Können implantierbare Herzschrittmacher und Defibrillatoren gehackt werden?
Sind implantierte Herzgeräte einem Risiko für Cyberangriffe ausgesetzt? Ja, da jedes digitale Gerät, das drahtlose Kommunikation beinhaltet, zumindest theoretisch anfällig ist, einschließlich Herzschrittmachern, ICDs und CRT-Geräten. Ein tatsächlicher Cyberangriff auf eines dieser implantierten Geräte wurde bisher jedoch nicht dokumentiert. Und (zum großen Teil dank der jüngsten Öffentlichkeitsarbeit über das Hacken von medizinischen Geräten und Politikern), arbeiten die FDA und die Gerätehersteller jetzt hart daran, solche Sicherheitslücken zu schließen.
St. Jude Cardiac Devices und Hacking
Die Geschichte wurde erstmals im August 2016 veröffentlicht, als der berühmte Short-Seller Carson Block öffentlich bekannt gab, dass St. Jude Hunderttausende von implantierbaren Schrittmachern, Defibrillatoren und CRT-Geräten verkauft hat, die extrem anfällig für Hacking waren. Block sagte, dass ein Cybersecurity-Unternehmen, mit dem er verbunden war (MedSec Holdings, Inc.), eine intensive Untersuchung durchgeführt hatte und feststellte, dass St. Jude-Geräte (im Gegensatz zu den von Medtronic vertriebenen medizinischen Geräten) einzigartig anfällig für Hacking sind. Boston Scientific und anderen Unternehmen). Insbesondere, so Block, fehlten den St. Jude-Systemen „selbst die grundlegendsten Sicherheitsvorkehrungen“ wie Manipulationsschutz-, Verschlüsselungs- und Debugging-Tools, wie sie in der übrigen Branche häufig verwendet werden.Die angebliche Sicherheitslücke lag in der drahtlosen Fernüberwachung aller dieser Geräte. Diese drahtlosen Überwachungssysteme sind so konzipiert, dass auftretende Geräteprobleme automatisch erkannt werden, bevor sie Schaden anrichten können, und teilen diese Probleme sofort dem Arzt mit. Diese Fernüberwachungsfunktion, die mittlerweile von allen Geräteherstellern eingesetzt wird, wurde dokumentiert, um die Sicherheit für Patienten mit diesen Produkten erheblich zu verbessern. Das Fernüberwachungssystem von St. Jude heißt "Merlin.net".
Die Behauptungen von Block waren ziemlich spektakulär und verursachten einen sofortigen Rückgang des Aktienkurses von St. Jude - was genau das erklärte Ziel von Block war. Bemerkenswerterweise hatte Block (Muddy Waters, LLC), bevor er seine Behauptungen über St. Jude aufstellte, eine bedeutende Short-Position in St. Jude eingenommen. Dies bedeutete, dass das Unternehmen von Block Millionen von Dollar einbrachte, wenn die Aktien von St. Jude erheblich fielen, und niedrig genug blieb, um eine vereinbarte Akquisition durch Abbott Labs abzuschließen.
Nach dem vielfach publizierten Angriff von Block gab St. Jude sofort mit aussagekräftigen Pressemitteilungen bekannt, dass die Behauptungen von Block "absolut falsch" seien. St. Jude verklagte auch Muddy Waters, LLC wegen angeblicher Verbreitung falscher Informationen, um St. Jude's zu manipulieren Aktienkurse. In der Zwischenzeit untersuchten unabhängige Ermittler die St. Jude-Sicherheitslückenfrage und kamen zu unterschiedlichen Schlussfolgerungen. Eine Gruppe bestätigte, dass die Geräte von St. Jude besonders anfällig für Cyberangriffe sind. Eine andere Gruppe kam zu dem Schluss, dass dies nicht der Fall war. Die gesamte Angelegenheit wurde auf dem Schoß der FDA fallen gelassen, die eine heftige Untersuchung einleitete, und es wurde mehrere Monate lang wenig von der Angelegenheit gehört. In dieser Zeit konnte die Aktie von St. Jude einen Großteil ihres Wertverlusts wiedererlangen, und Ende 2016 wurde die Übernahme durch Abbott erfolgreich abgeschlossen.
Dann, im Januar 2017, passierten zwei Dinge gleichzeitig. Zunächst veröffentlichte die FDA eine Erklärung, aus der hervorgeht, dass es tatsächlich Cybersicherheitsprobleme mit medizinischen Geräten von St. Jude gibt und dass diese Sicherheitsanfälligkeit tatsächlich Cyber-Intrusionen und Exploits ermöglichen kann, die sich für Patienten als schädlich erweisen könnten. Die FDA wies jedoch darauf hin, dass keine Beweise dafür gefunden wurden, dass tatsächlich bei einer Person gehackt wurde.
Zweitens hat St. Jude einen Cybersecurity-Software-Patch veröffentlicht, mit dem die Möglichkeit des Eindringens in implantierbare Geräte erheblich verringert werden soll. Der Software-Patch wurde entwickelt, um sich automatisch und drahtlos über St. Jude's Merlin.net zu installieren. Die FDA empfahl Patienten mit diesen Geräten, weiterhin das drahtlose Überwachungssystem von St Jude zu verwenden, da „der gesundheitliche Nutzen für Patienten durch die fortgesetzte Verwendung des Geräts die Cybersicherheitsrisiken überwiegt“.
Wo bleibt uns das??
