Implantabilní zařízení v kardiologii jsou chráněna proti útokům hackerů
O tom, jak jsou tato zařízení chráněna proti útokům hackerů, jsme hovořili s prof. MUDr. Milošem Táborským, CSc., FESC, MBA, předsedou České kardiologické společnosti a přednostou I. interní kardiologické kliniky LF Univerzity Palackého a FN v Olomouci, a s MUDr. Mariánem Fedorcem, Ph.D., FESC, arytmologem z téže kliniky.
- Pane profesore Táborský, proč je ochrana proti hackerským útokům aktuální právě v kardiologii?
Do centra zájmu hackerů se kardiologie dostala jako obor technicky orientovaný. Cílem potenciálních hackerských útoků u kardiostimulátorů a ICD je deaktivace terapeutických funkcí, znemožnění komunikace a změna komunikace v neprospěch pacienta – opatření na všech úrovních jsou v současné době taková, že není možné zasáhnout externím způsobem do programace těchto systémů.
- Mluvíte o vysoké úrovni zajištění, bylo tomu tak vždycky?
Historicky tomu bylo jinak, zásadní přelom přinesla až studie malé skupiny vědců z USA ze srpna 2016 Muddy Waters Research LLC, která prokázala, že je možné se velmi jednoduchým způsobem do implantátů nabourat. Ukázala dvě slabá místa – první je interogace implantátu pomocí programeru čili získávání dat od pacienta a pak zpětná programace, druhou úzkou oblastí v té době byla dálková monitorace.
- Co by mohl hackerský útok způsobit, pokud by systémy nebyly dobře zabezpečeny?
Po zásahu by systém ICD začal například neadekvátně rychle stimulovat, mohlo by dojít ke zvýšenému výdeji energie a zkrácení životnosti systému. Ten by se mohl vypnout a pro pacienty, kteří mají velmi pomalý nebo vůbec žádný tep, by to bylo fatální. Méně závažné by byly následky pro pacienty se stimulátorem, ale problémy by byly podobné. Po tomto zjištění FDA zaslala výrobci daných implantátů varovný dopis a vyzvala ho k okamžité akci. Ochrana schválená FDA je akceptována i v rámci EU a pro nás je to nejvyšší etalon kvality a bezpečnosti.
- Existuje vodítko pro nastolení této ochrany? Jak je konkrétně zajištěna?
Vodítkem jsou národní standardy pro technologie a mezinárodní standardy pro technologie, problematikou se intenzivně zabývá Evropská kardiologická společnost. V implantátech je použit speciální software – firmware, který je možné periodicky upgradovat, a dosahovat tak nejvyšší úrovně bezpečnosti. V tom je rozdíl od doby před zveřejněním studie. V celosvětových registrech všech implantátů není v současnosti jediná evidence o tom, že by implantáty mohly být externě napadeny a že by mohly být změněny jakékoli parametry ve stimulátorech či defibrilátorech.
- Jak k problému bezpečnosti implantátů přistoupila Česká kardiologická společnost?
Spolu s Všeobecnou zdravotní pojišťovnou ČR chceme jako partneři v politice uznávání nových implantátů zaměřit pozornost kromě technických parametrů také na kybernetickou bezpečnost. Vznikne společný dokument, který bude popisovat, jaké parametry musejí tyto přístroje splnit pro to, aby se dostaly do sazebníku VZP a byly potom hrazeny z veřejného zdravotního pojištění. Na tom se už pracuje a myslím si, že je to otázka v zásadě poloviny roku, chystáme společné vystoupení na toto téma na výročním kardiologickém sjezdu v Brně, konkrétně to bude 13. května odpoledne s náměstkem VZP Ing. Davidem Šmehlíkem, MHA, a generálním ředitelem VZP Ing. Zdeňkem Kabátkem. Myslím si, že to je dobré téma spolupráce plátce a odborné společnosti.
- Dostali jste od FDA doporučení také ohledně pacientů, kteří by mohli mít s implantovaným zařízením problém?
