मेडिकल उपकरणों के सेंट जुड और साइबर भेद्यता
2016 के अंत और 2017 की शुरुआत में, समाचार रिपोर्टों ने दर्शकों को उठाया कि बुरे इरादे वाले लोग संभावित रूप से किसी व्यक्ति के प्रत्यारोपण योग्य चिकित्सा उपकरण में हैक कर सकते हैं और गंभीर समस्याएं पैदा कर सकते हैं। विशेष रूप से, प्रश्न वाले उपकरणों को सेंट जुड मेडिकल, इंक द्वारा विपणन किया जाता है, और पेसमेकर (जो साइनस ब्रैडकार्डिया और हृदय ब्लॉक का इलाज करते हैं), इम्प्लांटेबल डिफिब्रिलेटर (आईसीडी) (जो वेंट्रिकुलर टैचिर्डिया और वेंट्रिकुलर फाइब्रिलेशन का इलाज करते हैं), और सीआरटी डिवाइस (जो कि दिल की विफलता का इलाज करें)।
इन समाचार रिपोर्टों ने उन लोगों के बीच डर बढ़ाया है जिनके पास इस दृष्टिकोण को पर्याप्त परिप्रेक्ष्य में रखे बिना इन चिकित्सा उपकरणों का है।
क्या साइबर हमलों के लिए खतरे में कार्डियक डिवाइस लगाए गए हैं? हां, क्योंकि किसी भी डिजिटल डिवाइस जिसमें वायरलेस संचार शामिल है कम से कम सैद्धांतिक रूप से कमजोर है, जिसमें पेसमेकर, आईसीडी और सीआरटी डिवाइस शामिल हैं। लेकिन अब तक, इनमें से किसी भी प्रत्यारोपित उपकरणों के खिलाफ एक वास्तविक साइबर हमला कभी दस्तावेज नहीं किया गया है। और (हैकिंग, चिकित्सा उपकरणों और राजनेताओं दोनों के बारे में हालिया प्रचार के लिए बड़े हिस्से में धन्यवाद), एफडीए और डिवाइस निर्माता अब ऐसी किसी भी भेद्यता को पकड़ने के लिए कड़ी मेहनत कर रहे हैं।
सेंट जुड कार्डियक डिवाइस और हैकिंग
कहानी पहली बार अगस्त, 2016 में टूट गई जब प्रसिद्ध शॉर्ट-विक्रेता कार्सन ब्लॉक ने सार्वजनिक रूप से घोषणा की कि सेंट जुड सैकड़ों हजार इम्प्लांटेबल पेसमेकर, डिफिब्रिलेटर और सीआरटी डिवाइस बेच रहा था जो हैकिंग के लिए बेहद कमजोर थे।
ब्लॉक ने कहा कि एक साइबर सुरक्षा कंपनी जिसके साथ वह संबद्ध था (मेडसेक होल्डिंग्स, इंक।) ने गहन जांच की थी और पाया कि सेंट जुड डिवाइस हैकिंग के लिए विशिष्ट रूप से कमजोर थे (जैसा कि मेडट्रॉनिक द्वारा बेचे जाने वाले चिकित्सा उपकरणों के विपरीत है, बोस्टन वैज्ञानिक, और अन्य कंपनियों)।
विशेष रूप से, ब्लॉक ने कहा, सेंट जुड सिस्टम में "सबसे बुनियादी सुरक्षा सुरक्षा की कमी थी," जैसे एंटी-टैपरिंग डिवाइस, एन्क्रिप्शन, और एंटी-डिबगिंग टूल्स, जो आमतौर पर बाकी उद्योग द्वारा उपयोग किए जाने वाले प्रकार के थे।
कथित भेद्यता रिमोट, वायरलेस निगरानी से संबंधित थी, इन सभी उपकरणों ने इनका निर्माण किया है। इन वायरलेस मॉनीटरिंग सिस्टम को नुकसान पहुंचाने में सक्षम होने से पहले उभरती हुई डिवाइस समस्याओं का स्वचालित रूप से पता लगाने के लिए डिज़ाइन किया गया है, और इन समस्याओं को तुरंत डॉक्टर को संवाद करें। यह रिमोट मॉनिटरिंग फीचर, जो अब सभी डिवाइस निर्माताओं द्वारा नियोजित है, को इन उत्पादों के मरीजों के लिए सुरक्षा में काफी सुधार करने के लिए दस्तावेज किया गया है। सेंट जुड की रिमोट मॉनिटरिंग सिस्टम को "मर्लिन.net" कहा जाता है।
