آیا می توانیم هشدار دهنده های ایمنی و مغز و اعصاب شود؟

آسیب پذیری دستگاه های پزشکی سان جود و سایبر

در اواخر سال 2016 و اوایل سال 2017، گزارش های خبری موجب شد که افرادی که دارای نیت بد هستند به طور بالقوه ممکن است به یک دستگاه پزشکی قابل implantable در فرد هک کنند و باعث مشکلات جدی شوند. به طور خاص، دستگاه های مورد نظر توسط St. Jude Medical Inc. عرضه می شوند و شامل دستگاه های ضربان ساز (که برادی کوردی سینوسی و بلوک قلب را تحت درمان قرار می دهند)، defibrillators های قابل implantable (ICD ها) (که تچیکاردی بطنی و فیبریلاسیون بطنی را درمان می کنند) و دستگاه های CRT (که نارسایی قلبی را درمان کنید).

این گزارش های خبری ممکن است باعث ایجاد ترس در میان افرادی که این وسایل پزشکی را دارند بدون این که موضوع را به دیدگاه کافی برسانند.

آیا دستگاه های قلب را در معرض حملات سایبری قرار می دهند؟ بله، زیرا هر دستگاه دیجیتالی که شامل ارتباطات بی سیم است حداقل از لحاظ تئوری آسیب پذیر است، از جمله دستگاه های ضربان ساز، ICD ها و دستگاه های CRT. اما تا کنون، یک حمله واقعی سایبری علیه هر یک از این دستگاههای کاشته شده هرگز ثبت نشده است. و (به لطف بخش عمده ای از تبلیغات اخیر در مورد هک، هر دو دستگاه های پزشکی و سیاستمداران)، FDA و تولید کنندگان دستگاه در حال حاضر سخت تلاش می کنند تا هرگونه آسیب پذیری را از بین ببرند.

دستگاه قلب سنت جود و هک کردن

این داستان اولین بار در ماه اوت سال 2016 به وقوع پیوست، هنگامی که کارسون بلوک، معروف، کوتاه فروش شد، اعلام کرد که سنت جود، صدها هزار دستگاه ضربان ساز قابل برنامه ریزی، defibrillators و دستگاه های CRT را که به هک شدن بسیار آسیب پذیر بودند فروخت.

بلوک گفت که یک شرکت امنیتی سایبری که وابسته به آن است (MedSec Holdings، Inc.) تحقیقات فشرده ای انجام داده است و دریافت که دستگاه های سنت جود به صورت هکینگ به طور منحصر به فرد آسیب پذیر هستند (در مقایسه با همان نوع تجهیزات پزشکی که Medtronic فروخته می شود، بوستون علمی و سایر شرکت ها).

به طور خاص، بلوک گفت، سیستم های سنت جود "حتی ساده ترین سیستم های امنیتی را نداشتند" مانند دستگاه های ضد جعل، رمزگذاری و ابزارهای ضد اشکال زدایی که معمولا توسط بقیه صنعت استفاده می شود.

آسیب پذیری ادعایی مربوط به نظارت از راه دور، بی سیم بود که همه این دستگاه ها در آنها ساخته شده است. این سیستم های مانیتورینگ بی سیم به طور خودکار تشخیص مشکلات دستگاه در حال ظهور قبل از اینکه آنها قادر به ایجاد صدمه باشند، و بلافاصله به پزشکان این مشکلات را تحویل دهند. این قابلیت نظارت از راه دور، که در حال حاضر توسط همه تولید کنندگان دستگاه استفاده می شود، به طور قابل توجهی بهبود یافته است تا ایمنی برای بیماران این محصولات را بهبود بخشد. سیستم نظارت از راه دور سنت جود "Merlin.net" نام دارد.

اتهامات بلوک بسیار چشمگیر بود و موجب کاهش فوری قیمت سهام سنت جود شد که دقیقا هدف مشخص بلوک بود. توجه داشته باشید، قبل از اتهامات خود در مورد سنت جود، شرکت بلوک (Muddy Waters، LLC) موقعیت کوتاهی در سان جود داشت. این بدان معنی است که شرکت بلوک در صورتی که سهام سنت جود به طور قابل ملاحظه ای کاهش پیدا کند، میلیون ها دلار درآمد داشت و به اندازه کافی کم بود که شرکت Abbott Labs را به توافق برساند.

