هل يمكن اختزال أجهزة تنظيم ضربات القلب وأجهزة تنظيم ضربات القلب القابلة للغرس؟

سانت جودي وسيبر الضعف من الأجهزة الطبية

في أواخر عام 2016 وأوائل عام 2017 ، رفعت التقارير الإخبارية من شبح أن الأشخاص ذوي النوايا السيئة يمكن أن يتحولوا إلى جهاز طبي قابل للزرع ويسبب مشاكل خطيرة. على وجه التحديد ، يتم تسويق الأجهزة المعنية من قبل شركة St. Jude Medical، Inc. ، وتشمل أجهزة ضبط نبضات القلب (التي تعالج بطء القلب الجيبي وكتلة القلب ) ، أجهزة تنظيم ضربات القلب القابلة للزرع (ICDs) (التي تعالج عدم انتظام دقات القلب البطيني والرجفان البطيني ) وأجهزة CRT (التي علاج قصور القلب ).

قد تكون هذه التقارير الإخبارية قد أثارت المخاوف بين الأشخاص الذين لديهم هذه الأجهزة الطبية دون وضع القضية في منظور كافٍ.

هل يتم تعريض أجهزة القلب المزروعة لخطر الهجمات السيبرانية؟ نعم ، نظرًا لأن أي جهاز رقمي يشتمل على اتصال لاسلكي يكون عرضة من الناحية النظرية على الأقل ، بما في ذلك أجهزة ضبط نبضات القلب وأجهزة ICDs وأجهزة CRT. ولكن حتى الآن ، لم يتم توثيق أي هجوم إلكتروني فعلي ضد أي من هذه الأجهزة المزروعة. (وبفضل جزء كبير منه إلى الدعاية الحديثة حول القرصنة ، سواء من الأجهزة الطبية أو السياسيين) ، تعمل إدارة الأغذية والعقاقير ومصنعو الأجهزة الآن بجد على تصحيح هذه الثغرات.

سانت جودي أجهزة القلب والقرصنة

القصة اندلعت لأول مرة في شهر أغسطس ، عام 2016 عندما أعلنت شركة كارسون بلوك الشهيرة على نطاق واسع أن سانت جود كان يبيع مئات الآلاف من أجهزة تنظيم ضربات القلب القابلة للزرع وأجهزة تنظيم ضربات القلب وأجهزة CRT التي كانت عرضة للقرصنة.

قال بلوك إن شركة الأمن السيبراني التي كان ينتمي إليها (MedSec Holdings، Inc.) ، أجرت تحقيقاً مكثفاً ووجدت أن أجهزة سانت جود معرضة بشكل فريد للقرصنة (على عكس الأجهزة الطبية نفسها التي تبيعها ميدترونيك ، بوسطن العلمية ، وغيرها من الشركات).

على وجه الخصوص ، قال بلوك ، إن أنظمة سانت جود "تفتقر حتى إلى أبسط وسائل الدفاع الأمنية" ، مثل أجهزة مكافحة التلاعب ، والتشفير ، وأدوات مكافحة التصحيح ، من النوع الذي تستخدمه عادة بقية الصناعة.

كان الضعف المزعوم مرتبطًا بالمراقبة اللاسلكية عن بُعد التي بنيت عليها جميع هذه الأجهزة. تم تصميم أنظمة المراقبة اللاسلكية هذه لاكتشاف مشاكل الأجهزة الناشئة تلقائيًا قبل أن تتمكن من التسبب في ضرر وتوصيل هذه المشكلات على الفور إلى الطبيب. وقد تم توثيق ميزة المراقبة عن بعد ، التي يستخدمها الآن جميع مصنعي الأجهزة ، لتحسين سلامة المرضى الذين لديهم هذه المنتجات. نظام الرصد عن بعد في St. Jude يسمى "Merlin.net".

كانت مزاعم بلوك مذهلة إلى حد كبير وتسببت في انخفاض فوري لسعر سهم سانت جود - وهو الهدف المحدد لبلوك بالضبط. من الملاحظ ، قبل اتخاذ مزاعمه حول سانت جود ، اتخذت شركة بلوك (مودى ووترز ، ذ م م) ، منصب قصير في سانت جود. وهذا يعني أن شركة بلوك تقف لتحقيق الملايين من الدولارات إذا انخفض سهم سانت جود بشكل كبير ، وظلت منخفضة بما فيه الكفاية لسكوتش متفق عليها عند اقتناء أبوت لابس.

