Peut-on pirater les stimulateurs cardiaques et les défibrillateurs implantables?
Les dispositifs cardiaques implantés sont-ils à risque de cyberattaques? Oui, car tout appareil numérique incluant une communication sans fil est au moins théoriquement vulnérable, y compris les stimulateurs cardiaques, les DAI et les appareils CRT. Mais jusqu'à présent, une cyberattaque contre l'un de ces dispositifs implantés n'a jamais été documentée. Et (grâce en grande partie à la publicité récente concernant le piratage informatique, à la fois des dispositifs médicaux et des politiciens), la FDA et les fabricants d’appareils s’efforcent désormais de corriger ces vulnérabilités..
St. Jude Cardiac Devices et le piratage
L'histoire a commencé pour la première fois en août 2016 lorsque le célèbre vendeur à découvert Carson Block a annoncé publiquement que St. Jude vendait des centaines de milliers de stimulateurs cardiaques, défibrillateurs et appareils CRT implantables extrêmement vulnérables au piratage. Block a déclaré qu'une société de cybersécurité à laquelle il était affilié (MedSec Holdings, Inc.) avait mené une enquête approfondie et avait conclu que les dispositifs St. Jude étaient particulièrement vulnérables au piratage (par opposition aux mêmes types de dispositifs médicaux vendus par Medtronic, Boston Scientific et d’autres sociétés). En particulier, a déclaré Block, les systèmes St. Jude "manquaient des protections de sécurité les plus élémentaires", telles que des dispositifs anti-altération, de cryptage et des outils anti-débogage, du type couramment utilisé par le reste du secteur..La vulnérabilité présumée était liée à la surveillance sans fil à distance de tous ces dispositifs. Ces systèmes de surveillance sans fil sont conçus pour détecter automatiquement les problèmes de périphérique émergents avant qu'ils ne puissent causer des dommages et pour communiquer immédiatement ces problèmes au médecin. Cette fonctionnalité de surveillance à distance, désormais utilisée par tous les fabricants d’appareils, a été documentée pour améliorer de manière significative la sécurité des patients porteurs de ces produits. Le système de surveillance à distance de St. Jude s'appelle «Merlin.net».
Les allégations de Block étaient assez spectaculaires et ont entraîné une chute immédiate du cours de l'action de St. Jude, ce qui était précisément l'objectif déclaré de Block. Il est à noter qu'avant de faire ses allégations sur St. Jude, la société Block (Muddy Waters, LLC) avait pris une position courte importante à St. Jude. Cela signifiait que la société de Block gagnerait des millions de dollars si les actions de St. Jude chutaient considérablement et restaient suffisamment basses pour autoriser une acquisition convenue par Abbott Labs..
Après l'attaque très médiatisée de Block, St Jude a immédiatement riposté avec des communiqués de presse très fermes affirmant que les allégations de Block étaient "absolument fausses". cours de la bourse. Pendant ce temps, des enquêteurs indépendants ont examiné la question de la vulnérabilité de St. Jude et ont abouti à des conclusions différentes. Un groupe a confirmé que les dispositifs de St. Jude étaient particulièrement vulnérables aux cyberattaques; un autre groupe a conclu que non. Toute la question a été abandonnée dans le giron de la FDA, qui a lancé une enquête vigoureuse, et on en a peu entendu parler pendant plusieurs mois. Au cours de cette période, les actions de St. Jude ont récupéré une grande partie de sa valeur perdue et, fin 2016, l'acquisition par Abbott a été finalisée avec succès..
Puis, en janvier 2017, deux événements se sont produits simultanément. Premièrement, la FDA a publié une déclaration indiquant qu'il existait effectivement des problèmes de cybersécurité avec les dispositifs médicaux St. Jude, et que cette vulnérabilité pourrait en effet permettre des cyber-intrusions et des exploits susceptibles de nuire aux patients. Cependant, la FDA a souligné qu'aucune preuve n'a été trouvée que le piratage avait effectivement eu lieu dans aucun individu.
Deuxièmement, St. Jude a publié un correctif logiciel de cybersécurité conçu pour réduire considérablement la possibilité de piratage de leurs dispositifs implantables. Le correctif logiciel a été conçu pour s’installer automatiquement et sans fil sur Merlin.net de St. Jude. La FDA a recommandé aux patients dotés de ces appareils de continuer à utiliser le système de surveillance sans fil de St Jude, étant donné que «les avantages pour la santé de l'utilisation continue de l'appareil l'emportent sur les risques de cybersécurité».
