрылғы, кем дегенде, теориялық тұрғыдан әлсіз болып табылады, оның ішінде кардиостимуляторлар, ICDs және CRT құрылғылары. Дегенмен, осы имплантацияланған құрылғылардың кез-келгеніне қарсы кибер-шабуыл жасалуы ешқашан құжатталмаған. Және (медициналық құрылғылардың да, саясаткерлердің де бұзылуы туралы соңғы жариялауға үлкен рахмет), FDA және құрылғы өндірушілері қазір кез келген осындай осалдықтарды түзетуге тырысуда.
Сент-Джудедің кардиохирургиялық құрылғылары мен хакерлік
Бұл әңгіме алдымен 2016 жылы тамызда атақты қысқа сатушы Carson блогы Сент-Джюд жүз мыңдаған имплантацияланатын кардиостимуляторларды, дефибрилляторларды және бұзылуға қарсы өте қауіпті CRT құрылғыларын сатқанын жариялады.
Блок өзінің аффилиирленген киберқауіпсіздік компаниясына (MedSec Holdings, Inc.) қарқынды тергеу жүргізгенін және Сент-Джюд құрылғыларының хакерлікке қарсы өте осал екендігін (Medtronic компаниясы сатқан медициналық құрылғылардың біреуіне қарағанда, Boston Scientific және басқа компаниялар).
Атап айтқанда, Блок, Сент-Джюд жүйелері «өнеркəсіптің қалған бөліктері жиі пайдаланатын əртүрлі əрекеттерге қарсы құралдарды, шифрлауды жəне қарсы түзеткіш құралдарды» сияқты ең қауіпсіздіктің негізгі қорғаныштарына ие болмады.
Болжамдалған осалдық осы құрылғылардың барлығын қашықтан, сымсыз мониторингпен байланыстырды. Бұл сымсыз мониторинг жүйесі зиян келтірмес бұрын, туындаған құрылғының ақауларын автоматты түрде анықтауға арналған және осы мәселелерді дереу дәрігерге жеткізеді. Осы қашықтан мониторинг құралы, қазіргі уақытта барлық құрылғы өндірушілерімен қолданылған, осы өнімдері бар науқастардың қауіпсіздігін едәуір жақсартуға құжатталған. Әулие Яһуда қашықтан мониторинг жүйесі «Merlin.net» деп аталады.
Блокқа қатысты айыптаушылар өте әдемі болып шықты және Стюарттың акцияларының бағасын бірден төмендетіп жіберді. Оның айтуынша, Сент-Джюд, Блок-компания (Muddy Waters, LLC) туралы мәлімдемесіне дейін, Әулие Ядда үлкен қысқа позиция алды. Бұл дегеніміз, Блок компаниясының компаниясы, егер Яһудеяның акциялары айтарлықтай құлдыраған болса, миллиондаған доллар жасауға мәжбүр болды және Abbott Labs компаниясымен келісілген сатып алу үшін жеткілікті төмен болды.
Блоктың жақсы жарияланған шабуылынан кейін, Стив Джобс, Блоктың айыптау сөздері «мүлде дұрыс емес» екендігі туралы қатты пресс-релиздерден үзілді-кесілді бас тартты. Әулие Джуд сондай-ақ «Мадди Ватерс» ЖШС-іне «Ядостың» әйтпесе, акциялардың бағасы. Сонымен қатар, тәуелсіз зерттеушілер Әулие Яһуда осалдық мәселесін қарады және әртүрлі тұжырымдарға келді. Бір топ Стивен Ядудың құрылғылары кибершабуылға ерекше зиянын тигізгенін растады; басқа топ өздері жоқ деп қорытындылады. Бүкіл мәселе FDA-ның тізбесіне түсірілді, ол қатты тергеуді бастады және бірнеше ай бойы бұл мәселе туралы аз естілді.
Осы уақыт аралығында Яһудеяның акциялары жоғалған құнның көп бөлігін қалпына келтірді және 2016 жылдың соңында Abbott-ты сатып алу сәтті аяқталды.
Содан кейін, 2017 жылдың қаңтарында екі нәрсе бір уақытта болған. Біріншіден, FDA Сент-Джюд медициналық құрылғыларымен шынымен киберқауіпсіздік проблемалары бар екендігін көрсететін мәлімдеме жасады және бұл осалдық шынымен де пациенттерге зиян келтіруі мүмкін киберқылмыскерлерге және эксплаттарға мүмкіндік береді. Дегенмен, FDA айтуынша, ешқандай дәлелдер табылған жоқ, бұл шын мәнінде бұзушылықтар кез келген адам болды.
Екіншіден, Әулие Джуд киберқауіпсіздікке қарсы бағдарламалық жасақтаманы шығарып, оларды имплантациялауға болатын құрылғыларға айтарлықтай азайтуға мүмкіндік берді. Бағдарламалық жасақтама патч өзін Сент-Джудестің Merlin.net сайтында автоматты түрде және сымсыз түрде орнатуға арналған. FDA осы құрылғыларға ие науқастар St Джуддың сымсыз мониторинг жүйесін пайдалануды жалғастыруды ұсынды, себебі «пациенттерге құрылғыларды ұдайы пайдаланудың киберқауіпсіздіктің қауіп-қатерлерінен асып түседі».
Бұл бізді қайдан қалдырады?
Жоғарыда айтылғандар фактілерді әшкерелейді, өйткені біз олардың бәрін білеміз. Бірінші имплантациялау құрылғысын қашықтан бақылау жүйесін (Сент-Джудестің емес) дамытуға қатыстырылған адам ретінде, мен мұның бәрін келесі түсініктемелермен түсіндіремін: Әлбетте, Киелі Ядда қашықтан мониторинг жүйесінде киберқауіпсіздіктің осалдықтары болғаны анық , және бұл осалдықтар саланың әдеттегіден тысқары болып көрінеді. (Осылайша, Яһудилердің бастапқыда бас тартуы әбден абыржып кеткен сияқты.)
