Eind 2016 en begin 2017 werden er talloze nieuwsberichten verspreid die het schrikbeeld naar buiten brachten dat mensen met minder goede bedoelingen de mogelijkheden hadden om het implanteerbare medische hulpmiddel van een ander te kunnen hacken en op die manier voor ernstige problemen konden zorgen. In het bijzonder werden de apparaten genoemd die op de markt waren gebracht door St. Jude Medical, Inc., en dat zijn dus vooral
- pacemakers die sinusbradycardie en hartblok dienen te behandelen),
- implanteerbare defibrillatoren (ICD’s) die ventriculaire tachycardie en ventriculaire fibrillatie (ook wel ventrikelfibrilleren of kamerfibrilleren genoemd) moeten behandelen
- CRT-apparaten die bedoeld zijn om hartfalen te behandelen.
Dergelijke nieuwsberichten hebben bij mensen die gebruikmaken van deze medische hulpmiddelen een gevoel van angst op weten te oproepen zonder echter het probleem in het juiste perspectief te plaatsen.
Zijn geïmplanteerde cardiale apparaten in gevaar voor cyberaanvallen?
Helaas is het antwoord op deze vraag: ja. Ieder digitaal apparaat dat draadloos kan communiceren is immers op zijn minst in theorie gevoelig voor hackers, en dus ook pacemakers, ICD’s en CRT-apparaten. Maar tot op de dag van vandaag is een daadwerkelijke cyberaanval tegen één van deze geïmplanteerde apparaten nog niet vastgelegd. En (voor een groot deel dankzij de recente aandacht die besteed wordt aan de kans op hacking, zowel van medische apparatuur als van politici), werken de diverse overheden en de fabrikanten van dergelijke apparaten nu hard aan een oplossing voor dit soort gevoeligheden.
St. Jude cardiale apparaten en de kans op hacking
Het verhaal kwam voor het eerst naar buiten in augustus van het jaar 2016, toen beroemde verkoper Carson Block publiekelijk aankondigde dat St. Jude honderdduizenden implanteerbare pacemakers, defibrillatoren en CRT-apparaten had verkocht die extreem gevoelig waren voor hacking. Block zei dat een cyberbeveiligingsbedrijf waar hij mee verbonden was (MedSec Holdings, Inc.) een intensief onderzoek uit had gevoerd en vast had gesteld dat St. Jude-apparaten zeer gevoelig waren voor hacking (in tegenstelling tot soortgelijke medische apparaten die door Medtronic, Boston Scientific en andere bedrijven verkocht werden).
In het bijzonder ontbraken in het assortiment van St. Jude-systemen zelfs de meest elementaire veiligheidsdefinities, zoals een bescherming van de apparaten tegen manipulatie, encryptie en hulpmiddelen die nodig zijn voor de opsporing van fouten, zoals die normaal gesproken gebruikt worden door de andere fabrikanten binnen deze sector.
De vermeende gevoeligheid was in verband gebracht met de externe, draadloze bewaking die bij al deze apparaten in is gebouwd. Deze draadloze bewakingssystemen zijn ontworpen om automatisch opkomende apparaatproblemen op te sporen nog voordat ze schade aan kunnen richten, en spelen dergelijke problemen direct door aan de behandeld arts. Deze externe bewakingsfunctie, tegenwoordig in gebruik bij alle apparaatfabrikanten, is gedocumenteerd om de veiligheid voor patiënten met deze producten aanzienlijk te verbeteren. Het externe bewakingssysteem van St. Jude wordt aangeduid met de term “Merlin.net.”
De aantijgingen van Block waren behoorlijk spectaculair te noemen en hadden een directe daling van de aandelenkoers van St. Jude tot gevolg, wat ook exact het doel van Block was. Je moet immers weten dat Block’s bedrijf (Muddy Waters, LLC), een belangrijke toppositie binnen St. Jude bekleedde voordat hij zijn beschuldigingen naar buiten bracht. Dit betekende dat Block’s bedrijf miljoenen dollars zou gaan verdienen op het ogenblik dat de voorraad van St. Jude fors zou gaan dalen en laag genoeg bleef om een overeengekomen overname door Abbott Labs te kunnen dwarsbomen.
