San Diem eta Zikloaren gaixotasunak
2016ko amaieran eta 2017ko hasieran, albisteak asmo txarrak dituzten pertsonek pertsonen osasun gailu implantable batean hack egin dezakete eta arazo larriak eragin ditzakete. Zehazki, San Jude Medical, Inc. enpresak merkaturatzen dituen gailuak, besteak beste, taupada-markagailuak ( sinus bradikardia eta bihotz blokea ), desbideratze implantagarriak (ICD) ( taquicardia bentrikularra eta fibrilazio bentrikularra tratatzen dutenak) eta CRT gailuak bihotz-gutxiegitasuna tratatzea).
Berri txosten horiek beldurra izan dezakete medikuntzako gailu horiek dituzten pertsonentzako beldurrak perspektiba nahikorik gabe jarri gabe.
Bihotz-gailuak ezartzen ari dira arriskupean daudenean? Bai, haririk gabeko komunikazioa barne hartzen duen gailu digitala gutxienez teorikoki zaurgarria da, taupada-markagailuak, ICDak eta CRT gailuak barne. Baina orain arte, ez da inoiz dokumentatu den gailu horietako edozein ziber aurkako benetako erasoa izan. Eta (neurri handi batean hackingari buruzko azken publizitateari esker, bai gailu medikoei eta bai politikariei), FDAk eta gailu fabrikatzaileek gogor lan egiten dute edozein ahultasun antzemateko.
St. Jude Cardiac Devices and Hacking
Istorioa lehen aldiz abuztuaren 2016an piztu zen, Carson Bloke ospetsuaren salmentek publikoki iragarri zuten San Jude-k ehunka mila markako taupada-markagailuak, desfibriladoreak eta CRT gailuak saltzen zituztela hackerrerako oso zaurgarriak.
Blokeek esan zuen CySek segurtasuneko konpainiak (MedSec Holdings, Inc.) egindako ikerketa intentsibo bat egin zuen eta aurkitu zuten San Jude gailuak hackerrak modu berezian kaltetzen zituztela (Medtronic-ek saldutako medikuntzako mota berekoak direla eta, Boston Scientific, eta beste enpresa batzuk).
Hain zuzen ere, esan zuen Blockek, San Jude sistemak "segurtasuneko defentsarik oinarrizkoena ere" ez zutela, hala nola, gailuen kontrako manipulazioa, enkriptazioa eta anti-arazketa tresnak, gainerako industriek erabiltzen zituztenak.
Ustekabeko ustekabea urruneko haririk gabeko jarraipenarekin lotu zen gailu horiek guztiak sartzen. Hari gabeko jarraipen-sistemak automatikoki detektatzen ari diren gailuen arazoak detektatzeko diseinatuta daude, kalteak eragin ditzaketen aurretik eta arazo horiei medikuari berehala jakinaraztea. Telefono fabrikatzaile guztiek erabiltzen duten urruneko jarraipen-funtzioa dokumentatuta dago produktu horiek dituzten pazienteen segurtasuna nabarmen hobetzeko. San Jude urruneko monitore sistema deitzen da "Merlin.net".
Blokearen alegazioak ikusgarriak izan ziren eta San Jude-ren prezioen beherakada berezi bat eragin zuen. Blokearen helburua adierazi zuen. Kontuan izanik, St. Jude-ren inguruko alegazioak egin aurretik, Block-en konpainia (Muddy Waters, LLC) St. Jude-ren kokapen laburra hartu zuen. Horrek esan nahi du Block enpresak milioika dolar egin zituela San Jude stockak nabarmen jaitsi zirelako, eta Abbott Labs-ek eskuratutako adostasuna lortu nahian apur bat egon zen.
Bloke en ondo publikatu erasoa ondoren, St Jude berehala tiro back gogor idatzitako prentsa oharrak bloke horrek salaketa izan ziren "erabat faltsua" eragin. Izan ere, San Jude ere auzitara eraman Muddy Waters, LLC informazio faltsua ustez hedatzeko San Jude en manipulatzeko stock prezioak. Bien bitartean, ikertzaile independenteek San Jude ahultasunari buruzko galderari begiratu eta ondorio desberdinetara iritsi ziren. Talde batek baieztatu zuen San Jude gailuak bereziki kaltegarri ziberekin; Beste talde batek ondorioztatu zuen ez zirela. Alea osoa FDAren itzuleran erori zen, ikerketa indartsu bat abian jarri zuen eta gutxi hilabete batzuren buruan entzun zen.
Garai hartan, St. Jude-ren balioak berreskuratu zuen bere balio erraldoia, eta 2016ko amaieran, Abbottek arrakastaz lortu zuen.
Orduan, 2017ko urtarrilean, bi gauza gertatu ziren aldi berean. Lehenik eta behin, FDA-k adierazpen bat argitaratu zuen San Jude gailu medikoekin zibersegurtasun arazoak izan zirela adierazi zuen, eta ahultasun horrek gaixoak kaltegarriak izan litezkeen intrusioak eta ustiak izan ditzake. Hala eta guztiz ere, FDA azpimarratu du ebidentzia ez dela aurkitu dela hacking izan da benetan gertatzen den edozein pertsona.
Bigarrenik, St. Jude-k zibersegurtasun softwarearen adabaki bat argitaratu zuen gailu implantableetara hackeratzeko aukera murrizteko. Softwarearen adabakia bere burua automatikoki eta hari gabe instalatzeko diseinatu zen, St. Jude's Merlin.net-en inguruan. FDAk gomendatzen du gailu horiek dituzten pazienteek St Jude-ren haririk gabeko jarraipen-sistema erabiltzen jarraitzen dutela, "telefonoa etengabe erabiltzen duten pazienteen osasun-prestazioak segurtasun zibilen arriskuak gainditzen dituelako".