Où cela nous laisse-t-il??
Ce qui précède décrit à peu près les faits tels que nous les connaissons en public. En tant que personne impliquée de près dans le développement du premier système de surveillance à distance par dispositif implantable (et non de St. Jude), j'interprète tout cela de la manière suivante: Il semble certain qu'il y avait effectivement des vulnérabilités en matière de cybersécurité dans le système de surveillance à distance St. Jude. , et ces vulnérabilités semblent avoir été hors de l'ordinaire pour l'ensemble du secteur. (Les dénégations initiales de St. Jude semblent donc avoir été exagérées.)En outre, il est évident que St. Jude a agi rapidement pour remédier à cette vulnérabilité, en collaboration avec la FDA, et que ces mesures ont finalement été jugées satisfaisantes par la FDA. En fait, à en juger par la coopération de la FDA et par le fait que la vulnérabilité a été suffisamment traitée au moyen d'un correctif logiciel, le problème de St. Jude ne semble pas être aussi grave que celui que M. Block avait allégué en 2016. ( Les déclarations initiales de M. Block semblent donc avoir été exagérées). En outre, les corrections ont été apportées avant que quiconque soit blessé.
Si le conflit d'intérêts manifeste de M. Block (qui aurait eu pour effet de faire baisser le cours des actions de St. Jude) lui aurait permis de surévaluer les risques potentiels liés aux cyber-risques, mais il appartient aux tribunaux de déterminer.
Pour le moment, il semble probable qu'avec l'application du correctif logiciel correctif, les utilisateurs de périphériques St. Jude n'ont aucune raison particulière de s'inquiéter excessivement des attaques de piratage..
Pourquoi les dispositifs cardiaques implantables sont-ils vulnérables à la cyberattaque??
La plupart d'entre nous réalisons maintenant que tout appareil numérique utilisé dans notre vie qui implique une communication sans fil est au moins théoriquement vulnérable à la cyberattaque. Cela inclut tout dispositif médical implantable, qui doit tous communiquer sans fil avec le monde extérieur (c’est-à-dire le monde extérieur au corps)..La possibilité que des personnes ou des groupes acharnés sur le mal puissent en fait pirater des dispositifs médicaux est devenue, ces dernières années, une menace bien plus réelle. Dans cette optique, la publicité entourant les vulnérabilités de St. Jude pourrait avoir eu un effet positif. Il est évident que le secteur des dispositifs médicaux et la FDA sont maintenant très sérieux face à cette menace et agissent maintenant avec une vigueur significative pour y faire face..
Que fait la FDA à propos du problème?
L'attention de la FDA a été récemment focalisée sur cette question, probablement en grande partie à cause de la controverse entourant les appareils St. Jude. En décembre 2016, la FDA a publié un document d'orientation de 30 pages à l'intention des fabricants de dispositifs médicaux, établissant un nouvel ensemble de règles permettant de traiter les cyber-vulnérabilités des dispositifs médicaux déjà sur le marché. (Des règles similaires pour les produits médicaux encore en cours de développement ont été publiées en 2014.) Les nouvelles règles décrivent la manière dont les fabricants devraient identifier et corriger les vulnérabilités en matière de cybersécurité dans les produits commercialisés, ainsi que la manière d'établir des programmes pour identifier et signaler les nouveaux problèmes de sécurité..Le résultat final
Étant donné les risques informatiques inhérents à tout système de communication sans fil, un certain degré de vulnérabilité informatique est inévitable avec les dispositifs médicaux implantables. Mais il est important de savoir que des défenses peuvent être intégrées à ces produits pour que le piratage informatique soit une possibilité lointaine, et même M. Block convient que cela est arrivé à la plupart des entreprises. Si St. Jude a déjà fait preuve de laxisme à ce sujet, la société semble en avoir été guérie par la publicité négative qu’elle a reçue en 2016 et qui, pendant un certain temps, a gravement menacé leur entreprise. Entre autres, St. Jude a chargé un comité consultatif médical indépendant sur la cybersécurité de superviser ses efforts. Les autres fabricants de dispositifs médicaux feront probablement de même. Ainsi, la FDA et les fabricants d’appareils médicaux abordent le problème avec une vigueur accrue..Les personnes qui ont implanté un stimulateur cardiaque, un DAI ou un appareil CRT doivent certainement prêter attention à la question de la cyber-vulnérabilité, car nous en entendrons probablement davantage parler au fil du temps. Mais pour le moment, au moins, le risque semble assez faible et est certainement compensé par les avantages de la surveillance à distance des appareils..
