La crisi di sicurezza dei pacemaker cardiaci apre la strada all'evoluzione della sicurezza dell'IoT in cardiologia – The Health Care Blog

La crisi di sicurezza dei pacemaker cardiaci apre la strada all'evoluzione della sicurezza dell'IoT in cardiologia – The Health Care Blog
4.5 (89.29%) 28 votes

Di INGA SHUGALO

Mentre le previsioni sulla domanda di IoT nel settore sanitario sono più che generose, anticipando il mercato, c'è ancora un certo ritardo nell'adozione dell'IoT in tutto il settore. I dispositivi medici collegati, in particolare quelli direttamente coinvolti nella cura del paziente, vengono adottati con cautela a causa delle potenziali vulnerabilità della sicurezza e dei rischi per la sicurezza del paziente.

Uno dei motivi alla base dell'adozione titubante dell'IoT nel settore sanitario
la cardiologia è preoccupazioni preesistenti sulla sicurezza dei medici impiantabili
dispositivi, come pacemaker.

La recente crisi del pacemaker ha rivelato le vulnerabilità del pacemaker
software tra i principali fornitori. Se sfruttato, le vulnerabilità del software lo farebbero
consentire agli hacker di assumere il controllo del dispositivo e controllarlo completamente. La crisi ha portato al dispositivo
richiami, alcune funzionalità disabilitate e persino gli aggiornamenti remoti interrotti completamente
evitare rischi per la salute inaccettabili.

Questa serie di eventi ha portato a un atteggiamento cauto nei confronti dell'emergente cardiologia dell'IoT. Dato che non possiamo essere sicuri che tutti gli exploit e le vulnerabilità vengano eliminati in sistemi meno avanzati, siamo davvero pronti a fare un passo avanti per essere più elaborati a questo punto?

Il fatto della questione
cioè, la cardiologia sta già facendo questi passi. La nuova generazione di pacemaker ha
sensori incorporati per monitorare la temperatura sanguigna del paziente, la frequenza del nodo del seno,
respirazione e altri organi vitali. Questi dati vengono utilizzati per alterare in modo flessibile il cuore
valutare, rallentare o accelerare in base al livello di attività corrente di un paziente. Essi
anche ereditato il controllo remoto dai loro predecessori. Praticamente di prossima generazione
i pacemaker sono dispositivi IoT.

Di conseguenza, il
l'industria può o stigmatizzare i problemi di sicurezza o scegliere di adottare una nuova prospettiva,
vedere la crisi del pacemaker come un'opportunità per creare una solida piattaforma per
adozione imparziale dei prossimi dispositivi cardiaci connessi.

The Pacemaker Crisis: Fast Facts

Nel 2017, FDA creato da Abbott a causa dei loro potenziali problemi di sicurezza. In particolare, i dispositivi sono stati identificati come vulnerabili all'hacking, il che potrebbe aumentare la loro attività o ridurre la durata della batteria. La manomissione di tali pacemaker insicuri accelererebbe il drenaggio della batteria e costituirebbe un rischio indiretto per la salute e la sicurezza dei pazienti.

Nello stesso anno, i ricercatori di sicurezza Billy Rios di Whitescope e Jonathan Butts di QED Secure Solutions in uno dei programmatori di dispositivi cardiaci di Medtronic. Hanno trovato vulnerabilità che consentirebbero agli utenti non autorizzati di accedere alle impostazioni del programmatore e modificare la funzionalità, assumendo il controllo dei pacemaker. Se alcuni hacker dovessero sfruttare queste vulnerabilità, potrebbero interrompere i ritmi cardiaci del paziente, ferire o addirittura uccidere le persone.

I ricercatori
ha informato Medtronic delle loro scoperte, avvertendole del potenziale paziente
minacce alla sicurezza. Tuttavia, il fornitore non ha risolto completamente il problema fino al 2018,
quando Billy Rios e Jonathan Butts hanno dimostrato la loro scoperta durante il
Discorso della conferenza sulla sicurezza di Black Hat. La dimostrazione ha risuonato con il
pubblico e anche attirato l'attenzione di DHS, FDA e NCCIC. I regolatori
ha iniziato a collaborare con Medtronic per assisterli nella mitigazione della sicurezza dei dati
e le minacce alla sicurezza dei pazienti nei loro dispositivi.