Non utzi gaitu?
Aurrekoak nahiko deskribatzen ditu gertaerak publikoan ezagutzen ditugun bezala. Gailu urruneko segimendu sistemako lehen gailu inplementatuarekin (ez St. Jude-rekin) garatzen ari den norbait izan zen bezala, hau guztia honela interpretatzen dut: Seguru zentzuzkoa izan zen segurtasun zibilen segurtasuna San Jude urruneko monitore sisteman , eta ahultasun horiek oso ohikoak izan ohi dira industriarako. (Horrela, St. Jude-ren hasierako ukapenak agerian egon dira.)
Are gehiago, badirudi St. Jude-k azkar mugitu zuela ahultasun hori sendatzeko, FDArekin batera lanean, eta urrats horiek FDAren arabera onartu zitzaizkien. Izan ere, FDA-ren lankidetzagatik eta softwarearen adabaki baten bidez ahultasun nahikoa izan zenez, St. Jude-ren arazoa badirudi Block Bank-ek ustezkoa zela 2016an. Beraz, Mr Block-en hasierako adierazpenak agerian egon dira. Gainera, zuzenketak egin ziren edonork kaltetu zituelarik.
Mr. Block-ek interes-gatazkak azaltzen dituen ala ez adierazten du (hau da, San Jude-ren prezioen prezioa murriztuz gero), ziber-arrisku posibleak ahalik eta gehien sor daitezkeen eragina izan liteke, baina hori auzitegi batek zehaztuko du .
Oraingoz, badirudi softwareak zuzendutako adabaki egokiarekin aplikatzen direla, San Jude gailuak dituzten pertsonek ez dutela inolako ardurarik inolako eraso piratei buruz kezkatuta.
Zergatik dira zirkuitu erasotzaileak kaltegarriak diren bihotz gailu implantableak?
Gaur egun, gurekin gehienak konturatzen dira haririk gabeko komunikazioa dakarren bizitza digitalaren edozein gailu digitalek gutxienez cyberattack-en teorian kaltetzen dituztela. Horrek edozein gailu medikuntza implantable biltzen ditu, eta hori guztia kanpoko munduarekin (hau da, gorputzetik kanpoko mundua) haririk gabe komunikatu behar da.
Gaitzespenaren inguruko jendea edo taldeak gaizki murgilduta egon litezkeen aukera gailu medikoetara iristea izan da, azken urteotan, benetako mehatxua izan da. Argi honetan, San Jude ahultasunaren inguruko publizitatea eragin positiboa izan dezake. Garbi dago mediku gailuen industria eta FDAk gaur egun oso mehatxu horri buruz oso larriak direla, eta gaur egun indar handiz jardun behar dutela aurre egiteko.
Zer da FDA arazoa egiten?
FDA-ren arreta berriki bideratuta dago gai honi buruz, ziurrenik, neurri handi batean, St. Jude gailuei buruzko eztabaida dela eta. 2016ko abenduan, FDA-k 30 orrialdeko "orientazio" dokumentua argitaratu zuen gailu medikoen fabrikatzaileentzat, merkatuan dauden gailu medikoetan ziberkaltzadiei aurre egiteko arau berri bat ezartzen duena. (Produktu medikoak oraindik garatzen ari diren antzeko arauak argitaratu ziren 2014an.) Araudi berriek nola merkaturatutako produktuen segurtasun zibilen segurtasuna identifikatu eta konpondu behar duten zehazten dute, eta segurtasun arazoak identifikatzeko eta berrikusteko programak nola ezarri.
Beheko lerroa
Haririk gabeko komunikazio sistema bati lotutako hibrido arriskuei dagokienez, zibernetika-ahultasun maila ezinbestekoa da medikuntza-gailu implantableekin. Baina garrantzitsua da jakitea defentsak produktu horietan sartzea ahalbidetzea urruneko aukera urruneko hacking egiteko, eta baita Mr. Block-ek enpresak gehienak gertatu direla. St. Jude-k aldez aurretik gai horri buruz zerbait esan nahi badu, 2016an jasotako publizitate negatiboarengatik sendatzen dela dirudi. Beste gauza batzuen artean, St. Jude-k Cyber Security Medical Advisory Board independente bat eskatu du bere ahaleginak aurrera eramateko. Beste mediku gailu batzuei seguru asko jarraitu behar zaie. Horrela, FDAk eta gailu mediko fabrikatzaileek arazoari aurre egin behar izaten dute indar handiagoarekin.
Marcapean, ICD edo CRT gailuetan ezarri dituzten pertsonak zaintza zibilaren arazoari arreta berezia jarri beharko litzaioke, seguru asko denbora gehiago igarotzeaz gain. Baina oraingoz, gutxienez, arriskua nahiko txikia dela dirudi, eta, zalantzarik gabe, gailu urruneko monitoreen onurak gainditzen ditu.
> Iturriak:
> FDA. Cibersegurtasun-urritasunak St. Jude Medical-ren instalazio kardiobaskularrak eta Merlin @ home Transmisorea identifikatu dira: FDA Segurtasun Komunikazioa. 2019ko urtarrilaren 9a.
> Muddy Waters. MW Statement on STJ / ABT Cyber Vulnerabilities. Prentsa-oharra 2019ko urtarrilaren 9a.
> St Jude Medical. St Jude Medical-k Cybersecurity eguneraketak prentsa-oharra iragartzen du. 2019ko urtarrilaren 9a.