St. Jude Medical

Компания

St. Jude Medical — производитель медицинских приборов, специализирующийся на устройствах для диагностики и лечения заболеваний сердечно-сосудистой системы.

Собственники:
Abbott Laboratories

Конечные собственники компании и их активы

2017

Выпуск обновления, устраняющего уязвимость

В конце августа 2017 года Управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) выпустило официальное предупреждение о существовании уязвимостей в кардиостимуляторах компании Abbott (ранее St. Jude Medical). Производитель отреагировал на сообщение властей и выпустил программное обновление, устраняющее недостатки своего оборудования.

По данным FDA, около 465 тыс. кардиостимуляторов имеют уязвимости, которые позволяют злоумышленникам получить дистанционный доступ к устройствам и изменить скорость их работы или разрядить аккумулятор за короткое время. С какого расстояния можно осуществить взлома медицинского аппарата, не уточняется. При этом регулятору не известно ни об одном случае несанкционированного доступа к кардиостимуляторам.

Кардиостимулятор Abbott
« Эксплуатация данных уязвимостей позволяет неавторизованному пользователю получить удаленный доступ к имплантированному пациенту RF-кадиоустройству, подменив передатчик Merlin@home. Такой передатчик Merlin@home может использоваться для модификации программных команд имплантированного устройства, что может привести к истощению заряда его батареи, а также к установлению некорректного сердечного ритма или некорректной подаче разряда, — говорится в сообщении FDA. »

FDA не рекомендует удалять уязвимые кардиостимуляторы, а советует их обладателям обсудить необходимость обновления прошивки с лечащим врачом.

29 августа 2017 года Abbott сообщила о выходе прошивки, которая устраняет указанную уязвимость в кардиостимуляторах Accent, Anthem, Assurity и Allure. Эти устройства, судя по информации на сайте российского представительства Abbott, не продаются в России. В российском офисе компании не ответили на запрос Zdrav.expert к моменту публикации.

Обновление ПО в кардиостимуляторах необходимо производить только у врачей. Для установки новой прошивки устройство подключается к компьютерной системе и переводится в режим резервного копирования данных.[1]

Эксперты предполагают, что количество устройств и гаджетов, вшитых в организм человека, будет расти. Павел Волчков, заместитель начальника отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет» считает, что ИТ-компании могут помочь производителям медицинского оборудования справиться с киберугрозами.

«В первую очередь, это – независимый анализ защищенности медицинского оборудования, по сути – легальный взлом оборудования с целью определения уязвимых мест. Кроме этого, ИТ-компании могут помочь своим опытом в выстраивании процессов безопасной разработки и управления уязвимостями», – считает эксперт.
«Данная проблема актуальна и для России, так как у нас есть собственные серийные производства тех же кардиостимуляторов. Одно из возможных решений – предъявление к компаниям-производителям специальных требований по информационной безопасности, установленных на законодательном уровне», – отмечает Павел Волчков.
«Возможно, когда-нибудь появится отдельная отрасль – информационная безопасность для человека - но это вопрос отдаленной перспективы, в ближайшем будущем подобного ожидать не стоит. Сейчас антивирусы, защищающие человека от кибератак, относятся, скорее, к области научной фантастики в жанре биопанка, нежели к реальности. Другой вопрос в том, что наличие программных уязвимостей – это неотъемлемая часть жизненного цикла любого ПО. Уже сейчас компании, производящие устройства, «встраиваемые в человека», и программные прошивки к ним, должны уделять вопросу vulnerability-менеджмента и методам безопасного программирования значительное внимание для того, чтобы своевременно выявлять и устранять различные уязвимости», – прокомментировал Павел Волчков.

Критика FDA за проблемы в кардиостимуляторах

В апреле 2017 года Управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) направило Abbott Laboratories открытое письмо, в котором раскритиковало компанию за неспособность расследовать и устранять риски с сердечными устройствами. Речь идет о неисправности аккумуляторов и проблемах кибербезопасности.

Согласно заявлению FDA, приемопередатчики Merlin@home, используемые в системах удаленного мониторинга сердечной активности, к которым подключаются кардиостимуляторы и дефибрилляторы производства St. Jude, подвержены дистанционному взлому. Хотя властям неизвестно о случаях использования уязвимости мошенниками, в FDA отмечают, что Abbott скрыла по меньшей мере один случай смерти пациента, использующего одно из сердечных устройств производителя.

Офис FDA

По данным FDA, литиевые аккумуляторы в некоторых устройствах Abbott неожиданно разряжаются, и компания «недооценила возникновение опасной ситуации».

В Abbott заявили, что все проблемы, описанные в письме, имеют отношение ко времени до закрытия сделки по приобретению St. Jude в январе 2017 года. После этого сроки все недостатки полностью устранены.

« Мы серьезно относимся к этим вопросам, продолжаем корректировать наши действия, внимательно изучаем отчет FDA и обязуемся полностью развеять все опасения FDA, — говорится в заявлении Abbott. »

В FDA, в свою очередь, сообщили, что Abbott действительно предоставила информацию о сроках ликвидации дефектов, однако компания не доказала, что эти действия на самом деле были выполнены ею.

