의료 기기의 성 주드 (St. Jude)와 사이버 (Cyber) 취약성
2016 년 후반과 2017 년 초에는 나쁜 의도를 가진 사람들이 잠재적으로 개인의 이식 가능한 의료 기기를 해킹하여 심각한 문제를 일으킬 수 있다는 유령이 제기되었습니다. 특히, 해당 장치는 St. Jude Medical, Inc.에서 판매하고 있으며 심박 조율기 및 심장 블록 을 치료하는 심장 박동기 , 심실 성 빈맥 및 심실 세동 치료를위한 이식 가능한 제세 동기 (ICD) 및 CRT 장치를 포함합니다. 심장 마비 치료).
이 보도 자료는이 의료 기기를 가지고있는 사람들 사이에 충분한 이슈를 제기하지 않고 두려움을 제기했을 수도 있습니다.
이식 된 심장 장치가 사이버 공격의 위험에 처해 있습니까? 예. 무선 통신을 포함하는 디지털 장치는 맥박 조정기, ICD 및 CRT 장치를 포함하여 이론적으로 취약합니다. 그러나 지금까지 이러한 이식 된 장치에 대한 실제 사이버 공격은 문서화 된 적이 없습니다. 그리고 (해킹, 의료 기기 및 정치인에 대한 최근의 홍보 덕분에) FDA 및 기기 제조업체는 현재 이러한 취약점을 패치하기 위해 열심히 노력하고 있습니다.
세인트 주드 심장 기기 및 해킹
이 이야기는 유명한 유료 숏 셀러 카슨 블록 (Carson Block)이 St. Jude가 해킹에 매우 취약한 수십만 개의 이식 형 맥박 조정기, 제세 동기 및 CRT 장치를 판매 한 것으로 공개 한 2016 년 8 월에 처음으로 파산되었습니다.
Block은 자신이 소속 된 사이버 보안 회사 (MedSec Holdings, Inc.)가 집중적 인 조사를 한 결과 St. Jude 장치가 해킹에 고유하게 취약하다는 사실을 발견했습니다 (Medtronic, Boston Scientific 및 기타 회사).
특히 세인트 주드 시스템은 다른 업계에서 흔히 사용하는 안티 - 변조 (anti-tampering) 장치, 암호화 및 안티 디버깅 도구와 같은 "가장 기본적인 보안 방어 장치가 없었습니다"라고 말했습니다.
혐의를받은 취약성은 이러한 모든 장치가 원격으로 모니터링 한 무선 모니터링과 관련이 있습니다. 이러한 무선 모니터링 시스템은 부상을 입히기 전에 부상하는 장치 문제를 자동으로 감지하고 이러한 문제를 즉시 의사에게 알리도록 설계되었습니다. 현재 모든 장치 제조업체가 사용하고있는이 원격 모니터링 기능은 이러한 제품이있는 환자의 안전을 크게 향상시키기 위해 문서화되었습니다. 세인트 주드의 원격 모니터링 시스템은 "Merlin.net"이라고합니다.
블록의 주장은 꽤 훌륭했으며 세인트 주드의 주식 가격이 즉각적으로 하락했다. 정확히 블록의 목표였다. St. Jude에 대한 주장을하기 전에 Block의 회사 (Muddy Waters, LLC)는 St. Jude에서 주요 단리를했습니다. 이것은 세인트 주드의 주식이 크게 떨어지면 블록의 회사가 수백만 달러를 버는 것을 의미했고, 애보트 랩이 합의한 인수를하기에 충분할 정도로 낮았다.
블룸버그 대법관은 블룸버그 대법관이 블룸버그 통신에 기고 한 성명을 통해 블룸버그 통신이 블룸버그 통신에 기고 한 성명을 통해 " 주가. 그 사이에, 독립적 인 수사관은 St. Jude 취약성 질문을보고 다른 결론에 도달했습니다. 한 그룹은 St. Jude의 장치가 특히 사이버 공격에 취약하다는 것을 확인했습니다. 다른 그룹은 그렇지 않다고 결론을 내렸다. 전체 쟁점은 FDA의 무릎에서 떨어 졌는데, 이는 활발한 조사를 시작했으며, 몇 달 동안이 사실을 거의 듣지 못했다.
그 기간 동안 세인트 주드의 주식은 손실 된 가치의 상당 부분을 회복했으며, 2016 년 말에 애보트의 인수가 성공적으로 완료되었습니다.
그런 다음 2017 년 1 월에 두 가지 일이 동시에 일어났습니다. 첫째, FDA는 St. Jude 의료 기기에 실제로 사이버 보안 문제가 있음을 나타내는 성명서를 발표했으며,이 취약점은 실제로 환자에게 해로울 수있는 사이버 침입과 악용을 가능하게합니다. 그러나 FDA는 해킹이 실제로 어떤 개인에게도 일어났다는 어떠한 증거도 발견되지 않았다고 지적했다.
둘째, 성 주드 (Jude)는 이식 가능한 장치를 해킹 할 가능성을 크게 줄이기 위해 고안된 사이버 보안 소프트웨어 패치를 발표했습니다. 이 소프트웨어 패치는 St. Jude의 Merlin.net에서 자동 및 무선으로 설치되도록 고안되었습니다. FDA는 "이 장치를 계속 사용하는 환자의 건강상의 이익은 사이버 보안 위험을 능가하기 때문에이 장치가있는 환자는 St Jude의 무선 모니터링 시스템을 계속 사용하도록 권장했다"고 밝혔다.
