St. Jude e Vulnerabilidade Cibernética de Dispositivos Médicos
No final de 2016 e início de 2017, os noticiários levantaram o espectro de que as pessoas com más intenções poderiam invadir o dispositivo médico implantável de um indivíduo e causar sérios problemas. Especificamente, os dispositivos em questão são comercializados pela St. Jude Medical, Inc., e incluem marca - passos (que tratam bradicardia sinusal e bloqueio cardíaco ), desfibriladores implantáveis (ICDs) (que tratam taquicardia ventricular e fibrilação ventricular ) e dispositivos CRT (que tratar insuficiência cardíaca ).
Essas notícias podem ter gerado temores entre as pessoas que possuem esses dispositivos médicos sem colocar a questão em perspectiva suficiente.
Dispositivos cardíacos implantados estão em risco de ataques cibernéticos? Sim, porque qualquer dispositivo digital que inclua comunicação sem fio é pelo menos teoricamente vulnerável, incluindo marca-passos, ICDs e dispositivos CRT. Mas até agora, um ataque cibernético real contra qualquer um desses dispositivos implantados nunca foi documentado. E (graças em grande parte à recente publicidade sobre hacking, tanto de dispositivos médicos quanto de políticos), a FDA e os fabricantes de dispositivos agora estão trabalhando duro para corrigir essas vulnerabilidades.
Dispositivos cardíacos St. Jude e Hacking
A história surgiu pela primeira vez em agosto de 2016, quando o famoso vendedor de carros Carson Block anunciou publicamente que a St. Jude vendia centenas de milhares de marcapassos implantáveis, desfibriladores e dispositivos CRT extremamente vulneráveis a hackers.
Block disse que uma empresa de segurança cibernética com a qual ele era afiliado (MedSec Holdings, Inc.) fez uma investigação intensiva e descobriu que os aparelhos St. Jude eram especialmente vulneráveis a hacking (em oposição aos mesmos tipos de dispositivos médicos vendidos pela Medtronic, Boston Scientific e outras empresas).
Em particular, disse Block, os sistemas St. Jude “não tinham nem mesmo as mais básicas defesas de segurança”, como dispositivos anti-adulteração, criptografia e ferramentas anti-depuração, do tipo comumente usado pelo resto da indústria.
A suposta vulnerabilidade estava relacionada ao monitoramento remoto sem fio que todos esses dispositivos incorporaram a eles. Esses sistemas de monitoramento sem fio são projetados para detectar automaticamente problemas emergentes de dispositivos antes que eles possam causar danos e comunicar esses problemas imediatamente ao médico. Este recurso de monitoramento remoto, agora empregado por todos os fabricantes de dispositivos, foi documentado para melhorar significativamente a segurança dos pacientes que possuem esses produtos. O sistema de monitoramento remoto da St. Jude é chamado de “Merlin.net”.
As alegações de Block foram bastante espetaculares e causaram uma queda imediata no preço das ações da St. Jude - que era precisamente o objetivo declarado de Block. É digno de nota que, antes de fazer suas alegações sobre a St. Jude, a empresa de Block (Muddy Waters, LLC) havia assumido uma grande posição vendida em St. Jude. Isso significava que a empresa de Block ganharia milhões de dólares se a ação da St. Jude caísse substancialmente e permanecesse baixa o suficiente para eliminar uma aquisição acordada pela Abbott Labs.
Após o ataque bem divulgado de Block, St Jude imediatamente revidou com press releases fortemente expressos no sentido de que as alegações de Block eram "absolutamente falsas". St. Jude também processou Muddy Waters, LLC por supostamente disseminar informações falsas para manipular St. Jude's preços das ações. Enquanto isso, investigadores independentes analisaram a questão da vulnerabilidade de St. Jude e chegaram a conclusões diferentes. Um grupo confirmou que os dispositivos da St. Jude eram particularmente vulneráveis ao ataque cibernético; outro grupo concluiu que não eram. Toda a questão foi descartada no colo do FDA, que lançou uma investigação vigorosa, e pouco se ouviu sobre o assunto por vários meses.
Durante esse período, as ações da St. Jude recuperaram grande parte do seu valor perdido, e no final de 2016 a aquisição pela Abbott foi concluída com sucesso.
Então, em janeiro de 2017, duas coisas aconteceram simultaneamente. Primeiro, a FDA divulgou uma declaração indicando que, de fato, havia problemas de segurança cibernética com os dispositivos médicos da St. Jude, e que essa vulnerabilidade poderia de fato permitir intrusões cibernéticas e explorações que poderiam ser prejudiciais aos pacientes. No entanto, o FDA apontou que nenhuma evidência foi encontrada que o hacking tenha realmente ocorrido em qualquer indivíduo.
Em segundo lugar, St. Jude lançou um patch de software de segurança cibernética projetado para diminuir significativamente a possibilidade de invadir seus dispositivos implantáveis. O patch de software foi projetado para se instalar de forma automática e sem fio, no Merlin.net da St. Jude. A FDA recomendou que os pacientes que têm esses dispositivos continuem a usar o sistema de monitoramento sem fio da St Jude, já que “os benefícios de saúde para os pacientes do uso continuado do dispositivo superam os riscos de segurança cibernética”.
