Sit Jude va Tibbiy asboblarning kiber zaifligi
2016 yilning oxirida va 2017 yilning boshida yangiliklar nopok niyatli kishilarning insonning joylashtiriladigan tibbiy asbob-uskunasiga zarar etkazishi va jiddiy muammolarga sabab bo'lishi mumkinligi haqidagi xabarlarni ko'tarib chiqdi. Ayniqsa, ushbu qurilmalar Aziz Jude Tibbiyot MChJ tomonidan sotiladi va yurak stimulyatori ( sinüs bradikardi va yurak bloklarini davolash), implantatsiyadan o'tish mumkin defibrilator (ICD) ( qorincha taşikardi va qorincha fibrilasyonunu davolash) va CRT qurilmalari yurak etishmovchiligini davolash).
Ushbu yangiliklar bu muammolarni etarli nuqtai nazarga kiritmasdan, ushbu tibbiy asbob-uskunalarga ega bo'lgan odamlar orasida qo'rquvni keltirib chiqarishi mumkin.
Kiber hujumlarga duchor bo'lgan kardiyak implantatsiya asboblari bormi? Ha, chunki simsiz aloqani o'z ichiga olgan har qanday raqamli qurilma kamida nazariy jihatdan himoyasiz, shu jumladan yurak stimulyatori, ICD va CRT qurilmalari. Ammo hozirgacha ushbu implantatsiya qilingan qurilmalarning har qandayiga qarshi haqiqiy kiber hujum hech qachon hujjatlashtirilmagan. Va (ko'pchilik tibbiy asbob-uskunalar va siyosatchilarning buzg'unchilik haqidagi so'nggi yangiliklari uchun rahmat), FDA va qurilma ishlab chiqaruvchilari endi bunday zaifliklarni patch uchun juda ko'p ish qilmoqdalar.
Sit Jude Kardiyak Qurilmalar va Hacking
Bu voqea birinchi bo'lib 2016-yil avgustda mashhur bo'lgan. Mashhur qisqa sheriklik Carson Blok, Aziz Yudning yuzlab minglab yurak-qon tomirlari, defibrillator va CRT qurilmalarini sotishganini ochiqchasiga e'lon qilgan edi.
Blok, u bilan aloqador bo'lgan kiberhavfsizlik kompaniyasining (MedSec Holdings, Inc.), zich tekshiruvlar o'tkazganligini va St Jude qurilmalarining buzg'unchilikka qarshi himoyasiz ekanligini aniqladi (Medtronic tomonidan sotiladigan bir xil tibbiy asboblardan farqli o'laroq, Boston Scientific va boshqa kompaniyalar).
Ayniqsa, ushbu blok, St-Jude tizimi "sanoatning qolgan qismi tomonidan keng tarqalgan bo'lib foydalaniladigan bunday tartibga qarshi vositalar, shifrlash va nosozlikni bartaraf etish vositalari kabi asosiy xavfsizlikni ta'minlamaydi".
Gumon qilingan zaiflik bu qurilmalarning barchasini masofaviy va simsiz monitoring qilish bilan bog'liq edi. Ushbu simsiz monitoringi tizimlari paydo bo'lishi mumkin bo'lgan muammolarni avtomatik ravishda aniqlash uchun mo'ljallangan va ular bu muammolarni darhol shifokorga etkazishadi. Hozirgi kunda barcha qurilma ishlab chiqaruvchilari tomonidan qo'llanilayotgan ushbu uzoqdan qo'riqlanish xususiyati bu mahsulotga ega bo'lgan bemorlarning xavfsizligini sezilarli darajada yaxshilash uchun hujjatlashtirilgan. Aziz-Yahudiyning uzoqdan monitoring tizimiga "Merlin.net" nomi berildi.
Bloking da'volari juda ajoyib edi va u Yoqubning qimmatbaho qog'ozlar narxiga zudlik bilan tushib qoldi - bu aniq blokning maqsadi edi. Eslatib o'tamiz, Aziz Yahud, Blokning kompaniyasi (Muddy Waters, LLC) haqidagi iddaoslarini amalga oshirishdan oldin, Aziz Yudada katta lavozimni egallagan. Bu degani, agar bloklar shirkati, agar Yahudiylarning qimmatli qog'ozlari sezilarli darajada kamaygan bo'lsa, millionlab dollar ishlab chiqarishga to'g'ri keldi va Abbott Labs tomonidan kelishilgan sotib olish uchun etarlicha past darajada qoldi.
