医療機器のセントジュードとサイバー脆弱性
2016年後半と2017年初めに、悪意のある人が潜在的に個人の植え込み可能な医療機器をハックして深刻な問題を引き起こす可能性があるという噂が報道されました。 具体的には、セント・ジュード・メディカル(St. Jude Medical、Inc.)が販売しているもので、 洞静脈および心臓ブロックを治療するペースメーカー 、 心室頻脈および心室細動を治療する埋め込み型除細動器(ICD) 心不全を治療する)。
これらのニュースレポートは、十分な見通しに問題を置かずに、これらの医療機器を持っている人々の間で恐怖を引き起こした可能性があります。
移植された心臓装置はサイバー攻撃の危険にさらされていますか? はい。ペースメーカ、ICD、CRTデバイスなど、無線通信を含むデジタルデバイスは理論上脆弱です。 しかし、これまでのところ、これらの移植されたデバイスのいずれかに対する実際のサイバー攻撃は、決して文書化されていない。 そして、(医療機器と政治家の両方のハッキングについての最近の広報のおかげで、FDAと機器メーカは、このような脆弱性にパッチを当てるために、現在、努力しています。
セントジュードの心臓装置とハッキング
この話は、有名なショート・セラー・カーソン・ブロックが、サン・ジュードがハッキングに非常に脆弱な植込み型ペースメーカー、除細動器、CRT装置を何十万も販売していたことを公表した2016年8月に初めて破った。
Blockは、彼が提携していたサイバーセキュリティ会社(MedSec Holdings、Inc.)が集中的な調査を行い、St. Judeデバイスがハッキングに独自に脆弱であることを発見しました(Medtronic、ボストンサイエンティフィック、その他の企業)。
特に、St。Judeシステムには、他の業界で一般的に使用されている不正防止デバイス、暗号化、アンチデバッグツールなど、最も基本的なセキュリティ保護機能が不足していました。
主張されている脆弱性は、これらすべてのデバイスが内蔵しているリモートのワイヤレス監視に関連していました。 これらのワイヤレス監視システムは、怪我をする前に新しく発生するデバイスの問題を自動的に検出し、直ちに医師にこれらの問題を伝えるように設計されています。 このリモートモニタリング機能は、現在すべてのデバイスメーカによって採用されており、これらの製品を持つ患者の安全性を大幅に向上させることが実証されています。 セント・ジュードの遠隔監視システムは「Merlin.net」と呼ばれています。
ブロックの主張は非常に壮観で、セント・ジュードの株価はすぐに下落した。これはブロックの明確な目標だった。 注目すべきは、ブロックの会社(Muddy Waters、LLC)のSt. Judeについての主張をする前に、St. Judeで主要な短期的な地位を占めていたことです。 これは、セントジュードの株式が大幅に下落した場合、ブロックの会社が何百万ドルもの資金を手にしたことを意味し、アボットラボの合意に基づく買収を達成するのに十分低かった。
St Jude氏は、著名なプレスリリースでBlockの主張が「真実ではない」と発言した直後にブロックしたSt Jude氏は、St Jude氏を操作するために虚偽の情報を流布したと主張してMuddy Waters、株価。 その一方で、独立した研究者はSt. Judeの脆弱性に関する質問を検討し、異なる結論に達しました。 あるグループは、セント・ジュードのデバイスが特にサイバー攻撃に対して脆弱であることを確認しました。 別のグループは彼らがそうではないと結論づけた。 問題は全面的にFDAのラップに落ち、激しい調査が開始されたが、数ヶ月間はほとんど聞かれなかった。
その間、セント・ジュードの株式は失われた価値の多くを回収し、2016年後半にはアボットによる買収が成功裏に完了しました。
その後、2017年1月には2つのことが同時に起こりました。 第一に、FDAは実際にセント・ジュードの医療機器にサイバーセキュリティの問題があり、この脆弱性が実際に患者に有害な可能性のあるサイバー侵入や悪用を許す可能性があるという声明を発表した。 しかし、FDAは、実際にハッキングが行われたという証拠は見つかっていないと指摘した。
次に、St. Judeは、埋め込み型デバイスのハッキングの可能性を大幅に減らすために設計されたサイバーセキュリティソフトウェアパッチをリリースしました。 このソフトウェアパッチは、セントジュードのMerlin.netに自動的かつ無線でインストールされるように設計されています。 FDAは、「この装置の継続使用による患者の健康への便益はサイバーセキュリティリスクを上回っている」ため、これらの装置を持っている患者はSt Judeのワイヤレス監視システムを引き続き使用することを推奨した。
これはどこに私たちを残しますか?