Бұдан басқа, Әулие Ядда бұл FDA-мен бірге жұмыс істейтін осы осалдығын түзету үшін жылдам қозғалады және бұл қадамдар FDA тарапынан қанағаттанарлық деп есептеледі. Шын мәнінде, FDA-ның ынтымақтастығымен және осалдығын бағдарламалық жасақтама түзетуімен жеткілікті түрде қарастыру фактісіне сәйкес, Сент-Джюд мәселесі 2016 жылы Мистер Блокпен болжанғандай қатал емес сияқты. Мәселен, Мистер Блоктың алғашқы мәлімдемесі көбейіп кеткен сияқты). Сонымен қатар, кез-келген адам зиян келгенге дейін түзетулер жасалды.
Мистер Блоктың мүдделер қақтығысы (оның үстіне Әулие Яһуда акцияларының құнын төмендету үшін үлкен ақшаға айналдыру), ол киберқауіптердің әлеуетті ықтимал қауіптерін қадағалауға мәжбүр етсе керек, бірақ бұл соттар үшін мәселе .
Әзірге түзету бағдарламалық жасақтамасы қолданылғанда, Әулие Джуд құрылғылары бар адамдар хакерлік шабуылдардан тым қатты алаңдауға себеп жоқ.
Неліктен имплантацияланатын кардиологиялық құрылғылар киберқуатқа қарсы тұр?
Қазір көпшілігіміз өмірімізде сымсыз байланыстыруды қолданатын кез-келген сандық құрылғыны кибершабуылға теориялық тұрғыдан осал екендігін түсінеміз. Оған имплантацияланатын кез-келген медициналық құрылғы кіреді, олардың барлығы сыртқы әлеммен сымсыз байланыс орнатуы керек (яғни денеден тыс әлем).
Адамдар немесе топтар зұлымдыққа бой алдырғаны медициналық құрылғыларға түсуі мүмкін екендігі соңғы бірнеше жылда нақты қауіпке ұқсайды. Осы тұрғыдан алғанда, Әулие Яһуда осалдықтарына қатысты жариялау оң әсер етуі мүмкін. Медициналық құрал-жабдық өнеркәсібі мен FDA бүгінгі күні бұл қауіпке өте байсалды және қазір оны қанағаттандыру үшін айтарлықтай күшті әрекет етеді.
FDA мәселені қалай шешеді?
FDA-ның назарын бұл мәселеге жаңадан шоғырландырды, бұл көбінесе Әулие Яһуда құрылғылары туралы дау-дамайға байланысты болды. 2016 жылы желтоқсанда FDA медициналық құрылғыларды өндірушілер үшін 30 беттік «нұсқаулық» құжатын шығарды, нарықта тұрған медицина құрылғыларындағы кибер-осалдықтарды жоюға арналған жаңа ережелер жиынтығын жасады. (2014 жылы шығарылған медициналық өнімдерге арналған ұқсас ережелер жарияланды.) Жаңа ережелер өндірушілердің нарықтағы өнімдердегі киберқауіпсіздіктің осалдықтарын анықтау және белгілеу және қауіпсіздіктің жаңа мәселелерін анықтау және есеп беру үшін бағдарламаларды құру жолдарын сипаттайды.
Төменгі сызық
Кез-келген сымсыз байланыс жүйесімен байланысы бар киберқауіпсіздіктерді ескере отырып, имплантацияланбайтын медициналық құрылғылармен кейбір киберқауіпсіздіктер сөзсіз. Дегенмен, бұл қорғаныстарды қашықтан қашуға мүмкіндік жасау үшін осы өнімдерге салуға болатындығын білу маңызды, тіпті Мистер Блок көптеген компаниялар үшін бұл орын алғанына келіседі. Егер осы мәселе бойынша бұрын-соңды Яхуды аздап болса, онда компания 2016 жылы алған теріс жариялылықтан айықтырып, бұл олардың бизнесіне айтарлықтай қауіп төнді. Сонымен қатар, Стивен Ядь өз күш-жігерін қадағалау үшін тәуелсіз Cyber Security Медициналық Кеңес кеңесіне тапсырылды. Басқа медициналық құрылғылардың компаниялары, ең алдымен, сәйкес келеді. Осылайша, FDA де, медициналық құрылғы өндірушілері де күш сұранысқа ие.
Кардиостимуляторларды, ICD-ті немесе CRT-ті имплантациялаған адамдар киберқауіпсіздіктің мәселесіне назар аударуы керек, себебі уақыт өте келе біз туралы көбірек естиміз. Бірақ қазір, кем дегенде, тәуекел өте аз сияқты, және, әрине, қашықтан құрылғыны бақылау артықшылықтарынан асып түседі.
> Көздер:
> FDA. Сент-Джуде Медицинасының имплантацияланатын жүрек аппараттарында және Merlin @ home таратқышында киберқауіпсіздіктің осалдықтары анықталды: FDA қауіпсіздігі бойынша байланыс. 2017 жылғы 9 қаңтар.
> Muddy Waters. STW / ABT бойынша киберқауіпсіздік туралы мәлімдеме Кибершылымдардың осалдықтарын мойындау. Баспасөз-релизі 2017 жылғы 9 қаңтар.
> Сад Джуд Медицина. St Jude Medical компаниясы Cybersecurity Updates пресс-релизін жариялайды. 2017 жылғы 9 қаңтар.