Shpërndaje në Pinterest
Ekspertët thonë se hakerët do të duhet të jenë afër një personi dhe të kapin një defibrilator kardiak të implantuar kur ai është aktiv. Getty Images

Djemtë e këqij mund të të hakojnë zemrën.

Ky është mesazhi thelbësor i një këshillimi të ri nga Departamenti Amerikan i Sigurisë Kombëtare (DHS).

Në fund të marsit, agjencia paralajmëroi se hakerat e kompjuterave mund të kenë lehtësisht akses në defibrilatorët e implantuar të zemrës të prodhuar nga Medtronic.

Sipas deklaratë nga DHS.

“Ky protokoll komunikimi ofron mundësinë për të lexuar dhe shkruar vlerat e kujtesës në pajisjet e implantuara kardiake të prekura; prandaj, një sulmues mund të shfrytëzojë këtë protokoll komunikimi për të ndryshuar kujtesën në pajisjen e implantuar kardiake,” vazhdoi këshillimi.

Të gjitha pajisjet përdorin sistemin e pronarit Conexus të Medtronic, të cilin Qendra Kombëtare e Integrimit të Sigurisë Kibernetike dhe Komunikimit të DHS-së tha është i cenueshëm ndaj sulmuesve të “nivelit të ulët të aftësive” të cilët mund të ndërhyjnë, gjenerojnë, modifikojnë ose përgjojnë komunikimet e frekuencës radio Conexus (RF).

“Protokolli i telemetrisë Conexus… nuk zbaton vërtetimin ose autorizimin”, llojet më themelore të mbrojtjes kundër aksesit të paautorizuar, sipas këshillimit. As komunikimi me pajisjen nuk është i koduar, që do të thotë se hakerët mund të mbledhin gjithashtu të dhëna personale mjekësore.

Njoftimi nuk ishte befasi për ekspertët e sigurisë kibernetike.

“Siguria kibernetike në të gjithë bordin në pajisjet biomjekësore është kaq e dobët,” tha për Healthline Dennis Chow, shefi i sigurisë së informacionit në SCIS Security në Hjuston.

Tyler Hudak, kreu i reagimit ndaj incidenteve në firmën e sigurisë kibernetike TrustedSec në Ohio, i cili më parë mbante të njëjtin titull në Klinikën Mayo, është dakord.

“Kjo është absolutisht tregues i mungesës së sigurisë për pajisjet mjekësore. Tradicionalisht, ka pasur një mungesë të plotë sigurie,” tha Hudak për Healthline.

Në një deklaratë, Medtronic tha se po kryen kontrolle sigurie për të kërkuar aktivitete të paautorizuara ose të pazakonta që prekin pajisjet e saj.

“Deri më sot, asnjë sulm kibernetik, shkelje e privatësisë ose dëmtim i pacientit nuk është vërejtur ose lidhur me këto çështje,” sipas një deklarate të kompanisë dërguar Healthline.

Hudak i tha Healthline se pavarësisht nga sigurimet zyrtare, një sulm i tillë “nuk është teorik”.

“Është padyshim e mundur,” tha Hudak. “Studiuesit ishin në gjendje të kryenin këto sulme.”

Në një skenar makthi, thotë ai, një haker mund të mbyllë një defibrilator ose ta urdhërojë atë të japë një goditje në zemër.

Nga ana tjetër, hakerët nuk do të mund të hynin në pajisjet nga bodrumi i tyre.

“Kjo ndoshta është brenda sferës së romaneve të spiunazhit,” thotë Hudak.

Ata do të duhej të ishin pak metra nga përdoruesi dhe do të duhej t’i përcaktojnë sulmet e tyre në momentin kur pajisjet “zgjohen” për të komunikuar të dhëna, të dy faktorë që kufizojnë rrezikun.

Dr. Shephal Doshi, një elektrofiziolog kardiak dhe drejtor i elektrofiziologjisë kardiake dhe ritmit në Qendrën Shëndetësore të Providence Saint John në Kaliforni, thotë se një përpjekje për të riprogramuar pajisjet në një mënyrë që i ekspozon pacientët ndaj rrezikut “do të ishte jashtëzakonisht e rrallë dhe e pamundur”.