Na de goed gepubliceerde aanval van Block sloeg St Jude echter meteen terug met krachtig geformuleerde persberichten dat Block’s beschuldigingen “absoluut niet juist waren”. St. Jude klaagde verder Muddy Waters, LLC aan omdat deze naar verluidt onjuiste informatie verspreidde om op die manier St. Jude’s te manipuleren
In de tussentijd keken onafhankelijke onderzoekers naar de vraag met betrekking tot de gevoeligheid van St. Jude en kwamen tot andere conclusies. Eén groep onderzoekers bevestigde dat de apparaten van St. Jude buitengewoon gevoelig waren voor cyberaanvallen; terwijl een andere groep tot de conclusie kwam dat ze dat juist niet waren. De volledige kwestie werd dan ook in de schoot geworpen van de FDA, die op zijn beurt een krachtig onderzoek in gang zette, en gedurende een aantal maanden werd er niet veel over de kwestie naar buiten gebracht. Gedurende deze periode herstelde de voorraad van St. Jude echter voor een groot deel en wist de verliezen terug te brengen. Aan het einde van 2016 werd de overname door Abbott zelfs met succes afgerond.
In januari van het jaar 2017 gebeurden er twee dingen op hetzelfde moment.
- De FDA bracht een verklaring naar buiten die aangaf dat er inderdaad problemen waren ten aanzien van de cyberbeveiliging met betrekking tot de medische hulpmiddelen van St. Jude, en dat deze gevoeligheid inderdaad cyberaanvallen en -uitbraken mogelijk zou maken die schadelijk zouden kunnen zijn voor de gebruikers ervan. De FDA wees er echter ook op dat er geen bewijs was gevonden dat hacking daadwerkelijk bij iemand plaats had gevonden.
- St. Jude heeft een patch met beveiligingssoftware vrijgegeven die ontwikkeld is om de mogelijkheid van het binnendringen in hun implanteerbare apparaten sterk terug te dringen. De softwarepatch is ontwikkeld om zichzelf automatisch en volkomen draadloos te installeren, via St. Jude’s Merlin.net. De FDA heeft dan ook het advies gegeven dat patiënten die deze apparaten gebruiken dit gewoon kunnen blijven doen omdat de voordelen voor de patiënt van een blijvend gebruik van het apparaat zeker opwegen tegen de eventuele risico’s op het gebied van cyberbeveiliging.
Wat betekent dit voor de gebruikers?
Alles wat we eerder hebben vermeld, beschrijft de feiten haast alleen maar zoals wij die in het openbaar hebben doorgekregen. Op het ogenblik dat iemand die nauw betrokken was bij de ontwikkeling van het externe bewakingssysteem van het eerste implanteerbare apparaat (niet van St. Jude), interpreteer ik dit echter op de volgende manier: Het lijkt zeker dat er inderdaad sprake was van een bepaalde gevoeligheid ten aanzien van de cyberbeveiliging bij het bewakingssysteem op afstand van St. Jude. Verder ook dat dit soort gevoeligheden oor de branche in het algemeen ongewoon lijken te zijn, dus de eerste ontkenningen van St. Jude lijken niet correct te zijn.
Verder is het duidelijk dat St. Jude snel actie heeft ondernomen om deze gevoeligheid te herstellen, in samenwerking met de FDA, en dat deze stappen uiteindelijk zelfs als bevredigend werden beoordeeld door de FDA. In de praktijk, te oordelen naar de medewerking van de FDA en het feit dat de gevoeligheid voldoende aan werd gepakt door middel van het vrijgeven van een softwarepatch, lijkt het probleem van St. Jude minder ernstig te zijn als door Mr Block in 2016 beweerd werd. De eerste verklaringen van Mr. Block lijken dus overdreven te zijn en bovenal zijn er aanpassingen aangebracht voordat er iemand benadeeld kon worden.