Tuttavia, l'assicurazione della sicurezza sembra essere ancora lontana dal completamento, poiché l'attenzione dei produttori e delle agenzie governative si diffonde ad altri dispositivi cardiaci. Elenca una vasta gamma di prodotti Medtronic che sono ancora considerati vulnerabili.

L'elenco presenta impiantabili
defibrillatori cardioverter (ICD), terapia di risincronizzazione cardiaca
defibrillatori (CRT-Ds), programmatori di dispositivi e monitor. A causa della mancanza di
crittografia, autenticazione e autorizzazione nella telemetria wireless Conexus
protocollo utilizzato in questi dispositivi, gli utenti non autorizzati possono essere in grado di accedere e
controllali. La FDA afferma inoltre che Medtronic è in procinto di implementare ulteriori
aggiornamenti di sicurezza per garantire sia la PHI che la sicurezza della salute del paziente.

Trasformare le lacune in guadagni: il piano d'azione

Seguendo il
crisi del pacemaker, attività cardiache di assicurazione della sicurezza dell'IoT devono essere
priorità.

Innanzitutto, i regolatori,
fornitori e produttori devono raggiungere un consenso. Tutte le parti dovrebbero fare un
sforzo per elaborare pratiche standardizzate per garantire lo sviluppo dell'IoT e
Manutenzione. In particolare, dovrebbero definire i protocolli obbligatori per
configurazione remota, trasferimento dati e aggiornamenti per garantire quanto segue
misure di sicurezza:

Autenticazione

Convalida dell'identità
e l'accesso basato sui ruoli consente di proteggere i dispositivi cardiaci da persone non autorizzate
accesso. Solo gli utenti, i messaggi e i servizi verificati saranno in grado di interagire
con dispositivo protetto.

Integrità

Per garantire l'integrità,
i test di sicurezza dovrebbero essere tenuti durante le fasi di sviluppo, su
implementazione e dopo ogni importante aggiornamento. Inoltre, i produttori possono
emettere certificati specifici per convalidare le transazioni di dati, assicurandosi che non possano
essere intercettato o alterato.

crittografia

Trasferimento di dati crittografati
è anche una misura essenziale per garantire la sicurezza dei dispositivi cardiaci. Tutti
flussi di dati in entrata e in uscita, come i valori vitali monitorati e la corrente dei pazienti
le informazioni sullo stato di salute verranno trasmesse privatamente, rendendole molto di più
difficile per gli hacker di accedere e modificare i dati.

Mentre il più vecchio cardiaco
i dispositivi potrebbero essere a bassa potenza, memoria insufficiente o bassa capacità per supportare tutte le funzionalità di base
misure di sicurezza, fornitori e regolatori possono collaborare per sbarazzarsi di
vulnerabilità e exploit con alcune soluzioni alternative.

Ad esempio, Medtronic
limitato in modo significativo il raggio d'azione per il controllo remoto e la configurazione di
i loro pacemaker, programmatori e monitor. Quindi, mentre le vulnerabilità possono
essere ancora in atto, gli utenti non autorizzati possono accedervi solo fisicamente
vicino ai dispositivi attivi.

Conclusione

Per fortuna lì
non sono state attività dannose o attacchi in cui gli hacker sono stati manomessi
finora pacemaker, programmatori o altri dispositivi cardiaci. comunque, il
la possibilità stessa è abbastanza critica da dare priorità all'assicurazione della sicurezza di
dispositivi cardiologici collegati.

La crisi di sicurezza associata ai dispositivi cardiaci potrebbe aver ostacolato la loro adozione, ma ha anche evidenziato un divario critico nel processo decisionale e nei test tecnologici nel suo complesso. Mentre sono in corso alcune misure, colmare completamente questo divario richiederà uno sforzo più coordinato da parte dei regolatori e dei produttori.

Inga Shugalo è analista dell'industria sanitaria presso Itransition, una società di sviluppo di software personalizzato con sede a Denver, in Colorado. Si concentra sull'IT sanitario, mettendo in evidenza le sfide del settore e le soluzioni tecnologiche che le affrontano.