Eind 2016 en begin 2017 deden nieuwsberichten het schrikbeeld rijzen dat mensen met slechte bedoelingen potentieel het implanteerbare medische hulpmiddel van een persoon kunnen hacken en ernstige problemen kunnen veroorzaken. In het bijzonder worden de apparaten in kwestie op de markt gebracht door St. Jude Medical, Inc., en omvatten pacemakers (die sinusbradycardie en hartblok behandelen), implanteerbare defibrillatoren (ICD’s) (die ventriculaire tachycardie en ventriculaire fibrillatie behandelen) en CRT-apparaten (die hartfalen behandelen).
Deze nieuwsberichten hebben mogelijk angst gewekt bij mensen die deze medische hulpmiddelen hebben zonder het probleem in voldoende perspectief te plaatsen.
Zijn geïmplanteerde cardiale apparaten in gevaar voor cyberaanvallen? Ja, want elk digitaal apparaat dat draadloze communicatie omvat, is op zijn minst theoretisch kwetsbaar, inclusief pacemakers, ICD’s en CRT-apparaten. Maar tot nu toe is een echte cyberaanval tegen een van deze geïmplanteerde apparaten nooit gedocumenteerd. En (grotendeels dankzij de recente publiciteit over hacking, zowel van medische apparatuur als van politici), werken de FDA en de apparaatfabrikanten nu hard aan het oplossen van dergelijke kwetsbaarheden.
St. Jude Cardiac Devices en Hacking
Het verhaal brak voor het eerst in augustus 2016, toen beroemde kortbaan-verkoper Carson Block publiekelijk aankondigde dat St. Jude honderdduizenden implanteerbare pacemakers, defibrillatoren en CRT-apparaten had verkocht die extreem kwetsbaar waren voor hacking .
Block zei dat een cyberbeveiligingsbedrijf waarmee hij verbonden was (MedSec Holdings, Inc.) een intensief onderzoek had uitgevoerd en vond dat St. Jude-apparaten uniek kwetsbaar waren voor hacking (in tegenstelling tot dezelfde soorten medische apparaten die door Medtronic werden verkocht) , Boston Scientific en andere bedrijven).
In het bijzonder, bovengenoemde Block, ontbraken de St. Jude-systemen "zelfs de meest elementaire veiligheidsdefinities", zoals anti-manipulatie-apparaten, encryptie en anti-debugging tools, van het soort dat gewoonlijk door de rest van de industrie wordt gebruikt.
De vermeende kwetsbaarheid was gerelateerd aan de externe, draadloze bewaking die al deze apparaten hebben ingebouwd. Deze draadloze bewakingssystemen zijn ontworpen om automatisch opkomende apparaatproblemen te detecteren voordat ze schade kunnen aanrichten, en communiceren deze problemen onmiddellijk aan de arts. Deze externe bewakingsfunctie, nu in gebruik bij alle apparaatfabrikanten, is gedocumenteerd om de veiligheid voor patiënten met deze producten aanzienlijk te verbeteren. Het externe bewakingssysteem van St. Jude wordt "Merlin.net" genoemd.
De aantijgingen van Block waren behoorlijk spectaculair en veroorzaakten een onmiddellijke daling van de aandelenkoers van St. Jude, wat precies het verklaarde doel van Block was. Merk op dat Block’s bedrijf (Muddy Waters, LLC), voordat hij zijn beschuldigingen over St. Jude aanvoerde, een belangrijke shortpositie in St. Jude had ingenomen. Dit betekende dat Block’s bedrijf miljoenen dollars verdiende als de voorraad van St. Jude aanzienlijk daalde en laag genoeg bleef om een overeengekomen overname door Abbott Labs te scotcheren.
Na de goed gepubliceerde aanval van Block sloeg St Jude onmiddellijk terug met krachtig geformuleerde persberichten waarin stond dat Block’s beschuldigingen "absoluut niet klopten". St. Jude vervolgde ook Muddy Waters, LLC voor het naar verluidt verspreiden van valse informatie om St. te manipuleren. Jude’s aandelenkoersen. Ondertussen keken onafhankelijke onderzoekers naar de kwetsbaarheidsvraag van St. Jude en kwamen tot andere conclusies. Eén groep bevestigde dat de apparaten van St. Jude bijzonder kwetsbaar waren voor cyberaanvallen; een andere groep concludeerde dat ze dat niet waren. De hele kwestie werd in de schoot geworpen van de FDA, die een krachtig onderzoek lanceerde, en er was enkele maanden weinig over gehoord.
Gedurende die tijd herstelde de voorraad van St. Jude veel van zijn verloren waarde en eind 2016 werd de overname door Abbott met succes afgerond.
Toen, in januari 2017, gebeurden er twee dingen tegelijkertijd. Ten eerste bracht de FDA een verklaring uit die aangaf dat er inderdaad cyberbeveiligingsproblemen waren met medische hulpmiddelen van St. Jude, en dat deze kwetsbaarheid inderdaad cyberintrusies en -uitbraken toelaat die schadelijk zouden kunnen zijn voor patiënten. De FDA wees er echter op dat er geen bewijs is gevonden dat hacking daadwerkelijk in een persoon had plaatsgevonden.
Ten tweede heeft St. Jude een cyberbeveiligingssoftwarepatch uitgegeven die ontworpen is om de mogelijkheid van het binnendringen in hun implanteerbare apparaten sterk te verminderen. De softwarepatch is ontworpen om zichzelf automatisch en draadloos te installeren, via St. Jude’s Merlin.net. De FDA heeft geadviseerd dat patiënten met deze apparaten het draadloze bewakingssysteem van St Jude blijven gebruiken, omdat "de voordelen voor de gezondheid van patiënten van blijvend gebruik van het apparaat opwegen tegen de cyberbeveiligingsrisico’s."