Onde isso nos deixa?
O que foi descrito acima descreve os fatos como nós, no público, os conhecemos. Como alguém que estava intimamente envolvido com o desenvolvimento do primeiro sistema de monitoramento remoto de dispositivos implantáveis (não do St. Jude), interpreto tudo isso da seguinte maneira: Parece certo que realmente havia vulnerabilidades de segurança cibernética no sistema de monitoramento remoto St. Jude. e essas vulnerabilidades parecem ter sido fora do comum para o setor como um todo. (Assim, as negativas iniciais de St. Jude parecem ter sido exageradas.)
Além disso, é evidente que a St. Jude agiu rapidamente para remediar essa vulnerabilidade, trabalhando em conjunto com a FDA, e que essas etapas foram consideradas satisfatórias pelo FDA. De fato, a julgar pela cooperação da FDA e pelo fato de que a vulnerabilidade foi suficientemente tratada por meio de um patch de software, o problema da St. Jude parece não ser tão severo quanto o alegado por Block em 2016. ( Então, as declarações iniciais do Sr. Block parecem ter sido exageradas). Além disso, as correções foram feitas antes que alguém fosse prejudicado.
Se o conflito de interesses manifesto do Sr. Block (pelo qual a queda do preço das ações da St. Jude chegou a lhe render muito dinheiro), poderia tê-lo exagerado os possíveis riscos cibernéticos possíveis, mas isso é uma questão para os tribunais determinarem .
Por enquanto, parece provável que, com o patch de software corretivo aplicado, as pessoas com dispositivos St. Jude não têm nenhuma razão específica para se preocupar excessivamente com ataques de hackers.
Por que os dispositivos cardíacos implantáveis são vulneráveis ao ataque cibernético?
Até agora, a maioria de nós percebe que qualquer dispositivo digital que usamos em nossas vidas que envolva comunicação sem fio é pelo menos teoricamente vulnerável ao ataque cibernético. Isso inclui qualquer dispositivo médico implantável, que deve se comunicar sem fio com o mundo exterior (isto é, o mundo fora do corpo).
A possibilidade de que pessoas ou grupos empenhados no mal possam invadir dispositivos médicos, nos últimos anos, parece ser uma ameaça real. Sob essa luz, a publicidade em torno das vulnerabilidades do St. Jude pode ter tido um efeito positivo. Está claro que tanto a indústria de dispositivos médicos quanto a FDA agora estão muito preocupadas com essa ameaça e agora estão agindo com vigor significativo para enfrentá-la.
O que o FDA está fazendo sobre o problema?
A atenção do FDA foi recentemente focada nesta questão, provavelmente em grande parte devido à controvérsia sobre os dispositivos St. Jude. Em dezembro de 2016, a FDA divulgou um documento de “orientação” de 30 páginas para fabricantes de dispositivos médicos, estabelecendo um novo conjunto de regras para lidar com vulnerabilidades cibernéticas em dispositivos médicos que já estão no mercado. (Regras similares para produtos médicos ainda em desenvolvimento foram publicadas em 2014.) As novas regras descrevem como os fabricantes devem identificar e corrigir vulnerabilidades de segurança cibernética em produtos comercializados e como estabelecer programas para identificar e relatar novos problemas de segurança.
The Bottom Line
Dados os riscos cibernéticos inerentemente associados a qualquer sistema de comunicação sem fio, algum grau de vulnerabilidade cibernética é inevitável com dispositivos médicos implantáveis. Mas é importante saber que as defesas podem ser incorporadas a esses produtos para tornar o hacking apenas uma possibilidade remota, e até mesmo o Sr. Block concorda que para a maioria das empresas isso aconteceu. Se St. Jude foi um pouco negligente sobre este assunto, a empresa parece ter sido curada pela publicidade negativa que recebeu em 2016, que por um tempo ameaçou seriamente seus negócios. Entre outras coisas, a St. Jude contratou um Conselho Consultivo Médico de Segurança Cibernética independente para supervisionar seus esforços no futuro. Outras empresas de dispositivos médicos provavelmente seguirão o exemplo. Assim, tanto a FDA quanto os fabricantes de dispositivos médicos estão lidando com a questão com maior vigor.
As pessoas que implantaram marcapassos, CDIs ou dispositivos CRT certamente devem prestar atenção à questão da vulnerabilidade cibernética, já que provavelmente ouviremos mais sobre ela com o passar do tempo. Mas, por enquanto, pelo menos, o risco parece ser bem pequeno, e certamente é superado pelos benefícios do monitoramento de dispositivos remotos.
> Fontes:
> FDA. Vulnerabilidades de Segurança Cibernética Identificadas nos Dispositivos Cardíacos Implantáveis da St. Jude Medical e no Transmissor Merlin @ home: Comunicação de Segurança da FDA. 9 de janeiro de 2017.
> Águas Enlameadas. Declaração MW sobre o reconhecimento de vulnerabilidades cibernéticas do STJ / ABT. Comunicado de imprensa 9 de janeiro de 2017.
> St Jude Medical. St Jude Medical anuncia o comunicado de imprensa da Cybersecurity Updates. 9 de janeiro de 2017.