پس از حمله به خوبی تبلیغ شده بلو، St Jude بلافاصله پس از انتشار مطبوعات قوی نوشته شد به این نتیجه که اتهامات بلوک "کاملا ناموفق بود." سنت جود نیز داد وودیز واترز، LLC برای ادعا انتشار اطلاعات نادرست به منظور دستکاری سن جود قیمت سهام. در همین حال، محققان مستقل به سوال آسیب پذیری سنت جود نگاه کردند و به نتایج مختلف رسیدند. یک گروه تأیید کرد که دستگاه های سنت جود به خصوص برای حمله سایبری آسیب پذیر بودند؛ گروه دیگری نتیجه گرفتند که آنها نبودند. کل موضوع در لبه FDA افتاد، که تحقیقات شدیدی را آغاز کرد و چندین ماه از این موضوع شنیده شد.

در طی آن مدت سهام سنت جود مقدار زیادی از ارزش گمشده خود را از دست داد و در اواخر سال 2016، خرید توسط Abbott با موفقیت به پایان رسید.

سپس، در ماه ژانویه 2017، دو کار همزمان انجام شد. اولا، FDA یک بیانیه منتشر کرد که نشان می دهد که مشکلات امنیتی سایبری با دستگاه های پزشکی سنت جود وجود دارد و این آسیب پذیری واقعا می تواند نفوذ و سوء استفاده از شبکه های اینترنتی را برای بیماران اثبات کند. با این حال، FDA اشاره کرد که هیچ شواهدی مبنی بر اینکه هک کردن در واقع در هر فرد رخ داده است، نیست.

دوم، سنت جود یک پچ نرم افزاری برای امنیت سایبر منتشر کرد که به احتمال زیاد هک کردن در دستگاه های ایمپلنت را بسیار کاهش می داد. پچ نرم افزاری برای نصب خود به صورت خودکار و بی سیم، در سراسر Merlin.net St. Jude طراحی شده است. FDA توصیه می کند که بیماران این دستگاه ها همچنان از سیستم مانیتورینگ بی سیم St Jude استفاده می کنند، زیرا "مزایای سلامتی برای بیماران از ادامه استفاده از دستگاه، خطر ابتلا به امنیت سایبری را بیشتر از خطر می کند".

کجا این ما را ترک کرد؟

همانطور که ما در عموم آنها را می دانیم، موارد فوق به طور فاعلی توضیح می دهند. به عنوان کسی که به طور جدی با توسعه اولین دستگاه نظارت از راه دور دستگاه قابل حمل (نه سنت جود) ارتباط برقرار کرده است، من این همه را به روش زیر تفسیر می کنم: به نظر می رسد که احتمالا آسیب پذیری های امنیتی سایبری در سیستم نظارت از راه دور سنت جود وجود دارد و این آسیب پذیری ها به نظر می رسد که برای صنعت به طور عادی غیر معمول بوده است. (بنابراین، انکار اولیه سنت جود به نظر می رسد اغراق آمیز بوده است.)

علاوه بر این، واضح است که سنت جود به سرعت به آسیب پذیری این آسیب پذیری دست زد، با همکاری FDA کار کرد و این مراحل در نهایت توسط FDA پذیرفته شد. در حقیقت، با همکاری FDA و این واقعیت که با آسیب پذیری به وضوح با استفاده از یک پچ نرم افزار حل می شود، مشکل سنت جود به نظر نمی رسد تقریبا چنان شدید است که توسط آقای Block در سال 2016 ادعا شده است. بنابراین، اظهارات اولیه آقای بلوک ظاهرا اغراق آمیز است). علاوه بر این، اصلاحات قبل از اینکه کسی آسیب ببیند انجام شد.

این که آیا منافع آشکار آقای بلو (که به موجب آن قیمت سهام سنت جود پایین می آید و به او خدمت می کند)، موجب شده است که احتمال خطر سایبر را برای تلفن های موبایل به خطر بیندازد، اما این موضوع برای دادگاه های قانونی تعیین می شود .

در حال حاضر احتمالا به نظر می رسد که با استفاده از پچ نرم افزاری اصلاح شده، افرادی که دارای دستگاه های سنت جود هستند هیچ دلیل خاصی برای بیش از حد نگران حملات هکری ندارند.

