Ny firmware lukker sårbarheder i amerikanske pacemakere: Det bør gå godt i de fleste tilfælde

En ny firmware, der fikser it-sikkerhedsproblemer i St Jude-pacemakere, er godkendt af de amerikanske myndigheder.

Det amerikanske svar på Lægemiddelstyrelsen, FDA, har godkendt en firmwareopdatering, der vedrører 465.000 amerikaneres pacemakere. Det fremgår af en meddelelse på FDA's hjemmeside, som The Register er blevet opmærksom på.

Firmware-opdateringen adresserer sårbarheder i en stribe enheder fra firmaet Abbott, tidligere St. Jude Medical.

For at få opdateret firmware skal patienten møde fysisk frem ved rette sundhedsinstitution, fortæller FDA.

Læs også: Sikkerhedsforsker blev ramt af pacemaker-fejlkonfiguration på vej op ad trapperne

Myndigheden opfordrer desuden til, at patienter og sundhedspersonale indgår i en dialog i forhold til risici og fordele ved firmware-opdateringen.

Opdateringen lukker for sårbarheder, der ifølge FDA kan gøre en ikke-autoriseret bruger i stand til at opnå adgang de berørte pacemakere.

Denne adgang kan bruges til at ændre programmerings-kommandoer i pacemakeren, hvilket kan resultere i skade på patienten som følge af hastig afladning af batteriet eller ved at enhedens takt (eng. pacing) bliver ændret.

FDA oplyser, at der ingen kendte eksempler er på, at patienter er kommet galt af sted som følge af sikkerhedshullerne.

Tager ca. 3 minutter

»Opdateringsprocessen tager omkring 3 minutter. I løbet af denne tid vil enheden køre i backup-tilstand (pacing ved 67 slag i minuttet) og essentielle, livsopretholdende egenskaber vil forblive tilgængelige. Ved fuldendelsen af opdateringen vil enheden vende tilbage til sine før-opdateringsindstillinger,« oplyser FDA.

Baseret på tidligere erfaringer fra St. Judes Medical er der risiko for, at forskellige ting kan gå galt i forbindelse med firmware-opdateringen.

Den vurderede risiko for, at en hændelse indtræder, fremgår af tallet i parentes efter hændelsesbeskrivelsen, som er hentet nogenlunde ordret fra FDA-meddelelsen:

  • genindlæsning af tidligere firmware-version som følge af ufuldstændig opdatering (0,161 procent)
  • tab af de nuværende indkodede indstillinger (0,023 procent)
  • tab af diagnostik-data (ingen rapporterede)
  • fuldstændigt tab af enheds-funktionalitet (0,003 procent)

Aktiespekulation

FDA foreslår, at opdatering af softwaren hos patienter, der er helt afhængige af pacemakeren, foregår hos velforberedte faciliteter. Eller som formuleringen på originalsproget lyder i FDA-meddelelsen:

»For pacing dependent patients, consider performing the cybersecurity firmware update in a facility where temporary pacing and pacemaker generator can be readily provided.«

Firmwareopdateringen er blevet gjort tilgængelig 29. august 2017. Enheder, der er produceret fra 28. august og frem, kræver ikke en opdatering, da de allerede indeholder den nye firmware.

The Register kan i øvrigt fortælle, at sikkerhedsproblemerne i St. Jude-enhederne (senere Abbott), startede, da cyber-sikkerhedsfirmaet MedSec Holdings opdagede flere bugs i pacemakere.

I stedet for først at gøre leverandøren, altså St. Judes, opmærksom på problemet valgte MedSec ifølge The Register at spekulere i, at virksomhedens aktier ville falde, før informationerne om sikkerhedshullerne blev offentligt kendte.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Finn Thøgersen

Hvordan er holdbarheden normalt på sådan nogle? Dør folk hvis de holder op med at virke eller bliver de bare hundedårlige og skal babu babu på sygehuset og have hjælp?

I de fleste tilfælde ville patienten ikke umiddelbart opdage hvis pacemakeren holdt op med at virke, men det afhænger helt af diagnose, hvor alvorligt det er og ikke mindst hvad vedkommende udsættes for derefter.

Det rækker lige fra akut indlæggelse til at du intet opdager før uger, måneder eller år senere...

Derfor opdatering under kontrollerede forhold med hjælp ved hånden...

En pacemaker der går amok og hamrer løs vil faktisk være langt værre

  • 0
  • 0
Gert G. Larsen

Jeg var engang IT-supporter, og fik til opgave at lave firmwareopdateringer på en masse hjertestartere i en større offentlig myndighed.
Nogle gange rebootede de bare lidt tilfældigt, og nogle gange gik opdateringerne ikke lige igennem første gang.
Det virkede som lidt useriøst skrammel.
Det er utroligt der ikke er større fokus på sikkerhed og stabilitet i "mission critical" udstyr.

Jeg havde også en bekendt, der for få år siden skulle have opereret øjne. Robotten skar åbent, og skulle file noget af. Men licenserne til file-funktionen var udløbet, så den kunne ikke gennemføre operationen. Øjet blev lukket i igen, og han fik en ny tid nogle uger senere.
AAARG, jeg havde gjort et noget større nummer ud af det, hvis jeg lå der som patient.

  • 0
  • 0
Log ind eller Opret konto for at kommentere