前述したことは、私たちが一般に知っている事実を、彼らが知っているという事実をほとんど説明するものです セント・ジュード遠隔監視システムの開発に密接に関わっていた人物として、私は次のようにこのすべてを解釈します:セント・ジュード遠隔監視システムに確かにサイバーセキュリティの脆弱性があったようですこれらの脆弱性は、業界全体に対して通常とは異なっているように見えます。 (そう、セント・ジュードの初期拒否は誇張されているように見えます)
さらに、St JudeはFDAと協力してこの脆弱性を迅速に解決し、FDAによって最終的に満足のいくものと判断されたことは明らかです。 実際、FDAの協力と、この脆弱性がソフトウェアパッチによって十分に処理されたという事実から判断すると、St Judeの問題は、2016年にBlock氏によって申し立てられたほど深刻ではないようです。したがって、ブロック氏の初期の声明は誇張されているように見える)。 さらに、誰かが傷つく前に訂正が行われました。
ブッシュ大統領の明らかな利益相反(セント・ジュードの株価を押し下げることで大金を払うことになった)が、潜在的なサイバー・リスクの可能性を過小評価した可能性がありますが、これは法律裁判所が決定する問題です。
今のところ、修正ソフトウェアパッチが適用されているため、セントジュードデバイスを持つ人々は、ハッキング攻撃に過度に心配する特別な理由はないようです。
移植可能な心臓装置がサイバー攻撃に対して脆弱なのはなぜですか?
今や私たちの大部分は、私たちの生活の中でワイヤレス通信を使用するデジタルデバイスは、少なくとも理論上はサイバー攻撃に脆弱であることを認識しています。 これには、埋め込み型医療機器が含まれ、すべてが外界(すなわち、体外の世界)と無線で通信する必要があります。
過去数年間で、実際に邪悪な人や団体が医療機器に侵入する可能性は、より大きな脅威に見えてきました。 このような観点から、セント・ジュードの脆弱性を取り巻く広報は、効果があったかもしれません。 医療機器産業とFDAの両方がこの脅威に対して非常に深刻であり、現在、それを満たすためにかなりの活力を持って行動していることは明白です。
問題についてFDAは何をしていますか?
FDAの注目は、この問題に新たに焦点が当てられており、セント・ジュード・デバイスに関する論争のために大部分がそうであるように思われる。 2016年12月、FDAは医療機器メーカー向けに30ページの「ガイダンス」文書を発表し、すでに市場に出回っている医療機器のサイバー脆弱性に対処するための新しいルールを策定しました。 新しい規則は、市販されている製品のサイバーセキュリティ脆弱性を特定し、修正する方法と、新しいセキュリティ問題を特定し報告するためのプログラムを確立する方法を記述しています。
ボトムライン
サイバー・リスクが本質的にあらゆる無線通信システムに関連しているため、移植可能な医療機器ではある程度のサイバー脆弱性が避けられません。 しかし、ハッキングを遠隔的に可能にするためには、これらの製品に防御機能を組み込むことができることを知っておくことが重要であり、ブロックさえも、ほとんどの企業にとってこれが起こったことに同意します。 セント・ジュードがこの問題について以前はやや苛立っていたとしたら、2016年に受け取った否定的な宣伝によってそれが治癒したように見えます。 とりわけ、セントジュードは、今後の努力を監督する独立したサイバーセキュリティ医療諮問委員会に委託している。 他の医療機器会社もこれに従う可能性が高い。 したがって、FDAおよび医療機器製造業者の両方は、活力を増強してこの問題に取り組んでいる。
ペースメーカ、ICD、またはCRTデバイスを埋め込んだ人々は、時間が経つにつれて、より多くのことを聞く可能性が高いため、サイバー脆弱性の問題に注意を払うべきです。 しかし、今のところ、少なくとも、リスクは非常に小さいようであり、リモートデバイスの監視のメリットよりも確かに圧倒されています。
>出典:
> FDA。 セント・ジュード・メディカルの植込み型心臓装置とMerlin @ home送信機で確認されたサイバーセキュリティの脆弱性:FDA Safety Communication。 2017年1月9日。
>泥水。 サイバー脆弱性のSTJ / ABT承認に関するMW声明。 プレスリリース2017年1月9日。
> St Jude Medical。 St Jude MedicalがCybersecurity Updatesプレスリリースを発表 2017年1月9日。