چرا دستگاه های قلب ایمپلنت آسیب پذیر هستند به حمله سایبری؟

در حال حاضر اکثر ما متوجه هستیم که هر وسیله دیجیتالی که در زندگی ما استفاده می شود و شامل ارتباط بی سیم است، حداقل از لحاظ تئوری به حمله سایبری آسیب می رساند. این شامل هر دستگاه پزشکی قابل implantable است، که همه آنها باید بی سیم با دنیای بیرونی (یعنی جهان خارج از بدن) ارتباط برقرار کنند.

این احتمال وجود دارد که افراد یا گروه هایی که به زور مبتلا هستند، ممکن است در دستگاه های پزشکی هک کنند، در چند سال اخیر به نظر می رسد که تهدید واقعی است. در این راستا، آگهی اطراف آسیب پذیری های سنت جود ممکن است اثر مثبت داشته باشد. روشن است که هم اکنون صنعت دستگاه های پزشکی و FDA اکنون در مورد این تهدید بسیار جدی هستند و در حال حاضر با شدت قابل توجهی برای دیدار با آن اقدام می کنند.

FDA در مورد مشکل چیست؟

توجه FDA اخیرا به این موضوع متمرکز شده است، به احتمال زیاد به علت اختلاف نظر در مورد دستگاه های سنت جود، احتمالا زیاد است. در دسامبر 2016، FDA یک سند 30 ساله "راهنمایی" را برای تولید کنندگان وسایل پزشکی منتشر کرد و قوانین جدیدی را برای رسیدگی به آسیب پذیری های رایانه ای در دستگاه های پزشکی که در بازار موجود است قرار داد. (قوانین مشابه برای محصولات پزشکی هنوز در حال توسعه در سال 2014 منتشر شده است.) قوانین جدید توضیح می دهند که چگونه تولید کنندگان باید شناسایی و رفع آسیب پذیری های امنیتی سایبری در محصولات مارکدار و نحوه ایجاد برنامه ها برای شناسایی و گزارش مشکلات امنیتی جدید را انجام دهند.

خط پایین

با توجه به خطرات سایبری که به طور ذاتی با هر سیستم ارتباطی بی سیم ارتباط دارند، برخی از آسیب پذیری های اینترنتی با دستگاه های پزشکی قابل برنامه ریزی اجتناب ناپذیر است. اما مهم است بدانیم که دفاع می تواند در این محصولات ساخته شود تا هک کردن فقط یک امکان از راه دور باشد و حتی آقای Block موافق است که برای اکثر شرکت ها این اتفاق افتاده است. اگر سنت جود قبلا تا حدودی در مورد این موضوع بوده است، به نظر می رسد که این شرکت با تبلیغ منفی که در سال 2016 دریافت کرده اند، که برای یک بار جدی برای کسب و کار خود تهدید کرده اند، درمان شده است. در میان دیگر موارد، سنت جود یک هیئت مشورتی مستقل امنیتی سایبر امنیتی را به منظور نظارت بر تلاش های خود در پیش گرفت. سایر شرکت های دستگاه های پزشکی احتمالا به دنبال آن هستند. بنابراین، هر دو FDA و تولید کنندگان دستگاه های پزشکی در حال پرداختن به این موضوع با افزایش قدرت.

افرادی که دستگاههای ضربان ساز، ICD ها یا دستگاه های CRT را نصب کرده اند، قطعا باید به مسئله آسیب پذیری سایبری توجه کنند، زیرا احتمال دارد بیشتر به آن توجه شود. اما در حال حاضر، حداقل، خطر به نظر می رسد بسیار کوچک است، و قطعا از مزایای نظارت از راه دور دستگاه بیش از حد است.

> منابع:

> FDA آسیب پذیری های امنیتی سایبری شناسایی شده در دستگاه های قلبی ایمپلنت پزشکی سان جود و فرستنده Merlin @ home: ارتباطات ایمنی FDA. 9 ژانویه 2017

> Muddy Waters. بیانیه MW در مورد STJ / ABT تشخیص آسیب پذیری های سایبری. مطبوعاتی 9 ژانویه 2017.

> خیابان جود پزشکی St Jude Medical اعلامیه مطبوعات به روز رسانی Cybersecurity را اعلام کرد. 9 ژانویه 2017