ब्लॉक के आरोप बहुत शानदार थे और सेंट जुड के शेयर मूल्य में तत्काल गिरावट आई - जो कि ब्लॉक के निर्दिष्ट लक्ष्य थे। ध्यान दें, सेंट जुड, ब्लॉक की कंपनी (मूडी वाटर्स, एलएलसी) के बारे में अपने आरोप लगाने से पहले, सेंट जुड में एक बड़ी शॉर्ट स्थिति ले ली थी। इसका मतलब था कि सेंट जुड का शेयर काफी हद तक गिर गया था, और ब्लॉक की कंपनी लाखों डॉलर बनाने के लिए खड़ी थी, और एबॉट लैब्स द्वारा अधिग्रहण पर सहमत होने के लिए पर्याप्त कम रहा।
ब्लॉक के अच्छी तरह से प्रचारित हमले के बाद, सेंट जुड ने तुरंत प्रभावशाली प्रेस विज्ञप्ति के साथ वापस निकाल दिया कि ब्लॉक के आरोप "बिल्कुल असत्य" थे। सेंट जुड ने सेंट जुड के हस्तक्षेप के लिए कथित तौर पर झूठी सूचना प्रसारित करने के लिए मड्डी वाटर्स, एलएलसी पर मुकदमा दायर किया शेयर भाव। इस बीच, स्वतंत्र जांचकर्ताओं ने सेंट जुड भेद्यता प्रश्न को देखा और विभिन्न निष्कर्षों पर पहुंचे। एक समूह ने पुष्टि की कि सेंट जुड के उपकरण साइबर हमले के लिए विशेष रूप से कमजोर थे; एक और समूह ने निष्कर्ष निकाला कि वे नहीं थे। पूरा मुद्दा एफडीए की गोद में गिरा दिया गया, जिसने जोरदार जांच शुरू की, और इस मामले के बारे में कई महीनों तक सुना नहीं गया।
उस समय सेंट जुड के शेयर ने अपना अधिकांश खोया मूल्य वसूल कर लिया, और 2016 के अंत में एबॉट द्वारा अधिग्रहण सफलतापूर्वक समाप्त हुआ।
फिर, जनवरी, 2017 में, दो चीजें एक साथ हुईं। सबसे पहले, एफडीए ने एक बयान जारी किया जिसमें संकेत दिया गया था कि वास्तव में सेंट जुड चिकित्सा उपकरणों के साथ साइबर सुरक्षा की समस्याएं थीं, और यह भेद्यता वास्तव में साइबर घुसपैठ और शोषण की अनुमति दे सकती है जो रोगियों को हानिकारक साबित कर सकती है। हालांकि, एफडीए ने बताया कि कोई सबूत नहीं मिला है कि किसी भी व्यक्ति में हैकिंग वास्तव में हुई थी।
दूसरा, सेंट जुड ने एक साइबर सुरक्षा सॉफ्टवेयर पैच जारी किया जो कि उनके प्रत्यारोपण उपकरणों में हैकिंग की संभावना को कम करने के लिए डिज़ाइन किया गया था। सॉफ़्टवेयर पैच को सेंट जुड के Merlin.net में स्वचालित रूप से और वायरलेस रूप से स्थापित करने के लिए डिज़ाइन किया गया था। एफडीए ने सिफारिश की है कि जिन उपकरणों के पास ये उपकरण हैं, वे सेंट जुड की वायरलेस निगरानी प्रणाली का उपयोग जारी रखते हैं, क्योंकि "डिवाइस के निरंतर उपयोग से मरीजों को स्वास्थ्य लाभ साइबर सुरक्षा जोखिम से अधिक है।"
इसके कारण हम किन परिस्थितियों में पहुंचते हैं?
