FDA tilsyn avgjørende firmware oppdatering i OSS til å patch sikkerhetshull og hindre kapring av implantert pacemaker i halv million mennesker
@alexhern
Torsdag 31. August 2017 13.23 BST
Sist endret torsdag 31. August 2017 13.25 BST
Nesten en halv million pacemakere har blitt tilbakekalt av US Food and Drug Administration (FDA) på grunn av frykt for at deres lax cybersecurity kan bli hacket til å kjøre batterier ned eller selv endre pasientens hjerterytme.
De husker ikke se pacemakere fjernet, noe som ville være en invasiv og farlig medisinsk prosedyre for 465,000 folk som har dem det: i stedet, produsenten har utstedt en firmware-oppdatering som vil bli brukt av medisinsk personell for å dekke den sikkerhetshull.
Seks typer av pacemakeren, alle laget av healthtech fast Abbott og selges under St. Jude Medical merkevare, er berørt av tilbakekallingen. De er alle radio-kontrollerte implanterbare pacemakere, vanligvis montert på pasienter med langsom eller uregelmessig hjerteslag, så vel som de som er utvinne fra hjertesvikt.
Det har vært noen rapporter om uautorisert tilgang til pasientens implantert enhet, i henhold til Abbed. FDA sier at sårbarheten gjør det mulig for en uautorisert bruker å få tilgang til en enhet ved hjelp av kommersielt tilgjengelig utstyr og omprogrammere den. Hackere kan deretter bevisst kjøre batteriet er tomt, eller opptreden “administrasjon av upassende pacing”. Begge kan i verste fall resultere i døden av en påvirket pasient.
The US Department of Homeland Security sa at “det anbefales at helsepersonell diskutere denne oppdateringen med sine pasienter, og nøye vurdere den potensielle risikoen for en cybersecurity angrep sammen med risiko for å utføre en firmware-oppdatering”.
Robert Ford, executive vice president for medisinsk utstyr Abbott, sa: “Alle bransjer trenger å være konstant på vakt mot uautorisert tilgang. Dette er ikke en statisk prosess, og det er derfor vi jobber med andre i helse-og omsorgssektoren for å sikre at vi aktivt for å håndtere felles emner for å ytterligere fremme sikkerhet av enheter og systemer.”
Det var andre runde av oppdateringer for hjertet implantater som Abbott har annonsert siden å kjøpe medisinsk enhet maker St. Jude Medical tidligere i år.
Svakhetene ble oppdaget av MedSec, en cybersecurity firmaet som spesialiserer seg i å forske sårbarheter i medisinsk utstyr og helsetjenester bransjer. Det er ikke første svakheter selskapet har funnet i St. Jude Medical produkter, og det hadde tidligere vært målet for et søksmål fra SJM for å avsløre slike sårbarheter.
Dette er andre runde med oppdateringer for hjertet implantater utstedt av Abbott siden det ble kjøpt SJM i januar dette året.
MedSec hit overskrifter i 2016 for sin ukonvensjonelle tilnærming til informasjonssikkerhet. På å oppdage feil i St. Jude Medical enheter, er det delte informasjon med et verdipapirforetak, Muddy Waters Kapital, som deretter kort-selges aksjen i håp om å få penger fra den eventuelle økonomiske hit selskapet ville ta når problemene ble offentliggjort.
“Vi erkjenner at vår avreise fra tradisjonelle cybersecurity praksis vil trekke kritikk, men vi tror dette er den eneste måten å anspore St. Jude Medical inn i handlingen,” selskapets administrerende direktør, Justine Bein, sa på den tiden.
- Anta selvkjørende biler er en hacker drøm? Tro om igjen