Das Vorstehende beschreibt ziemlich genau die Tatsachen, wie wir sie in der Öffentlichkeit kennen. Als jemand, der intensiv an der Entwicklung des ersten Fernüberwachungssystems für implantierbare Geräte (nicht St. Jude's) beteiligt war, interpretiere ich all dies folgendermaßen: Es scheint sicher, dass das Fernüberwachungssystem von St. Jude tatsächlich Sicherheitslücken in Bezug auf Cybersicherheit aufweist , und diese Schwachstellen scheinen für die gesamte Branche ungewöhnlich gewesen zu sein. (Also scheinen die anfänglichen Ablehnungen von St. Judas übertrieben gewesen zu sein.)Darüber hinaus ist es offensichtlich, dass St. Jude in Zusammenarbeit mit der FDA schnell Maßnahmen ergriffen hat, um diese Sicherheitsanfälligkeit zu beheben, und dass diese Schritte letztendlich von der FDA als zufriedenstellend eingestuft wurden. Tatsächlich scheint das Problem von St. Jude nach Einschätzung der FDA und der Tatsache, dass die Sicherheitslücke durch einen Software-Patch ausreichend behoben wurde, nicht annähernd so schwerwiegend zu sein, wie es Herr Block im Jahr 2016 behauptet hatte. ( Die ersten Aussagen von Herrn Block scheinen also übertrieben zu sein. Darüber hinaus wurden die Korrekturen vorgenommen, bevor jemand verletzt wurde.
Ob der offenkundige Interessenkonflikt von Herrn Block (mit dem er den Aktienkurs von St. Jude senkte, was ihm viel Geld einbrachte) ihn möglicherweise veranlasst hat, die potenziellen Cyberrisiken zu übertreiben, hört sich möglich an, aber dies ist eine Frage, die die Gerichte zu bestimmen haben.
Im Moment ist es wahrscheinlich, dass Menschen mit St. Jude-Geräten mit dem Korrektur-Software-Patch keinen besonderen Grund haben, sich übermäßig über Hacking-Angriffe Gedanken zu machen.
Warum sind implantierbare Herzgeräte anfällig für Cyberangriffe??
Mittlerweile erkennen die meisten von uns, dass jedes digitale Gerät, das wir in unserem Leben verwenden und das drahtlose Kommunikation beinhaltet, zumindest theoretisch anfällig für Cyberangriffe ist. Dazu gehört jedes implantierbare medizinische Gerät, das drahtlos mit der Außenwelt (dh der Welt außerhalb des Körpers) kommunizieren muss..Die Möglichkeit, dass Menschen oder Gruppen, die dem Bösen verfallen sind, tatsächlich in medizinische Geräte eindringen, scheint in den letzten Jahren eher eine echte Bedrohung zu sein. In diesem Licht könnte sich die Öffentlichkeitsarbeit im Zusammenhang mit den Sicherheitslücken in St. Jude positiv ausgewirkt haben. Es ist klar, dass sowohl die Medizinproduktebranche als auch die FDA dieser Bedrohung jetzt sehr ernsthaft gegenüberstehen und jetzt entschlossen handeln, um dieser Bedrohung zu begegnen.
Was tut die FDA gegen das Problem??
Die Aufmerksamkeit der FDA hat sich neu auf dieses Problem konzentriert, was wahrscheinlich zu einem großen Teil auf die Kontroverse um St. Jude-Geräte zurückzuführen ist. Im Dezember 2016 veröffentlichte die FDA ein 30-seitiges „Leitliniendokument“ für Hersteller von Medizinprodukten, in dem neue Regeln zur Beseitigung von Cyber-Schwachstellen in bereits auf dem Markt befindlichen Medizinprodukten festgelegt sind. (Ähnliche Regeln für Medizinprodukte, die sich noch in der Entwicklung befinden, wurden 2014 veröffentlicht.) Die neuen Regeln beschreiben, wie Hersteller Cybersicherheitslücken in vermarkteten Produkten identifizieren und beheben sollten und wie Programme zur Identifizierung und Meldung neuer Sicherheitsprobleme erstellt werden.Die Quintessenz
Angesichts der mit jedem drahtlosen Kommunikationssystem verbundenen Cyber-Risiken ist ein gewisses Maß an Cyber-Anfälligkeit bei implantierbaren medizinischen Geräten unvermeidlich. Es ist jedoch wichtig zu wissen, dass in diese Produkte Abwehrmechanismen eingebaut werden können, um Hackerangriffe nur aus der Ferne zu ermöglichen, und selbst Mr. Block stimmt zu, dass dies bei den meisten Unternehmen der Fall ist. Wenn St. Jude in dieser Angelegenheit zuvor etwas nachlässig war, scheint das Unternehmen durch die negative Publizität, die sie 2016 erhielten, davon geheilt worden zu sein, was ihr Geschäft eine Zeitlang ernsthaft bedrohte. Unter anderem hat St. Jude einen unabhängigen medizinischen Beirat für Cybersicherheit damit beauftragt, seine künftigen Bemühungen zu überwachen. Andere Unternehmen für Medizinprodukte dürften diesem Beispiel folgen. Daher gehen sowohl die FDA als auch die Hersteller medizinischer Geräte das Problem verstärkt an.Menschen, die Herzschrittmacher, ICDs oder CRT-Geräte implantiert haben, sollten sich unbedingt mit dem Thema Cyber-Anfälligkeit befassen, da wir mit der Zeit wahrscheinlich mehr darüber erfahren werden. Zumindest scheint das Risiko vorerst recht gering zu sein und wird sicherlich von den Vorteilen der Remote-Geräteüberwachung aufgewogen.