Waar laat dit ons vandaan?
Het voorgaande beschrijft de feiten vrijwel zoals wij ze in het openbaar kennen. Als iemand die nauw betrokken was bij de ontwikkeling van het externe bewakingssysteem van het eerste implanteerbare apparaat (niet van St. Jude), interpreteer ik dit allemaal op de volgende manier: Het lijkt zeker dat er inderdaad cyberbeveiligingskwetsbaarheden waren in het St. Jude remote bewakingssysteem en deze kwetsbaarheden lijken voor de branche in het algemeen ongewoon. (Dus de aanvankelijke ontkenningen van St. Jude lijken overdreven te zijn.)
Verder is het duidelijk dat St. Jude snel verhuisde om deze kwetsbaarheid te herstellen, in samenwerking met de FDA, en dat deze stappen uiteindelijk bevredigend werden bevonden door de FDA . In feite, te oordelen naar de medewerking van de FDA en het feit dat de kwetsbaarheid voldoende werd aangepakt door middel van een softwarepleister, lijkt het probleem van St. Jude niet zo ernstig te zijn als door Mr Block in 2016 werd beweerd. ( Dus de eerste verklaringen van Mr. Block lijken overdreven te zijn). Bovendien zijn de correcties aangebracht voordat iemand werd benadeeld.
Of het openlijke belangenconflict van Mr. Block (waarbij het uitstellen van de aandelenkoers van St. Jude hem veel geld opleverde) hem ertoe kan hebben gebracht de mogelijke cyberrisico’s mogelijk te overtreffen, maar dit is een vraag voor de rechtbanken om bepalen.
Op dit moment lijkt het waarschijnlijk dat met de correctieve softwarepleister die is aangebracht, mensen met St. Jude-apparaten geen specifieke reden hebben om zich overdreven zorgen te maken over aanvallen van hackers.
Waarom zijn implanteerbare cardiale apparaten kwetsbaar voor cyberaanvallen?
De meesten van ons realiseren zich inmiddels dat elk digitaal apparaat dat we gebruiken in ons leven en dat betrekking heeft op draadloze communicatie op zijn minst theoretisch kwetsbaar is voor cyberaanvallen. Dat omvat elk implanteerbaar medisch apparaat, die allemaal draadloos met de buitenwereld (dat wil zeggen de wereld buiten het lichaam) moet communiceren.
De mogelijkheid dat mensen of groepen die zich op het kwaad concentreren, daadwerkelijk medische apparaten kunnen hacken, is de laatste paar jaar eerder een echte bedreiging geworden. In dit licht kan de publiciteit rond de St. Jude-kwetsbaarheden een positief effect hebben gehad. Het is duidelijk dat zowel de industrie voor medische hulpmiddelen als de FDA nu zeer serieus zijn over deze bedreiging, en nu handelen met aanzienlijke kracht om eraan te voldoen.
Wat doet de FDA over het probleem?
De aandacht van de FDA is onlangs op dit onderwerp gericht geweest, waarschijnlijk grotendeels vanwege de controverse over St. Jude-apparaten. In december 2016 heeft de FDA een document met 30 pagina’s met richtlijnen uitgegeven voor fabrikanten van medische apparaten, met een nieuwe reeks regels voor het aanpakken van cyberkwetsbaarheden in medische apparaten die al op de markt zijn. (Vergelijkbare regels voor medische producten die nog in ontwikkeling zijn, werden in 2014 gepubliceerd.) De nieuwe regels beschrijven hoe fabrikanten moeten omgaan met het identificeren en oplossen van cybersecurity-kwetsbaarheden in producten die op de markt zijn en hoe programma’s kunnen worden opgezet om nieuwe beveiligingsproblemen te identificeren en te melden.
De bottom line
Gezien de cyberrisico’s inherent verbonden aan elk draadloos communicatiesysteem, is enige mate van cyberkwetsbaarheid onvermijdelijk met implanteerbare medische apparaten. Maar het is belangrijk om te weten dat verdedigingen kunnen worden ingebouwd in deze producten om hacking slechts een afgelegen mogelijkheid te maken, en zelfs Mr. Block is het ermee eens dat dit voor de meeste bedrijven is gebeurd. Als St. Jude eerder wat laks is geweest over deze kwestie, lijkt het bedrijf ervan te zijn genezen door de negatieve publiciteit die ze in 2016 hebben gekregen en die hun bedrijf een tijdlang ernstig bedreigden. St. Jude heeft onder andere de opdracht gegeven aan een onafhankelijke Cyber Security Medical Advisory Board om zijn inspanningen in de toekomst te overzien. Andere bedrijven in medische hulpmiddelen zullen waarschijnlijk volgen. Zowel de fabrikanten van FDA als fabrikanten van medische apparatuur pakken het probleem dan ook met verhoogde kracht aan.
Mensen die pacemakers, ICD’s of CRT-apparaten hebben geïmplanteerd, moeten zeker letten op het probleem van cyber-kwetsbaarheid, omdat we daar waarschijnlijk meer over zullen horen naarmate de tijd verstrijkt. Maar voor nu, althans, lijkt het risico vrij klein te zijn, en wordt zeker gecompenseerd door de voordelen van bewaking op afstand.
