St Jude dan Cyber Kerentanan Alat Kesehatan
Pada akhir 2016 dan awal 2017, laporan berita mengangkat momok bahwa orang-orang dengan niat buruk berpotensi meretas perangkat medis implan seseorang dan menyebabkan masalah serius. Secara khusus, perangkat yang bersangkutan dipasarkan oleh St. Jude Medical, Inc., dan termasuk alat pacu jantung (yang mengobati sinus bradikardia dan blok jantung ), defibrillator implantable (ICDs) (yang mengobati takikardia ventrikel dan fibrilasi ventrikel ), dan perangkat CRT (yang mengobati gagal jantung ).
Laporan-laporan berita ini mungkin telah menimbulkan ketakutan di antara orang-orang yang memiliki perangkat medis ini tanpa menempatkan masalah ini ke dalam perspektif yang cukup.
Apakah alat jantung yang ditanamkan berisiko untuk serangan cyber? Ya, karena perangkat digital apa pun yang mencakup komunikasi nirkabel setidaknya secara teoritis rentan, termasuk alat pacu jantung, ICD, dan perangkat CRT. Namun sejauh ini, serangan cyber yang sebenarnya terhadap perangkat yang ditanamkan ini tidak pernah didokumentasikan. Dan (sebagian besar berkat publikasi terbaru tentang peretasan, baik peralatan medis dan politisi), FDA dan produsen perangkat sekarang bekerja keras untuk menambal kerentanan semacam itu.
St Jude Cardiac Devices dan Peretasan
Cerita pertama pecah pada bulan Agustus, 2016 ketika Carson Block pendek terkenal mengumumkan bahwa St. Jude telah menjual ratusan ribu alat pacu jantung implan, defibrillator, dan perangkat CRT yang sangat rentan terhadap peretasan.
Block mengatakan bahwa sebuah perusahaan cybersecurity yang berafiliasi dengannya (MedSec Holdings, Inc.), telah melakukan penyelidikan intensif dan menemukan bahwa perangkat St. Jude secara unik rentan terhadap peretasan (sebagai lawan dari jenis alat medis yang sama yang dijual oleh Medtronic, Boston Scientific, dan perusahaan lain).
Secara khusus, kata Block, sistem St. Jude "tidak memiliki bahkan pertahanan keamanan yang paling mendasar," seperti perangkat anti-gangguan, enkripsi, dan alat anti-debugging, dari jenis yang biasa digunakan oleh seluruh industri.
Kerentanan yang dituduhkan terkait dengan remote, pemantauan nirkabel semua perangkat ini telah dibangun ke dalamnya. Sistem pemantauan nirkabel ini dirancang untuk mendeteksi secara otomatis masalah perangkat yang muncul sebelum mereka dapat menyebabkan bahaya, dan mengkomunikasikan masalah ini segera ke dokter. Fitur pemantauan jarak jauh ini, sekarang digunakan oleh semua produsen perangkat, telah didokumentasikan untuk meningkatkan keselamatan secara signifikan bagi pasien yang memiliki produk ini. Sistem pemantauan jarak jauh St. Jude disebut "Merlin.net."
Tuduhan Block cukup spektakuler dan menyebabkan jatuhnya harga saham St. Jude — yang merupakan tujuan Block. Dari catatan, sebelum membuat tuduhannya tentang St. Jude, perusahaan Block (Muddy Waters, LLC), telah mengambil posisi pendek utama di St. Jude. Ini berarti bahwa perusahaan Blok berdiri untuk menghasilkan jutaan dolar jika saham St. Jude turun secara substansial, dan tetap cukup rendah untuk mendapatkan persetujuan yang disetujui oleh Abbott Labs.
Setelah serangan Block yang dipublikasikan dengan baik, St Jude segera membalas dengan siaran pers yang sangat bernada keras untuk menyatakan bahwa tuduhan Block adalah "sama sekali tidak benar." St. Jude juga menggugat Muddy Waters, LLC karena diduga menyebarkan informasi palsu untuk memanipulasi St. Jude's harga saham. Sementara itu, peneliti independen melihat pertanyaan kerentanan St. Jude dan sampai pada kesimpulan yang berbeda. Satu kelompok menegaskan bahwa perangkat St. Yudas sangat rentan terhadap serangan cyber; kelompok lain menyimpulkan bahwa mereka tidak. Seluruh masalah itu dijatuhkan di pangkuan FDA, yang meluncurkan penyelidikan yang gencar, dan sedikit yang didengar tentang masalah ini selama beberapa bulan.
Selama waktu itu, saham St. Jude memulihkan banyak nilai yang hilang, dan pada akhir 2016 akuisisi oleh Abbott disimpulkan berhasil.
Kemudian, pada Januari 2017, dua hal terjadi secara bersamaan. Pertama, FDA merilis sebuah pernyataan yang mengindikasikan bahwa memang ada masalah cybersecurity dengan perangkat medis St. Jude, dan bahwa kerentanan ini memang bisa memungkinkan intrusi dan eksploitasi cyber yang dapat membahayakan pasien. Namun, FDA menunjukkan bahwa tidak ada bukti yang ditemukan bahwa peretasan benar-benar terjadi pada setiap individu.
Kedua, St. Jude merilis patch perangkat lunak cybersecurity yang dirancang untuk mengurangi kemungkinan peretasan ke perangkat implan mereka. Patch perangkat lunak dirancang untuk menginstal sendiri secara otomatis dan nirkabel, di St. Jude's Merlin.net. FDA merekomendasikan bahwa pasien yang memiliki perangkat ini terus menggunakan sistem pemantauan nirkabel St Yudas, karena "manfaat kesehatan bagi pasien dari penggunaan perangkat secara terus menerus melebihi risiko cybersecurity."