Of het openlijke belangenconflict van Mr. Block (waardoor de aandelenkoers van St. Jude kelderde om hem een heleboel geld te besparen) hem mogelijk de mogelijke risico’s voor cyberaanvallen te veel geld op heeft geleverd, is een vraag voor de rechtbanken. Zij zullen dit na grondig onderzoek uiteindelijk moeten bepalen. Op dit moment lijkt het waarschijnlijk dat mensen met St. Jude-apparaten, samen met de correctieve softwarepatch, geen specifieke reden hebben om zich bijzonder veel zorgen te maken over eventuele aanvallen van hackers.
Waarom zijn implanteerbare cardiale apparaten gevoelig voor cyberaanvallen?
Inmiddels beseffen de meeste mensen dat ieder digitaal apparaat dat wordt gebruikt en dat uit is gerust met een vorm van draadloze communicatie, op zijn minst in theorie gevoelig zal zijn voor cyberaanvallen. Dat betekent dus ook dat ieder implanteerbaar medisch apparaat, dat volledig draadloos met de wereld buiten het lichaam dient te communiceren.
De mogelijkheid dat malafide individuen of groepen daadwerkelijk medische apparaten kunnen hacken, is de laatste paar jaar eerder een heuse bedreiging geworden. In dit licht kan de publiciteit rond de St. Jude-gevoeligheden een positief effect hebben gehad. Het is duidelijk dat zowel de industrie voor medische hulpmiddelen als de FDA deze bedreiging als erg serieus zijn gaan zien en momenteel met man en macht werken om aan de strengste eisen te voldoen.
Wat doet de FDA aan het probleem?
De aandacht van de FDA is recent op onderwerp gevestigd, waarschijnlijk voor een groot deel vanwege de controverse over de apparaten van St. Jude. In december 2016 heeft de FDA een document met 30 pagina’s vol richtlijnen uitgegeven voor fabrikanten van medische apparaten, met een nieuwe serie regels om cybergevoeligheden van medische apparaten, die al op de markt gebracht zijn, aan te pakken. Soortgelijke regels voor medische producten die nog in ontwikkeling zijn, werden in het jaar 2014 gepubliceerd. De nieuwe regels beschrijven op welke manier de fabrikanten dienen om te gaan met het in beeld brengen en het oplossen van gevoeligheden ten aanzien van cyberbeveiliging in producten die op de markt zijn en op welke wijze programma’s op dienen te worden gezet om nieuwe beveiligingsproblemen te kunnen herkennen en te melden.
Slotopmerking
Gezien de cyberrisico’s inherent verbonden zijn aan ieder draadloos communicatiesysteem, is enige mate van cybergevoeligheid niet te vermijden bij implanteerbare medische apparaten. Maar het is van cruciaal belang om te weten dat verdedigingen in kunnen worden gebouwd in dit soort producten om zo hacking slechts tot een sporadisch fenomeen te maken, en zelfs Mr. Block is het ermee eens dat dit voor de meeste bedrijven al gebeurd is. Als St. Jude eerder wat laks was geweest ten aanzien van deze kwestie, dan lijkt het bedrijf er nu zeker van te zijn genezen door de negatieve publiciteit die het in 2016 ontving en die voor het bedrijf enige tijd zelfs een ernstige bedreiging vormde. St. Jude heeft onder andere de opdracht gegeven aan een onafhankelijke Cyber Security Medical Advisory Board om alle acties in de toekomst te overzien. Andere bedrijven die medische hulpmiddelen maken, zullen waarschijnlijk dit voorbeeld gaan volgen. Zowel de fabrikanten van FDA als producenten van medische apparatuur pakken het probleem dan ook met vereende krachten aan.
Mensen die pacemakers, ICD’s of CRT-apparaten geïmplanteerd hebben gekregen, dienen ook absoluut te letten op het probleem van cybergevoeligheid omdat daar waarschijnlijk steeds meer over te horen zal zijn naarmate de tijd verstrijkt. Maar op dit moment lijkt het de kans vrij gering te zijn en wordt dit risico bovendien gecompenseerd door de voordelen van bewaking op afstand.