Blokning taniqli hujumidan so'ng, St Jude darhol, Bloking da'volari "mutlaqo noto'g'ri" degan ta'sirga ega bo'lgan press-relizlarni tarqatib yubordi. St-Jude shuningdek, Muddy Waters MChJga, Yuhanno aktsiya bahosi. Shu bilan birga, mustaqil tergovchilar Sankt-Jude zaifligi masalasiga qaradi va turli xil xulosalarga keldilar. Bir guruh, Aziz Yahudoning asboblari kiber hujumga qarshi juda zaif bo'lganini tasdiqladi; boshqa bir guruh ular emas, degan xulosaga kelishdi. Bu masala butun FDA qarorgohiga tushib ketgan, u qattiq tergovni boshlagan va bu haqda bir necha oy eshitilgan.
Bu davrda Aziz-Yudo aktsiyalari yo'qolgan qiymatining ko'pini qayta tikladi va 2016 yil oxirida Abbottning sotib olinishi muvaffaqiyatli yakunlandi.
Keyinchalik, 2017 yil yanvar oyida ikki narsa bir vaqtning o'zida sodir bo'lgan. Birinchidan, FDA, albatta, Aziz Jude tibbiy qurilmalar bilan kiber xavfsizligi muammolari borligini bildirgan va shu zaiflik, albatta, bemorlarga zararli bo'lishi mumkin bo'lgan kiber hujumlari va ekspluatatsiya qilishga imkon beradigan bir bayonot chiqardi. Biroq, FDA, hech qanday dalil topilmagani, hech qanday dalil topilmagani, aslida har qanday odamda jinoyat sodir etilganligini ko'rsatdi.
Ikkinchidan, Aziz Jude o'zlarining joylashtiriladigan asbob-uskunalarini buzish imkoniyatini sezilarli darajada kamaytirishga mo'ljallangan kiber xavfsizlik dasturiy ta'minot patchini chiqardi. Dasturiy ta'minot patchi St Jude Merlin.net orqali avtomatik ravishda va simsiz ravishda o'rnatilishi uchun mo'ljallangan. FDA ushbu qurilmalarga ega bo'lgan bemorlarni St Jude simsiz monitoring tizimidan foydalanishni davom ettirishni tavsiya qildi, chunki "bemorlarning tibbiy yordami kiber havfsizlik xavfidan ustun turadi".
Bu bizga qayerdan tushadi?
Yuqorida aytib o'tilgan narsalar, biz ommaga ma'lum bo'lganidek, haqiqatni ham bayon qiladi. Birinchi implantatsiya qilinadigan qurilmani masofaviy nazorat tizimini (Aziz Yahudiy emas) rivojlantirish bilan chambarchas bog'liq bo'lgan kishi sifatida men bularning barchasini quyidagicha izohlayman: Aziz Jude masofaviy monitoring tizimida kiber xavfsizlikning zaifliklari aniq edi , va bu zaifliklar umuman sanoat uchun odatiy bo'lmagan. (Ya'ni, Yuhannoning dastlabki inkorlari abartılmış ko'rinadi.)
Bundan tashqari, Aziz Jude FDA bilan hamkorlikda ishlaydigan ushbu zaiflikni tezda bartaraf etish uchun tezlik bilan harakat qilganligi va bu qadamlar FDA tomonidan qoniqarli deb topilganligi ravshan. Haqiqatdan ham, FDA bilan hamkorlikni va bu zaiflik dasturiy ta'minot tuzatmasi yordamida etarli darajada muhokama qilinganligini hisobga olsak, Aziz-Yuh muammosi 2016-yilda janob Blok tomonidan da'vo qilingan darajada shafqatsiz bo'lib qolmaydi. Shunday qilib, janob Blokning dastlabki so'zlari abartılmış ko'rinadi). Bundan tashqari, har bir kishi zarar ko'rgunga qadar tuzatishlar kiritilgan.
Janob Blokning ochiq manfaatlar to'qnashuvi bo'ladimi (u Yubileyning qimmatbaho qog'ozlar narxini pastga aylantirish uchun unga katta pul to'lashga turtki bo'lgandir), ehtimol u mumkin bo'lgan kiber tavakkalchiliklarni nazorat qilishiga olib kelishi mumkin edi, ammo bu qonun sudlari uchun .
Hozirgi vaqtda, tuzatuv dasturlari ilovasi qo'llanilganda, Aziz-Yahud qurilmalari bilan odamlar hack hujumlari haqida haddan tashqari xavotirlanishga hech qanday asos yo'q.
