דו"ח חדש של משרד הבריאות והשירותים החברתיים מגלה כי רשות התרופות והמזון (FDA) אינה עושה מספיק כדי למנוע פריצות סייבר למכשירים רפואיים אלקטרוניים. הדו"ח שפורסם היום (חמישי) על ידי סגנית מבקר הפנים של משרד הבריאות, גלוריה ג'רמון, ציין במיוחד את הסיכון הגבוה לקוצבי לב ומשאבות אינסולין.
"ל-FDA היו תכניות לטפל בכמה בעיות של התקנים רפואיים שכבר יצאו לשוק, אבל התכניות והמנגנונים לקו בחסר בכל הנוגע לבטיחות סייבר", כך נכתב. "ה-FDA לא בחנה את יכולתה להגיב למקרי חירום שנובעים מפריצות סייבר למכשירים רפואיים, ובניים מתוך 19 המשרדים המחוזיים שלה, ל-FDA לא היה נוהל כתוב ומסודר לריקול של מוצרים רפואיים שחשופים לאיומי סייבר". הדו"ח נכתב כבדיקת מוכנות לאחר שבמשרד הבריאות זיהו את אבטחת ההתקנים הרפואיים ושמירת יעילותם כאתגר מרכזי.
על פי הדו"ח, לא זו בלבד שה-FDA לא נערכה כראוי לאירועי סייבר שעלולים לפגוע בהתקנים רפואיים שמחוברים ל "אינטרנט של הדברים", אלא שהיא אף לא העריכה נכון את מידת הסיכון שכרוכה בפעילותם. מחברי הדו"ח אמנם לא זיהו אירוע של איום או מתקפת סייבר שה-FDA לא הגיבה אליו נכון או בזמן, אולם לדעתם מחבריו הנהלים הקיימים של הרשות אינם מספיקים במקרה שיחול אירוע כזה.
בסיכום הדו"ח ממליצים הכותבים שהרשות תעדכן את התכניות והאסטרטגיה שלה לאבטחת סייבר של התקנים רפואיים, תבסס נוהל מסודר לשיתוף מידע עם מרפאות במקרה של אירוע אבטחת סייבר שעלול להשפיע על ההתקנים, תבטיח שקיים מנגנון לריקול של התקנים שנמצאים בסיכון מוגבר לפגיעה במקרה של תקרית אבטחת סייבר, ותגביר את שיתוף הפעולה עם רשויות פדרליות נוספות שעוסקות באבטחת סייבר. ה-FDA קיבלה את המלצות הדו"ח וכבר החלה ביישום חלק מהמלצותיו.
הפגיעות של התקנים רפואיים לפריצות האקרים נחשפה כבר לפני יותר משנתיים, כשחוקרים מטעם חברת MedSec Holdings גילו שמשדר המותקן בקוצבי לב של חברת סנט ג'וד חשוף לפריצות האקרים. פריצות אלה יכולות גרום להתרוקנות מהירה של הסוללה של המכשירים, לשנות את הקצב בקוצב הלב ואפילו לשלוט בעוצמת השוקים החשמליים שמשחרר הקוצב – כולם תרחישים מסכני חיים. סכנה דומה טמונה במשאבות אינסולין, כאשר פריצה מרחוק שמשנה את זמן ומינון שחרור האינסולין למחזור הדם עלולה לסכן את חיי החולים שבגופם היא מושתלת.