بعد الهجوم الذي حظي بتغطية إعلامية واسعة النطاق ، رد St Jude فوراً بإصدار نشرات صحفية قوية مفادها أن ادعاءات بلوك كانت "غير صحيحة على الإطلاق". كما رفعت سانت جود دعوى ضد Muddy Waters ، LLC بسبب مزاعم نشر معلومات كاذبة من أجل التلاعب في St. Jude's. أسعار الأسهم. في غضون ذلك ، نظر المحققون المستقلون في مسألة ضعف القديس جود ووصلوا إلى استنتاجات مختلفة. وأكدت إحدى المجموعات أن أجهزة سانت جود كانت عرضة للهجمات السيبرانية على وجه الخصوص. خلصت مجموعة أخرى لم تكن. تم إسقاط القضية بأكملها في حضن إدارة الأغذية والأدوية FDA ، التي أطلقت تحقيقاً قوياً ، ولم يُسمع إلا القليل عن الأمر لعدة أشهر.

خلال ذلك الوقت ، استرد سهم سانت جود الكثير من قيمته المفقودة ، وفي أواخر عام 2016 ، تم الاستحواذ على شركة أبوت بنجاح.

ثم ، في يناير ، 2017 ، حدث شيئان في وقت واحد. أولاً ، أصدرت إدارة الأغذية والعقاقير بيانًا يشير إلى وجود مشكلات تتعلق بالأمن السيبراني في أجهزة سانت جود الطبية ، وأن هذه الثغرة يمكن أن تسمح بالفعل بالتطفل عبر الإنترنت ومآثر يمكن أن تكون ضارة للمرضى. ومع ذلك ، أشارت إدارة الغذاء والدواء الأمريكية إلى أنه لم يتم العثور على أي دليل على أن القرصنة قد حدثت بالفعل في أي فرد.

ثانياً ، أصدر سانت جود رقعة برمجيات الأمن السيبراني مصممة لتقليل إمكانية اختراق الأجهزة القابلة للزرع بشكل كبير. تم تصميم برنامج التصحيح لتثبيت نفسه تلقائيًا ولاسلكيًا عبر موقع Merlin.net من St. Jude. أوصت إدارة الغذاء والدواء الأمريكية (FDA) بأن يستمر المرضى الذين يستخدمون هذه الأجهزة في استخدام نظام المراقبة اللاسلكي في St Jude ، لأن "الفوائد الصحية للمرضى من الاستخدام المستمر للجهاز تفوق مخاطر الأمن السيبراني".

إلو أين سيقودنا هذا الأمر؟

ما تقدم يصف إلى حد كبير الحقائق كما نعرفها في الجمهور. بصفتي شخصًا كان متورطًا في تطوير نظام المراقبة عن بعد لجهاز قابل للزرع الأول (وليس سانت جود) ، فإنني أفسر كل هذا على النحو التالي: يبدو من المؤكد أن هناك نقاط ضعف في مجال الأمن السيبراني في نظام سانت جود للمراقبة عن بعد ، ويبدو أن هذه الثغرات لم تكن عادية بالنسبة للصناعة بشكل عام. (وهكذا ، يبدو أن نفي سانت جود الأولي قد تم تضخيمه).

وعلاوة على ذلك ، من الواضح أن سانت جود تحرك بسرعة لمعالجة هذا الضعف ، بالعمل بالتعاون مع إدارة الأغذية والعقاقير ، وأن هذه الخطوات كانت في نهاية المطاف مرضية من قبل إدارة الأغذية والعقاقير. في الواقع ، إذا حكمنا من خلال تعاون إدارة الأغذية والأدوية FDA وحقيقة أن الضعف قد تم التعامل معه بشكل كاف عن طريق تصحيح البرامج ، فإن مشكلة سانت جود تبدو غير قاسية كما كان يُدعى السيد بلوك في عام 2016. ( لذا ، يبدو أن تصريحات السيد بلوك الأولية مبالغ فيها). وعلاوة على ذلك ، تم إجراء التصحيحات قبل أن يتضرر أي شخص.

ما إذا كان تضارب المصالح العلني للسيد بلوك (حيث أدى انخفاض سعر سهم سانت جود إلى صافره) ، ربما جعله يشرف على المخاطر المحتملة المحتملة على الإنترنت ، ولكن هذه مسألة يجب أن تحددها المحاكم .

في الوقت الحالي ، يبدو من المرجح أنه مع تطبيق تصحيح البرامج التصحيحية ، ليس لدى الأشخاص الذين لديهم أجهزة سانت جود أي سبب معين لأن يكونوا قلقين بشأن هجمات القرصنة.