Nega Kardiostimulyatorga implantatsiyaga uchragan qurilmalar kiber hujumga qarshi himoyasiz?
Bugungi kunda ko'pchiligimiz simsiz aloqani o'z ichiga olgan hayotimizda ishlatadigan har qanday raqamli qurilma, hech bo'lmaganda, kiberatakka nisbatan nazariy jihatdan zaifdir. Bunga implantatsiya qilinadigan tibbiy qurilma kiradi, ularning hammasi tashqi dunyo bilan simsiz aloqa o'rnatishlari kerak (ya'ni tanadan tashqaridagi dunyo).
Odamlar yoki guruhlar yovuzlik bilan kurashgan, aslida tibbiy asboblarga zarar etkazishi ehtimoli so'nggi bir necha yil ichida haqiqiy tahdidga o'xshab qolishi mumkin. Shu nuqtai nazardan, Aziz Jude zaifliklari atrofidagi oshkoralik ijobiy ta'sir ko'rsatishi mumkin. Oddiyki, tibbiy qurilma sanoati va FDA bugungi kunda ushbu tahdid haqida jiddiyroq ma'lumotlarga ega va ular hozirgi sharoitda jiddiy kuchga ega.
FDA Muammoni hal qilishda nima?
FDA ning e'tiboriga ushbu masalaga yangi e'tibor qaratilgan, ehtimol aksariyat qismi St. Jude qurilmalaridagi bahslarga sabab bo'lishi mumkin. 2016-yil dekabrda FDA bozorda mavjud tibbiy asbob-uskunalardagi kiber-zaifliklarni bartaraf etish uchun yangi qoidalar to'plamini ishlab chiqadigan tibbiy asboblar ishlab chiqaruvchilari uchun 30 betlik "rahbarlik" hujjatini chiqardi. (2014-yilda ishlab chiqilgan tibbiy mahsulotlarga o'xshash qoidalar 2014-yilda nashr etilgan). Yangi qoidalar ishlab chiqaruvchilar bozorda sotilayotgan mahsulotlarda kiberxavfsizlik zaifligini aniqlash va aniqlash hamda yangi xavfsizlik muammolarini aniqlash va hisobot berish bo'yicha dasturlarni qanday ishlab chiqish kerakligini tasvirlaydi.
Pastki chiziq
Har qanday simsiz aloqa tizimi bilan bog'liq bo'lgan kiber xavflarni hisobga olgan holda, joylashtiriladigan tibbiy qurilmalar bilan ba'zi darajadagi kiber zaiflik muqarrar. Lekin, bu mahsulotlarga faqat uzoq masofani bosib yuborish uchun ularni himoya qilish mumkinligini bilish muhimdir va hatto janob Blok ko'plab kompaniyalar uchun bu sodir bo'lganiga rozi. Agar Aziz Jude ilgari bu masalani bartaraf etsa, 2016-yilda olgan salbiy oshkoraliklari tufayli kompaniyadan shifo topgan ko'rinadi. Boshqa narsalar bilan bir qatorda, Aziz Jude o'z faoliyatlarini nazorat qilish uchun mustaqil Cyber Security Tibbiy maslahat kengashini topshirdi. Boshqa tibbiy qurilma kompaniyalari, ehtimol, talablarga mos kelishi mumkin. Shunday qilib, ham FDA, ham tibbiy qurilma ishlab chiqaruvchilari bu masalani kuchaytirmoqda.
Kardiostimulyatorlarni, ICD'larni yoki CRT qurilmalarini joylashtirgan odamlar, albatta, kiber zaiflik muammosiga e'tibor berishlari kerak, chunki vaqt o'tishi bilan bu haqda ko'proq ma'lumot olishimiz mumkin. Ammo, hozircha, hech bo'lmaganda, xavf juda kichik bo'lib ko'rinadi va masofadan turib qurilma monitoringining afzalliklari juda katta.
> Manbalar:
> FDA. Sit Jude Tibbiyotining Implantatsiyadan Kardiyak Qurilmalar va Merlin @ home Transmitterida aniqlangan kiberxavfsizlikning zaifliklari: FDA Xavfsizlik bilan aloqa. 2017 yil 9-yanvar.
> Muddy Waters. STJ / ABT bo'yicha MW bayonoti Kiber zaifliklarni tasdiqlash. Press-reliz 2017 yil 9-yanvar.
> Aziz Jude Tibbiyot. Sit Jude Medical, Cybersecurity Updates-ni matbuot xabarlarini e'lon qiladi. 2017 yil 9-yanvar.