पूर्वगामी तथ्य तथ्यों का वर्णन करता है क्योंकि हम जनता में उन्हें जानते हैं। किसी ऐसे व्यक्ति के रूप में जो पहले इम्प्लांटेबल डिवाइस रिमोट मॉनिटरिंग सिस्टम (सेंट जुड की नहीं) के विकास से घनिष्ठ रूप से शामिल था, मैं इन सभी को निम्न तरीके से समझता हूं: ऐसा लगता है कि वास्तव में सेंट जुड रिमोट मॉनिटरिंग सिस्टम में साइबर सुरक्षा कमजोरियां थीं , और ये भेद्यता उद्योग के लिए सामान्य से सामान्य से बाहर प्रतीत होती है। (इसलिए, सेंट जुड के प्रारंभिक इनकारों को अतिरंजित किया गया प्रतीत होता है।)
इसके अलावा, यह स्पष्ट है कि सेंट जुड एफडीए के साथ मिलकर काम करते हुए इस भेद्यता को तुरंत करने के लिए चले गए, और इन चरणों को अंततः एफडीए द्वारा संतोषजनक माना जाता था। वास्तव में, एफडीए के सहयोग से निर्णय लेना और तथ्य यह है कि भेद्यता को सॉफ़्टवेयर पैच के माध्यम से पर्याप्त रूप से निपटाया गया था, सेंट जुड की समस्या 2016 में श्री ब्लॉक द्वारा कथित तौर पर गंभीर रूप से गंभीर नहीं लगती है। ( इसलिए, श्री ब्लॉक के शुरुआती वक्तव्य अतिरंजित हुए प्रतीत होते हैं)। इसके अलावा, किसी भी नुकसान से पहले सुधार किए गए थे।
क्या श्री ब्लॉक के ब्याज के संघर्ष पर असर पड़ता है (जिससे सेंट जुड के शेयर मूल्य को कम करने के लिए उन्हें बड़ी रकम मिलती है), संभवतः संभावित साइबर जोखिमों को संभवतः ओवरलैल करने का कारण बन सकता है, लेकिन यह कानून की अदालतों के निर्धारण के लिए एक सवाल है ।
फिलहाल ऐसा लगता है कि, सुधारात्मक सॉफ़्टवेयर पैच लागू होने के साथ, सेंट जुड उपकरणों वाले लोगों के पास हैकिंग हमलों के बारे में अत्यधिक चिंतित होने का कोई विशेष कारण नहीं है।
इम्प्लांटेबल कार्डिएक डिवाइस साइबर अटैक के लिए कमजोर क्यों हैं?
अब तक हम में से ज्यादातर जानते हैं कि हमारे जीवन में उपयोग किए जाने वाले किसी भी डिजिटल डिवाइस में वायरलेस संचार शामिल है, कम से कम सैद्धांतिक रूप से सैद्धांतिक रूप से कमजोर है। इसमें कोई इम्प्लांटेबल मेडिकल डिवाइस शामिल है, जिसमें से सभी बाहरी दुनिया (यानी, शरीर के बाहर की दुनिया) के साथ वायरलेस रूप से संवाद करना चाहिए।
संभावना है कि लोग या समूह बुराई पर झुकते हैं, वास्तव में चिकित्सा उपकरणों में हैक कर सकते हैं, पिछले कुछ वर्षों में, एक वास्तविक खतरा अधिक प्रतीत होता है। इस प्रकाश में, सेंट जुड भेद्यता के आसपास के प्रचार का सकारात्मक प्रभाव हो सकता है। यह स्पष्ट है कि चिकित्सा उपकरण उद्योग और एफडीए दोनों अब इस खतरे के बारे में बहुत गंभीर हैं, और अब इसे पूरा करने के लिए महत्वपूर्ण ताकत के साथ काम कर रहे हैं।
समस्या के बारे में एफडीए क्या कर रहा है?
