St. Jude et Cyber Vulnérabilité des Dispositifs Médicaux
À la fin de 2016 et au début de 2017, des reportages ont fait croire que les personnes mal intentionnées pourraient potentiellement pirater le dispositif médical implantable d'un individu et causer de graves problèmes. Les dispositifs en question sont commercialisés par St. Jude Medical, Inc. et comprennent des stimulateurs cardiaques (qui traitent la bradycardie sinusale et le blocage cardiaque ), des défibrillateurs implantables (qui traitent la tachycardie ventriculaire et la fibrillation ventriculaire ) et des dispositifs CRT (qui traiter l' insuffisance cardiaque ).
Ces nouvelles peuvent avoir suscité des craintes parmi les personnes qui ont ces dispositifs médicaux sans placer le problème dans une perspective suffisante.
Les appareils cardiaques implantés sont-ils à risque de cyberattaques? Oui, car tout appareil numérique incluant une communication sans fil est au moins théoriquement vulnérable, y compris les stimulateurs cardiaques, les DAI et les appareils CRT. Mais jusqu'à présent, une cyberattaque réelle contre l'un de ces appareils implantés n'a jamais été documentée. Et (grâce en grande partie à la récente publicité sur le piratage, à la fois des dispositifs médicaux et des politiciens), la FDA et les fabricants d'appareils travaillent maintenant dur pour corriger ces vulnérabilités.
St. Jude Cardiac Devices et le piratage
L'histoire a commencé en août 2016 lorsque le célèbre vendeur à découvert Carson Block a publiquement annoncé que St. Jude avait vendu des centaines de milliers de pacemakers implantables, défibrillateurs et dispositifs CRT qui étaient extrêmement vulnérables au piratage.
Block a déclaré qu'une société de cybersécurité avec laquelle il était affilié (MedSec Holdings, Inc.) avait mené une enquête approfondie et a découvert que les appareils de St. Jude étaient particulièrement vulnérables au piratage (contrairement aux appareils médicaux du même type vendus par Medtronic, Boston Scientific et d'autres sociétés).
En particulier, dit Block, les systèmes de St. Jude "manquaient même des défenses de sécurité les plus basiques", tels que des dispositifs anti-sabotage, des outils de chiffrement et d'anti-débogage, du type couramment utilisé par le reste de l'industrie.
La vulnérabilité présumée était liée à la surveillance à distance et sans fil de tous ces appareils. Ces systèmes de surveillance sans fil sont conçus pour détecter automatiquement les problèmes émergents des appareils avant qu'ils ne puissent causer des dommages et communiquer immédiatement ces problèmes au médecin. Cette fonction de surveillance à distance, désormais utilisée par tous les fabricants d'appareils, a été documentée pour améliorer de manière significative la sécurité des patients qui ont ces produits. Le système de surveillance à distance de St. Jude s'appelle "Merlin.net".
Les allégations de Block étaient plutôt spectaculaires et provoquèrent une chute immédiate du cours de l'action de St. Jude, ce qui était précisément l'objectif déclaré de Block. À noter, avant de faire ses allégations sur St. Jude, la compagnie de Block (Muddy Waters, LLC), avait pris une position courte importante à St. Jude. Cela signifiait que la société de Block se tenait à faire des millions de dollars si le titre de St. Jude baissait considérablement, et restait assez bas pour scotcher une acquisition convenue par Abbott Labs.
St Jude a immédiatement riposté avec des communiqués de presse fortement formulés à l'effet que les allégations de Block étaient «absolument fausses». St. Jude a également poursuivi Muddy Waters, LLC pour avoir prétendument diffusé de fausses informations afin de manipuler St. Jude's. cours de la bourse. Pendant ce temps, des enquêteurs indépendants ont examiné la question de la vulnérabilité de St. Jude et sont parvenus à des conclusions différentes. Un groupe a confirmé que les appareils de St. Jude étaient particulièrement vulnérables aux cyberattaques; un autre groupe a conclu qu'ils ne l'étaient pas. L'ensemble de la question a été abandonnée dans le giron de la FDA, qui a lancé une enquête vigoureuse, et on en a peu entendu parler depuis plusieurs mois.
Pendant cette période, l'action de St. Jude a récupéré une grande partie de sa valeur perdue et, fin 2016, l'acquisition par Abbott a été conclue avec succès.
Puis, en janvier 2017, deux choses se sont passées simultanément. Tout d'abord, la FDA a publié une déclaration indiquant qu'il y avait effectivement des problèmes de cybersécurité avec les dispositifs médicaux St. Jude, et que cette vulnérabilité pourrait en effet permettre des cyber-intrusions et des exploits qui pourraient s'avérer nuisibles pour les patients. Cependant, la FDA a souligné qu'aucune preuve n'a été trouvée que le piratage avait effectivement eu lieu chez un individu.
Deuxièmement, St. Jude a publié un correctif logiciel de cybersécurité conçu pour réduire considérablement la possibilité de piratage dans leurs appareils implantables. Le correctif logiciel a été conçu pour s'installer automatiquement et sans fil, sur Merlin.net de St. Jude. La FDA a recommandé que les patients qui ont ces dispositifs continuent d'utiliser le système de surveillance sans fil de St Jude, car «les avantages pour la santé des patients de l'utilisation continue de l'appareil l'emportent sur les risques de cybersécurité».