В связи с критикой FDA может отложить сертификацию новых устройств, предназначенных для МРТ-оборудования, которые Abbott рассчитывала выпустить на рынок в 2017 году. Это будет на руку конкурентам, включая Medtronic и Boston Scientific, которые собираются поставить на рынок аналогичные продукты в четвертом квартале.[2]

Власти США впервые публично признали существование уязвимостей в кардиостимуляторах

9 января 2017 года Управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) признало наличие уязвимостей в некоторых сердечных имплантируемых устройствах. О существовании в этом оборудовании проблем, которыми могут воспользоваться киберпреступники в своих целях, не раз говорили эксперты в области информационной безопасности. Теперь их официально подтвердили на правительственном уровне.

FDA сообщило об уязвимости в приемопередатчиках Merlin@home, используемых в системах удаленного мониторинга сердечной активности, к которым подключаются кардиостимуляторы и дефибрилляторы производства St. Jude. Трансмиттер постоянно отслеживают поступающие с кардиомонитора данные и передают все на защищенный сайт медицинской сети Merlin.net Patient Care Network, где она оказывается доступной для лечащих врачей.

Кардиостимулятор St. Jude

Правительство США признает, что мониторы типа Merlin могут быть взломаны, чтобы отправить измененные команды для кардиостимулятора пациента или другого устройства. При правильном доступе хакер может сделать что-нибудь, чтобы истощить батарею кардиостимулятора или повлиять на сердцебиение пациентов.

FDA неизвестно не одного случая атаки на оборудование St. Jude при помощи уязвимости. При этом производитель выпустил программное обновление, устраняющее неисправность. Новая прошивка устанавливается автоматически, необходимо лишь обеспечить подключение устройства к сети.

В St. Jude заявили, что компания продолжает сотрудничать с FDA в целях обеспечения безопасности устройств.

Ранее FDA начало проверку по поводу возможного появления в кардиологических устройствах St. Jude уязвимости, позволяющей осуществить кибератаку, которая может привести к смертельному исходу.

2016

Abbott и St. Jude Medical продают часть бизнеса за $1,1 млрд для слияния компаний

В декабре 2016 года стало известно о планах Abbott Laboratories и St. Jude Medical избавиться от выпуска нескольких продуктов в области лечения сердечно-сосудистых заболеваний для того, чтобы завершить слияние компаний.

Как сообщает агентство Bloomberg со ссылкой на совместное заявление Abbott и St. Jude Medical, слияние компаний одобрили антимонопольные органы, но для завершения сделки необходимо продать производство устройств для закрытия пунции сосудов Angio-Seal и Femoseal (St. Jude Medical), а также приборов Vado Steerable Sheath (Abbott). Стоимость этого бизнеса оценивается в $1,12 млрд.

Abbott и St. Jude Medical продают часть бизнеса по выпуску оборудования для лечения сердечно-сосудистых заболеваний по требованию регуляторов

Японская компания Terumo согласилась приобрести эти активы, благодаря чему она сможет стать крупнейшим в мире производителем кровоостанавливающих приборов для бедренных артерий и расширить ассортимент устройств сосудистого доступа.

При этом Abbott намерена сохранить бизнес по выпуску оборудования для закрытия места пункции сосуда. Сделка с Terumo не окажет существенного влияния на доходы компании, считают в Abbott.

Представитель St. Jude Medical Кэндес Стил Флиппин (Candace Steele Flippin) уточняет, что продажа активов по производству некоторых продуктов в области лечения сердечно-сосудистых заболеваний Abbott и St. Jude Medical была требованием регуляторов.

По мнению аналитиков Canaccord Genuity, договоренность о продаже активов говорит о том, что Abbott и St. Jude Medical хотят закрыть сделку до конца 2016 года по «привлекательной цене».

Abbott объявила о приобретении St. Jude Medical за $25 млрд. В результате этой сделки появится один из крупнейших в мире производителей оборудования для диагностики и лечения заболеваний сердечно-сосудистой системы. [3]

Создание консультативного совета по борьбе с хакерами

17 октября 2016 года компания St. Jude Medical сообщила о планах создать специальный консультативный медицинский совет, сосредоточенный на проблемах информационной безопасности. Об этом этом со ссылкой на заявление производителя оборудования для здравоохранения пишет агентство Reuters.

Речь идет о группе под названием Cyber Security Medical Advisory Board, которая в сотрудничестве с ИТ-экспертами St. Jude и сторонними исследователями будет консультировать по стандартам кибербезопасности медицинских устройств и способствовать «сохранению и улучшению киберзащиты и безопасности пациентов», пояснил главный медицинский специалист St. Jude Марк Карлсон (Mark Carlson). Состав этой группы к 18 октября 2016 года окончательно не утвержден.