Di mana ini meninggalkan kami?
Yang sebelumnya cukup banyak menggambarkan fakta-fakta seperti yang kita ketahui di publik. Sebagai seseorang yang sangat dekat dengan pengembangan sistem pemantauan jarak jauh perangkat implan pertama (bukan St. Jude's), saya menafsirkan semua ini dengan cara berikut: Tampaknya pasti bahwa memang ada kerentanan cybersecurity dalam sistem pemantauan jarak jauh St. Jude , dan kerentanan ini tampaknya tidak biasa bagi industri pada umumnya. (Jadi, penolakan awal St. Yudas tampaknya telah dibesar-besarkan.)
Selanjutnya, jelas bahwa St. Jude bergerak cepat untuk memulihkan kerentanan ini, bekerja sama dengan FDA, dan bahwa langkah-langkah ini pada akhirnya dianggap memuaskan oleh FDA. Bahkan, dilihat dari kerjasama FDA dan fakta bahwa kerentanan itu cukup ditangani dengan cara patch perangkat lunak, masalah St. Jude tampaknya tidak separah yang dituduhkan oleh Mr. Block pada tahun 2016. ( Jadi, pernyataan awal Mr. Block tampaknya telah dibesar-besarkan). Selanjutnya, koreksi dilakukan sebelum ada yang dirugikan.
Apakah konflik kepentingan Mr. Block yang nyata (yang mendorong harga saham St. Jude berdiri menjaringnya banyak dolar), mungkin telah menyebabkan dia melebih-lebihkan potensi risiko cyber mungkin, tapi ini adalah pertanyaan bagi pengadilan untuk menentukan .
Untuk saat ini nampaknya bahwa, dengan patch perangkat lunak korektif diterapkan, orang-orang dengan perangkat St. Jude tidak memiliki alasan khusus untuk terlalu khawatir tentang serangan peretasan.
Mengapa Perangkat Jantung Implan Terdeteksi Rentan Serangan Cyber?
Sekarang sebagian besar dari kita menyadari bahwa setiap perangkat digital yang kita gunakan dalam hidup kita yang melibatkan komunikasi nirkabel setidaknya secara teoritis rentan terhadap serangan cyber. Itu termasuk perangkat medis implan, yang semuanya harus berkomunikasi secara nirkabel dengan dunia luar (yaitu dunia di luar tubuh).
Kemungkinan bahwa orang-orang atau kelompok-kelompok yang membungkuk pada kejahatan mungkin benar-benar meretas ke alat-alat medis, dalam beberapa tahun terakhir, tampak lebih sebagai ancaman nyata. Dalam hal ini, publisitas yang mengelilingi kerentanan St. Jude mungkin memiliki efek positif. Sangat jelas bahwa baik industri peralatan medis dan FDA sekarang sangat serius tentang ancaman ini, dan sekarang bertindak dengan kekuatan yang signifikan untuk memenuhinya.
Apa yang Dilakukan FDA Tentang Masalahnya?
Perhatian FDA telah baru terfokus pada masalah ini, kemungkinan besar karena kontroversi atas perangkat St. Jude. Pada bulan Desember 2016, FDA merilis dokumen "pedoman" 30 halaman untuk produsen peralatan medis, yang menetapkan serangkaian aturan baru untuk mengatasi kerentanan cyber di perangkat medis yang sudah ada di pasar. (Aturan serupa untuk produk medis yang masih dalam pengembangan diterbitkan pada tahun 2014.) Aturan baru menjelaskan bagaimana produsen harus mengidentifikasi dan memperbaiki kerentanan keamanan siber dalam produk yang dipasarkan, dan bagaimana membuat program untuk mengidentifikasi dan melaporkan masalah keamanan baru.
Garis bawah
Mengingat risiko cyber yang secara inheren terkait dengan sistem komunikasi nirkabel apa pun, beberapa tingkat kerentanan cyber tidak dapat dihindari dengan perangkat medis implan. Tetapi penting untuk mengetahui bahwa pertahanan dapat dibangun ke dalam produk-produk ini untuk membuat peretasan hanya kemungkinan kecil, dan bahkan Tuan Blok setuju bahwa bagi sebagian besar perusahaan hal ini telah terjadi. Jika St. Jude sebelumnya agak lalai tentang masalah ini, perusahaan tampaknya telah disembuhkan dengan publisitas negatif yang mereka terima pada tahun 2016, yang untuk sementara waktu mengancam bisnis mereka. Di antara hal-hal lain, St. Jude telah menugaskan Dewan Penasihat Medis Keamanan Maya yang independen untuk mengawasi upayanya maju. Perusahaan alat medis lainnya cenderung mengikuti. Dengan demikian, baik produsen peralatan medis dan FDA menangani masalah ini dengan peningkatan kekuatan.
Orang yang telah menanam alat pacu jantung, ICD atau perangkat CRT tentu harus memperhatikan masalah kerentanan cyber, karena kita cenderung mendengar lebih banyak tentang hal itu seiring berjalannya waktu. Tetapi untuk saat ini, setidaknya, risikonya tampaknya cukup kecil, dan tentu saja sebanding dengan manfaat dari pemantauan perangkat jarak jauh.
> Sumber:
> FDA. Cybersecurity Vulnerabilities Diidentifikasi di St Jude Medical's Implantable Cardiac Devices dan Merlin @ home Transmitter: Komunikasi Keselamatan FDA. 9 Januari 2017.
> Muddy Waters. Pernyataan MW tentang Pengakuan STJ / ABT tentang Kerentanan Maya. Siaran pers 9 Januari 2017.
> St Jude Medical. St Jude Medical mengumumkan siaran pers Cybersecurity Updates. 9 Januari 2017.