이것이 우리를 남겨둔 곳입니까?
위의 내용은 우리가 대중들에게 알 수있는 사실을 거의 설명합니다. St. Jude 's가 아닌 최초의 이식 형 장치 원격 모니터링 시스템의 개발에 깊이 관여 된 사람으로서, 나는 다음과 같은 방식으로이 모든 것을 해석합니다. St. Jude 원격 모니터링 시스템에 실제로 사이버 보안 취약점이있는 것으로 확신합니다 이러한 취약점은 업계 전반에 걸쳐 비정상적인 것으로 보입니다. (세인트 주드의 초기 부인은 과장된 것으로 보인다.)
또한, 세인트 주드 (Jude)가 FDA와 협력하여이 취약점을 신속하게 해결했으며, 이러한 단계가 FDA에 의해 궁극적으로 만족스럽게 여겨 졌음이 분명합니다. 사실, FDA의 협력과 취약점이 소프트웨어 패치를 통해 충분히 처리되었다는 사실로 판단 할 때, St Jude의 문제는 2016 년에 Mr. Block이 주장한 것만 큼 심각하지는 않습니다. 그래서 블럭 씨의 초기 진술은 과장된 것처럼 보입니다.) 또한, 누구든지 해를 입기 전에 수정이 이루어졌습니다.
블록의 명백한 이해 상충 (세인트 주드의 주가 하락으로 막대한 손실을 낳았 음)이 잠재적 인 사이버 위험의 가능성을 과소 평가하게 만들었지 만, 이는 법원이 결정할 문제입니다 .
현재로서는 올바른 소프트웨어 패치가 적용되어 세인트 쥬드 장치를 사용하는 사람들이 해킹 공격에 지나치게 염려 할 특별한 이유가없는 것으로 보입니다.
이식 할 수있는 심장 장치가 사이버 공격에 취약한 이유는 무엇입니까?
이제 우리 대부분은 우리가 일상 생활에서 무선 통신을 사용하는 모든 디지털 장치가 이론적으로 사이버 공격에 취약하다는 것을 알고 있습니다. 여기에는 이식 가능한 의료 기기가 포함됩니다.이 의료 기기는 모두 외부 세계 (즉, 신체 외부의 세계)와 무선으로 통신해야합니다.
지난 몇 년간 악의에 시달린 사람들이나 집단이 실제로 의료 기기를 해킹 할 가능성은 더 큰 위협으로 보입니다. 이 점에서 세인트 주드 취약점을 둘러싼 공표가 긍정적 인 영향을 미쳤을 수도 있습니다. 의료 기기 산업과 FDA가 현재이 위협에 대해 매우 심각하며 현재이를 충족시키기 위해 중요한 활력을 가지고 행동하고 있다는 것이 명백합니다.
문제에 대해 FDA는 무엇을하고 있습니까?
FDA의 관심은 새로이이 문제에 중점을 두었고, 대부분 세인트 주드 기기에 대한 논란 때문에 가능할 것으로 보인다. 2016 년 12 월 FDA는 이미 의료 기기 제조사를 위해 30 페이지 분량의 "지침"문서를 발표하고 이미 시장에 나와있는 의료 기기의 사이버 취약점을 해결하기위한 새로운 규칙을 마련했습니다. 새로운 규칙은 제조사가 시판 제품의 사이버 보안 취약점을 확인하고 수정하는 방법과 새로운 보안 문제를 식별하고보고하는 프로그램을 수립하는 방법을 설명합니다.
결론
본질적으로 모든 무선 통신 시스템과 관련된 사이버 위험을 감안할 때 이식 형 의료 기기에는 어느 정도의 사이버 취약점이 불가피합니다. 그러나 해킹을 원격으로 해킹하기 위해 이러한 제품에 방어 기능을 내장 할 수 있다는 사실을 아는 것이 중요합니다. 심지어 Block 씨도 대부분의 회사에서 이러한 일이 발생했다고 동의합니다. 세인트 주드 (St. Jude)가 이전에이 문제에 관해 다소 어리 석음이라면, 회사는 심각하게 자신의 사업을 위협하는 2016 년에받은 부정적인 홍보로이 문제를 해결 한 것처럼 보입니다. 다른 한편으로, 세인트 주드 (St. Jude)는 앞으로의 노력을 감독 할 독립적 인 사이버 시큐리티 자문위원회 (Cyber Security Medical Advisory Board)에 위임했다. 다른 의료 기기 회사도이를 따를 것으로 보인다. 따라서 FDA와 의료 장비 제조업체 모두 활발한 대응으로이 문제를 해결하고 있습니다.
심박 조율기, ICD 또는 CRT 장치를 이식 한 사람들은 사이버 취약성 문제에 관심을 기울여야합니다. 시간이 지날수록 더 많은 정보를들을 수 있기 때문입니다. 그러나 지금은 적어도 위험은 매우 적고 원격 장치 모니터링의 이점보다 확실히 중요합니다.
> 출처 :
> FDA. St. Jude Medical의 이식 가능한 심장 장치 및 Merlin @ home 송신기에서 확인 된 사이버 보안 취약점 : FDA 안전 통신. 2017 년 1 월 9 일
> 머디 워터스. 사이버 취약성에 대한 STJ / ABT 승인에 관한 MW 선언문. 2017 년 1 월 9 일 보도 자료.
> St Jude Medical. St Jude Medical, Cybersecurity Updates 보도 자료 발표 2017 년 1 월 9 일