Det amerikanske svar på Lægemiddelstyrelsen, FDA, har godkendt en firmwareopdatering, der vedrører 465.000 amerikaneres pacemakere. Det fremgår af en meddelelse på FDA's hjemmeside, som The Register er blevet opmærksom på.
Firmware-opdateringen adresserer sårbarheder i en stribe enheder fra firmaet Abbott, tidligere St. Jude Medical.
Accent Kilde: FDAFirmwaren er til følgende enheder
Anthem
Accent MRI
Accent ST
Assurity
Allure
For at få opdateret firmware skal patienten møde fysisk frem ved rette sundhedsinstitution, fortæller FDA.
Myndigheden opfordrer desuden til, at patienter og sundhedspersonale indgår i en dialog i forhold til risici og fordele ved firmware-opdateringen.
Opdateringen lukker for sårbarheder, der ifølge FDA kan gøre en ikke-autoriseret bruger i stand til at opnå adgang de berørte pacemakere.
Denne adgang kan bruges til at ændre programmerings-kommandoer i pacemakeren, hvilket kan resultere i skade på patienten som følge af hastig afladning af batteriet eller ved at enhedens takt (eng. pacing) bliver ændret.
FDA oplyser, at der ingen kendte eksempler er på, at patienter er kommet galt af sted som følge af sikkerhedshullerne.
Tager ca. 3 minutter
»Opdateringsprocessen tager omkring 3 minutter. I løbet af denne tid vil enheden køre i backup-tilstand (pacing ved 67 slag i minuttet) og essentielle, livsopretholdende egenskaber vil forblive tilgængelige. Ved fuldendelsen af opdateringen vil enheden vende tilbage til sine før-opdateringsindstillinger,« oplyser FDA.
Baseret på tidligere erfaringer fra St. Judes Medical er der risiko for, at forskellige ting kan gå galt i forbindelse med firmware-opdateringen.
Den vurderede risiko for, at en hændelse indtræder, fremgår af tallet i parentes efter hændelsesbeskrivelsen, som er hentet nogenlunde ordret fra FDA-meddelelsen:
- genindlæsning af tidligere firmware-version som følge af ufuldstændig opdatering (0,161 procent)
- tab af de nuværende indkodede indstillinger (0,023 procent)
- tab af diagnostik-data (ingen rapporterede)
- fuldstændigt tab af enheds-funktionalitet (0,003 procent)
Aktiespekulation
FDA foreslår, at opdatering af softwaren hos patienter, der er helt afhængige af pacemakeren, foregår hos velforberedte faciliteter. Eller som formuleringen på originalsproget lyder i FDA-meddelelsen:
»For pacing dependent patients, consider performing the cybersecurity firmware update in a facility where temporary pacing and pacemaker generator can be readily provided.«
Firmwareopdateringen er blevet gjort tilgængelig 29. august 2017. Enheder, der er produceret fra 28. august og frem, kræver ikke en opdatering, da de allerede indeholder den nye firmware.
The Register kan i øvrigt fortælle, at sikkerhedsproblemerne i St. Jude-enhederne (senere Abbott), startede, da cyber-sikkerhedsfirmaet MedSec Holdings opdagede flere bugs i pacemakere.
I stedet for først at gøre leverandøren, altså St. Judes, opmærksom på problemet valgte MedSec ifølge The Register at spekulere i, at virksomhedens aktier ville falde, før informationerne om sikkerhedshullerne blev offentligt kendte.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