لماذا أجهزة القلب القابلة للغرس عرضة للهجوم عبر الإنترنت؟

في الوقت الحالي ، يدرك معظمنا أن أي جهاز رقمي نستخدمه في حياتنا يتضمن اتصالات لاسلكية هو على الأقل نظريًا عرضة للهجمات الإلكترونية. يتضمن ذلك أي جهاز طبي قابل للزرع ، وكله يجب أن يتصل بشكل لاسلكي مع العالم الخارجي (أي العالم خارج الجسم).

إن احتمال أن الناس أو الجماعات التي تصر على الشر قد يتسلل إلى الأجهزة الطبية ، أصبح في السنوات القليلة الماضية يشكل تهديدًا حقيقيًا. في ضوء ذلك ، فإن الدعاية المحيطة بمواطن الضعف في سانت جود كان لها تأثير إيجابي. من الواضح أن كلا من صناعة الأجهزة الطبية و FDA أصبحا الآن جديين في هذا التهديد ، ويعملان الآن بقوة كبيرة لمواجهته.

ما الذي تفعله إدارة الأغذية والأدوية FDA حول المشكلة؟

تركز اهتمام إدارة الغذاء والدواء الأمريكية حديثًا على هذه المشكلة ، ويرجع ذلك في الغالب إلى الجدل الدائر حول أجهزة سانت جود. في ديسمبر عام 2016 ، أصدرت إدارة الغذاء والدواء الأمريكية وثيقة "توجيه" من 30 صفحة لمصنعي الأجهزة الطبية ، حيث وضعت مجموعة جديدة من القواعد للتعامل مع الثغرات الأمنية في الأجهزة الطبية الموجودة بالفعل في السوق. (نُشرت قواعد مماثلة للمنتجات الطبية التي لا تزال قيد التطوير في عام 2014). وتصف القواعد الجديدة كيف ينبغي أن يشرع المصنعون في تحديد نقاط ضعف الأمن السيبراني وتحديدها في المنتجات المسوقة ، وكيفية إنشاء برامج لتحديد المشاكل الأمنية الجديدة والإبلاغ عنها.

الخط السفلي

ونظراً للمخاطر الإلكترونية المرتبطة أصلاً بأي نظام اتصالات لاسلكي ، فإن درجة معينة من الضعف السيبراني أمر لا مفر منه مع الأجهزة الطبية القابلة للزرع. ولكن من المهم معرفة أن الدفاعات يمكن أن تُبنى في هذه المنتجات لجعل القرصنة مجرد إمكانية بعيدة ، وحتى السيد بلوك يوافق على أن ذلك يحدث في معظم الشركات. إذا كان سانت جود مرتبكًا إلى حد ما في هذا الشأن ، يبدو أن الشركة تعافت منه بسبب الدعاية السلبية التي تلقتها في عام 2016 ، والتي كانت تهدد نشاطها التجاري لفترة من الزمن. من بين أشياء أخرى ، كلف سانت جود مجلسًا استشاريًا طبيًا مستقلاً للأمن السيبراني للإشراف على جهوده في المستقبل. من المحتمل أن تحذو شركات الأجهزة الطبية الأخرى حذوها. وبالتالي ، فإن كل من FDA ومصنعي الأجهزة الطبية يتعاملون مع هذه المسألة بقوة أكبر.

يجب على الأشخاص الذين قاموا بزرع أجهزة ضبط نبضات القلب أو أجهزة ICDs أو أجهزة CRT الانتباه بالتأكيد إلى قضية ضعف الإنترنت ، حيث من المرجح أن نسمع المزيد عن ذلك مع مرور الوقت. ولكن في الوقت الراهن ، على الأقل ، يبدو أن المخاطر صغيرة للغاية ، ومن المؤكد أن منافع مراقبة الأجهزة عن بعد تفوقها.

> المصادر:

> FDA. تم التعرف على نقاط الضعف في الأمن السيبراني في أجهزة القلب القابلة للزراعة في سانت جود الطبية ومرسل المنزل ميرلين @: FDA Safety Communication. 9 من كانون الثاني 2017.

> مودى ووترز. MW بيان بشأن الاعتراف STJ / ABT من نقاط ضعف الإنترنت. نشرة صحفية 9 يناير 2017.

> سانت جود الطبية. St Jude Medical تعلن عن تحديثات الأمن السيبراني الصحفي. 9 من كانون الثاني 2017.