एफडीए का ध्यान इस मुद्दे पर केंद्रित रहा है, संभवतः सेंट जुड उपकरणों पर विवाद के कारण बड़े हिस्से में। दिसंबर, 2016 में एफडीए ने चिकित्सा उपकरणों के निर्माताओं के लिए 30-पेज "मार्गदर्शन" दस्तावेज जारी किया, जो पहले से ही बाजार में मौजूद चिकित्सा उपकरणों में साइबर-भेद्यता को संबोधित करने के लिए नियमों का एक नया सेट पेश कर रहा है। (2014 में विकास के तहत अभी भी चिकित्सा उत्पादों के लिए इसी तरह के नियम प्रकाशित किए गए थे।) नए नियम बताते हैं कि कैसे निर्माताओं को बाजार उत्पादों में साइबर सुरक्षा कमजोरियों की पहचान और फिक्सिंग के बारे में जाना चाहिए, और नई सुरक्षा समस्याओं की पहचान और रिपोर्ट करने के लिए कार्यक्रम कैसे स्थापित करना चाहिए।
तल - रेखा
किसी भी वायरलेस संचार प्रणाली के साथ स्वाभाविक रूप से जुड़े साइबर जोखिमों को देखते हुए, कुछ हद तक साइबर भेद्यता इम्प्लांटेबल मेडिकल डिवाइस के साथ अनिवार्य है। लेकिन यह जानना महत्वपूर्ण है कि हैकिंग को सिर्फ एक दूरस्थ संभावना बनाने के लिए इन उत्पादों में सुरक्षा का निर्माण किया जा सकता है, और यहां तक कि श्री ब्लॉक भी सहमत हैं कि ज्यादातर कंपनियों के लिए यह हुआ है। यदि सेंट जुड पहले इस मामले के बारे में कुछ हद तक ढीला रहा है, तो कंपनी 2016 में प्राप्त नकारात्मक प्रचार से इसका इलाज कर रही है, जिसने एक समय के लिए गंभीरता से अपने व्यापार को धमकी दी थी। अन्य चीजों के अलावा, सेंट जुड ने आगे बढ़ने के अपने प्रयासों की निगरानी के लिए एक स्वतंत्र साइबर सुरक्षा चिकित्सा सलाहकार बोर्ड को चालू कर दिया है। अन्य चिकित्सा उपकरण कंपनियों को सूट का पालन करने की संभावना है। इस प्रकार, एफडीए और चिकित्सा उपकरण निर्माता दोनों बढ़ते उत्साह के साथ इस मुद्दे को संबोधित कर रहे हैं।
जो लोग पेसमेकर, आईसीडी या सीआरटी उपकरणों को प्रत्यारोपित करते हैं, उन्हें निश्चित रूप से साइबर भेद्यता के मुद्दे पर ध्यान देना चाहिए, क्योंकि समय के साथ ही हम इसके बारे में और अधिक सुन सकते हैं। लेकिन अभी के लिए, कम से कम, जोखिम काफी छोटा प्रतीत होता है, और निश्चित रूप से दूरस्थ डिवाइस निगरानी के लाभों से अधिक है।
> स्रोत:
> एफडीए। सेंट जुड मेडिकल के इम्प्लांटेबल कार्डिएक डिवाइसेस और मर्लिन @ होम ट्रांसमीटर में एफबीआर सुरक्षा संचार में साइबर सुरक्षा वुल्नेरेंसिटी की पहचान की गई। 9 जनवरी, 2017।
> मड्डी वाटर्स। एसटीजे / एबीटी पर मेगावाट वक्तव्य साइबर भेद्यता की पावती। प्रेस विज्ञप्ति 9 जनवरी, 2017।
> सेंट जुड मेडिकल। सेंट जुड मेडिकल ने साइबर सुरक्षा अद्यतनों की प्रेस विज्ञप्ति की घोषणा की। 9 जनवरी, 2017।