Où cela nous laisse-t-il?
Ce qui précède décrit à peu près les faits tels que nous les connaissons dans le public. En tant que personne impliquée dans le développement du premier système de télésurveillance implantable (pas St. Jude's), j'interprète tout ceci de la manière suivante: Il semble certain qu'il y avait effectivement des vulnérabilités de cybersécurité dans le système de surveillance à distance de St. Jude. , et ces vulnérabilités semblent avoir été hors de l'ordinaire pour l'industrie dans son ensemble. (Ainsi, les démentis initiaux de St. Jude semblent avoir été exagérés.)
En outre, il est évident que St. Jude s'est déplacé rapidement pour remédier à cette vulnérabilité, en collaboration avec la FDA, et que ces mesures ont finalement été jugées satisfaisantes par la FDA. En fait, à en juger par la coopération de la FDA et le fait que la vulnérabilité a été suffisamment traitée au moyen d'un correctif logiciel, le problème de St. Jude semble ne pas être aussi grave que l'avait prétendu M. Block en 2016. ( Ainsi, les déclarations initiales de M. Block semblent avoir été exagérées). De plus, les corrections ont été faites avant que quelqu'un ne soit blessé.
Si le conflit d'intérêts manifeste de M. Block (par lequel baisser le prix de l'action de St. Jude lui permettait de dégager beaucoup d'argent) l'aurait peut-être poussé à surévaluer les risques potentiels de cyberrisques, mais c'est une question à déterminer par les tribunaux. .
Pour l'instant, il semble probable que, avec le correctif logiciel correctif appliqué, les personnes avec des appareils St. Jude n'ont pas de raison particulière d'être trop préoccupé par les attaques de piratage.
Pourquoi les appareils cardiaques implantables sont-ils vulnérables aux cyberattaques?
À l'heure actuelle, la plupart d'entre nous réalisons que tout appareil numérique que nous utilisons dans nos vies et qui implique une communication sans fil est au moins théoriquement vulnérable à la cyberattaque. Cela inclut tout dispositif médical implantable, qui doivent tous communiquer sans fil avec le monde extérieur (c'est-à-dire le monde en dehors du corps).
La possibilité que des personnes ou des groupes qui se penchent sur le mal puissent effectivement pirater des dispositifs médicaux a, ces dernières années, semblé constituer une menace réelle. À cet égard, la publicité entourant les vulnérabilités de St. Jude a peut-être eu un effet positif. Il est clair que l'industrie des dispositifs médicaux et la FDA sont maintenant très sérieux face à cette menace et agissent maintenant avec une vigueur considérable pour y faire face.
Que fait la FDA à propos du problème?
L'attention de la FDA a été récemment focalisée sur cette question, probablement en grande partie en raison de la controverse sur les appareils de St. Jude. En décembre 2016, la FDA a publié un document d'orientation de 30 pages destiné aux fabricants d'appareils médicaux, établissant un nouvel ensemble de règles pour lutter contre les cyber-vulnérabilités dans les dispositifs médicaux déjà sur le marché. (Des règles similaires pour les produits médicaux en cours de développement ont été publiées en 2014.) Les nouvelles règles décrivent comment les fabricants doivent identifier et corriger les vulnérabilités de cybersécurité dans les produits commercialisés, et comment établir des programmes pour identifier et signaler les nouveaux problèmes de sécurité.
La ligne de fond
Compte tenu des risques cybernétiques inhérents à tout système de communication sans fil, un certain degré de vulnérabilité cybernétique est inévitable avec les dispositifs médicaux implantables. Mais il est important de savoir que des défenses peuvent être intégrées à ces produits pour faire du piratage une possibilité lointaine, et même M. Block convient que cela s'est produit pour la plupart des entreprises. Si St. Jude a déjà été un peu laxiste à ce sujet, la société semble avoir été guérie par la publicité négative qu'ils ont reçue en 2016, ce qui a pendant un moment sérieusement menacé leur entreprise. Entre autres choses, St. Jude a mandaté un conseil consultatif médical indépendant sur la cybersécurité pour superviser ses efforts à l'avenir. D'autres sociétés de dispositifs médicaux sont susceptibles de faire de même. Ainsi, à la fois la FDA et les fabricants de dispositifs médicaux abordent la question avec une vigueur accrue.
Les personnes qui ont implanté des stimulateurs cardiaques, des DAI ou des appareils CRT devraient certainement prêter attention à la question de la cyber vulnérabilité, car il est probable que nous en entendions parler davantage au fil du temps. Mais pour l'instant, au moins, le risque semble être assez faible et est certainement compensé par les avantages de la surveillance à distance des dispositifs.
> Sources:
> FDA. Vulnérabilités de cybersécurité identifiées dans les dispositifs cardiaques implantables de St. Jude Medical et dans le transmetteur Merlin @ home: Communication sur la sécurité de la FDA. 9 janvier 2017.
> Eaux boueuses. Déclaration de MW sur la reconnaissance STJ / ABT des cyber-vulnérabilités. Communiqué de presse du 9 janvier 2017.
> St Jude Médical. St Jude Medical annonce un communiqué de presse sur les mises à jour sur la cybersécurité. 9 janvier 2017.