St. Jude Medical сообщила о планах создать специальный консультативный медицинский совет, сосредоточенный на проблемах информационной безопасности
« Мы очень серьезно подходим к кибербезопасности наших устройств, а создание Cyber Security Medical Advisory Board является еще одним доказательством нашего постоянного стремления к продвижению стандартов ухода за пациентами по всему миру, не идя на компромисс с технической и информационной безопасностью, — заявил Карлсон. »

St. Jude сообщила о формировании совета консультантов для борьбы с хакерами спустя пару месяцев после того, как в медицинском оборудовании компании были обнаружены уязвимости, позволяющие злоумышленникам дистанционно получать доступ к управлению устройствами и создавать тем самым угрозу жизни пациентов.

В Управлении по санитарному надзору за качеством пищевых продуктов и медикаментов США (U.S. Food and Drug Administration, FDA) заявили, что поддерживают усилия производителей медицинского оборудования по решению проблем, связанных с кибербезопасностью.

« Сотрудничество всех заинтересованных сторон, таких как исследователи в области кибербезопасности, медицинские учреждения, пациенты и государственные учреждения, повышает шансы на своевременное выявление, оценку и устранение киберугроз, прежде чем они причинят вред больным, — заявила заместитель директора Центра медицинских устройств и радиологии при FDA Сюзан Шварц (Suzanne Schwartz).[4] »

Фатальные проблемы с кардиостимуляторами

11 октября 2016 года St. Jude Medical предупредила о неисправности своих кардиостимуляторов, которая может стать фатальной для пациентов. Этой брешью могли воспользоваться хакеры.

Дефект, о котором рассказали в St. Jude Medical, обнаружен в имплантируемых кардиовертерах-дефибрилляторах, нормализующих сердечный ритм посредством электрических импульсов. Существует риск быстрой и неожиданной разрядки литиевых аккумуляторов в этих приборах, что может стать причиной остановки сердца.

Из-за преждевременного прекращения автономной работы дефибрилляторов умерло по меньшей мере двое пациентов, а еще 47 человек рассказали о головокружении и обмороках, сообщили в инвестиционной компании Muddy Waters, ссылаясь на информационный бюллетень для врачей, которых проинформировали о проблеме с оборудованием St. Jude Medical.

St. Jude Medical признала проблему в кардиостимуляторах. Двое пациентов скончались

Проблема носит единичный характер (касается менее 1% устройств, утверждают в St. Jude Medical), однако в группу риска попадает огромное количество людей. По состоянию на октябрь 2016 года потенциально дефектные дефибрилляторы St. Jude Medical используются примерно 350 тыс. человек по всему миру. Бракованным признано оборудование, произведенное до мая 2015 года.

« Мы рекомендуем пациентам, которые пользуются удаленным мониторингом, предоставить своим врачам возможность контролировать работу устройств в течение длительного периода времени, — говорит главный медицинский специалист St. Jude Medical Марк Карлсон (Mark Carlson). — Доктора и пациенты могут предпринять определенные меры по снижению риска, который хотя и является небольшим, но может отразиться на здоровье. »

В Управлении по санитарному надзору за качеством пищевых продуктов и медикаментов США (U. S. Food and Drug Administration) заявили о необходимости отозвать неисправные устройства и заменить их на полностью работоспособные и безопасные.

Летом 2016 года инвестиционная компания Muddy Waters Capital и специализирующийся на информационной безопасности стартап MedSec обнародовали отчет, в котором рассказали о многочисленных уязвимостях в кардиологическом оборудовании St. Jude Medical. Этими «дырами» теоретически можно использоваться для взлома устройств, в том числе для быстрой разрядки батарей в имплантируемых кардиовертерах-дефибрилляторах.

Продажа Abbott

В конце апреля 2016 года американская фармацевтическая компания Abbott Laboratories сообщила о покупке St. Jude Medical за $25 млрд. В результате этого слияния появится один из крупнейших в мире производителей оборудования для диагностики и лечения заболеваний сердечно-сосудистой системы.

По условиям соглашения, Abbott заплатит акционерам St. Jude за каждую принадлежащую им акцию по $46,75 наличными и 0,8708 акции Abbott, то есть в общей сложности $85, что на 37% больше биржевой стоимости ценных бумаг по состоянию на 27 апреля 2016 года.

На рынке медицинского оборудования объявлено слияние на $25 млрд: Abbott покупает St. Jude Medical

Закрыть сделку по продаже St. Jude компании Abbott планируется в четвертом квартале 2016 года. Предварительно ее должны одобрить акционеры и регулирующие органы.

К началу мая 2016 года Abbott и St. Jude занимают соответственно первое и второе места по объему продаж препаратов для лечения сердечно-сосудистых заболеваний. Объем этого рынка оценивается в $30 млрд в год, суммарная выручка этих двух компаний — $8,7 млрд.

Предполагается, что появившаяся в результате объединения Abbott и St. Jude компания станет одним из лидеров рынка медицинских приборов, который будет обладать сильными позициями St. Jude в сфере приборов по борьбе с сердечной недостаточностью, сердечных катетеров и дефибрилляторов, а также преимуществами Abbott в коронарной ангиопластике и восстановлении сердечного клапана.[5]

Примечания