“Defibrilatorët duhet të jenë… brenda 20 këmbëve për të riprogramuar pajisjen”, tha ai për Healthline. “Njerëzit nuk mund ta riprogramojnë pajisjen kur jeni duke fjetur nga një vend i largët.

“Do të duhej të ishte në afërsi të pajisjes suaj dhe pajisja juaj do të duhej të ishte në gjendje aktive për të lejuar një riprogramim të tillë. Kjo do ta bënte jopraktike për dikë që të zhvillojë një konstruksion dhe më pas të qëndrojë pranë pacientit dhe të riprogramojë pajisjen.”

Medtronic dhe Administrata e Ushqimit dhe Barnave rekomanduan që pacientët dhe mjekët “të vazhdojnë të përdorin pajisjet dhe teknologjinë siç përshkruhet dhe synohet, pasi kjo siguron mënyrën më efikase për të menaxhuar pajisjet e pacientëve dhe gjendjet e zemrës”, sipas deklaratës së kompanisë.

Një përditësim i softuerit për të përmirësuar sigurinë e pajisjes është aktualisht në zhvillim dhe duhet të jetë i disponueshëm më vonë këtë vit, duke iu nënshtruar miratimit të qeverisë, sipas deklaratës së kompanisë.

Medtronic gjithashtu këshilloi përdoruesit e pajisjeve të ndërmarrin hapa të tjerë për t’u mbrojtur kundër sulmeve, duke përfshirë mbajtjen e kontrollit fizik mbi monitorët e shtëpisë dhe pajisjet programuese, si dhe përdorimin vetëm të pajisjeve të ofruara drejtpërdrejt nga mjekët ose Medtronic.

Ata gjithashtu këshilluan konsumatorët të shmangin lidhjen e pajisjeve të paaprovuara me monitorët ose programuesit dhe të përdorin vetëm programues në objektet mjekësore dhe monitorët e shtëpisë në zona private.

Chow i nxit njerëzit me këto pajisje të implantuara që të shkojnë në zyrën e mjekut për të përditësuar firmware-in e pajisjes pasi të jetë i disponueshëm.

“Nuk ka asnjë arsye për të mos marrë masa për të mbrojtur veten,” tha ai.

“Për shkak se rreziku i ndryshimit të defibrilatorit përfshin një rrezik të konsiderueshëm të infeksionit në momentin e operacionit, nuk është logjike të dëshironi të ndryshoni pajisjen bazuar në frikën se dikush do ta hakojë atë”, tha Doshi.

“Pacientët duhet të verifikojnë me mjekët e tyre nëse kanë ndonjë nga këto modele pajisjesh që janë potencialisht në rrezik. [and] verifikoni që ato janë të lidhura me sistemin e monitorimit në distancë, gjë që mund t’u japë atyre një mundësi për të pasur përditësime automatike të softuerit, “shtoi ai.

Modelet e ICD-ve (defibrilatorëve të implantueshëm-kardioverter) dhe CRT-D-ve (terapisë/pajisjeve të implantueshme të risinkronizimit kardiak/defibrilatorëve) të cenueshëm ndaj hakerëve përfshijnë:

  • Amplia CRT-D (të gjitha modelet)
  • Monitor CareLink, versioni 2490C
  • Programuesi CareLink 2090
  • Claria CRT-D (të gjitha modelet)
  • Compia CRT-D (të gjitha modelet)
  • Koncert CRT-D (të gjitha modelet)
  • Koncerti II CRT-D (të gjitha modelet)
  • Consulta CRT-D (të gjitha modelet)
  • Evera ICD (të gjitha modelet)
  • Maximo II CRT-D dhe ICD (të gjitha modelet)
  • Mirro ICD (të gjitha modelet)
  • Monitori MyCareLink, versionet 24950 dhe 24952
  • NayaMed ND ICD (të gjitha modelet)
  • Primo ICD (të gjitha modelet)
  • Protecta ICD dhe CRT-D (të gjitha modelet)
  • Secura ICD (të gjitha modelet)
  • Virtuoz ICD (të gjitha modelet)
  • Virtuoso II ICD (të gjitha modelet)
  • Visia AF ICD (të gjitha modelet)
  • Viva CRT-D (të gjitha modelet)

Këshillimi nuk zbatohet për stimuluesit kardiak Medtronic, monitorët kardiak të futshëm ose pajisje të tjera Medtronic.