Na základě doporučení FDA bylo řečeno, že takový nemocný má navštívit svého lékaře, má diskutovat o problému. Od roku 2016 je do všech implantátů integrován firmware a od té doby je riziko opravdu minimalizováno. To máme tedy vyřešené.
Co zatím vyřešené nemáme a co nás čeká, jsou elektrické automobily – může s nimi pacient s implantátem jezdit? To už není problém hackerů, i když částečné také, ale především elektromagnetické interference, která potenciálně může implantát na krátkou dobu zablokovat. Recentní práce z letošního roku ukazují, že při vývoji moderních elektromobilů se na toto riziko nemyslelo. Chystáme vlastní českou studii Pacienti a elektromobily, kde chceme ověřit, že pacient s implantátem může bezpečně dlouhodobě užívat elektromobil.
- Můžete tuto studii více přiblížit?
Budeme mít zapůjčená vozidla jednoho renomovaného výrobce, pacient bude projíždět určitou trasu a určitý set výkonů, které bude během monitorace dělat, a my díky dálkové monitoraci získáme data, co se v dané minutě, hodině s implantátem děje, zda je tam nějaká interference, jak se to objevilo v zatím jediné německé studii, a jestli můžeme opravdu doporučit těmto lidem, že mohou vozy používat. Čili bude to takový protokol o bezpečnosti.
- Takže nyní sháníte dobrovolníky do studie?
O problematiku má velký zájem mladší generace pacientů, takže nemáme problém s dobrovolníky, které bychom dokonce randomizovali. Budou rozděleni na dvě poloviny, jedna bude jezdit klasickým automobilem se spalovacím motorem, jedna s elektromobilem, už teď máme zaregistrovaných přes 50 pacientů.
- Pane doktore Fedorco, můžete popsat, jak proces zabezpečení implantátů probíhá v reálu?
Před zavedením se na sále, kde už je připraven pacient, přístroj zinteroguje, neboli personifikuje pro daného pacienta, naprogramuje se na optimální parametry dané diagnózou. Přístroj je předán instrumentářce, ta ho podá lékaři, který přístroj implantuje a napojí. Už v té době je potenciální možnost ovlivnění implantátu, ale je to v podstatě nemožné vzhledem k tomu, že na sál mají přístup jenom autorizované osoby a způsob programace toto ovlivnění ani neumožňuje. Při ambulantní kontrole pak u pacienta dochází vždy k přiložení interogační hlavice programeru, který je jediným nástrojem pro komunikaci s kardiostimulátorem. Zde je nutná vzdálenost v rámci centimetrů, tedy bezprostřední přítomnost pacienta. Zkontrolují se základní parametry a u vybraných pacientů, u nichž předpokládáme profit, je předána dálková monitorace, pacientská jednotka. Pacient je poučen, následně ho sledujeme, konzultujeme s technikem konkrétní případy, které dostáváme prostřednictvím pacientské jednotky, a můžeme reagovat.
- Nelze tedy komunikovat s implantátem jinak?
Jedinou možností pro obousměrnou komunikaci s implantátem je programer, což je počítač, který má v sobě software, žádná jiná další funkce u něj není možná. Programer je zkonstruovaný tak, aby byl jen pro jednu konkrétní věc. Každý implantát je kódovaný, nedá se použít k nahrání jiných souborů, tudíž riziku ovlivnění je konstrukčně zamezeno. Ochrana dat je daná heslem, které se musí zadat. Výrobce poskytuje přístroje po celém světě, jsou připojeny na globální síť, která je privátní, není tam žádná veřejná IP adresa. Síť je určena speciálně pro „flotilu“ programerů. Pravidelně se updatuje software, který může být aktivován jenom fyzicky u programeru zadáním kódu; jenom tak může být nahrán nový software, který je jednoznačně definovaný, a pokud dojde k pokusu nahrát tam jiný software, přístroj to pozná, zablokuje se a sám resetuje. Citlivá data zásadní pro funkci, která definují, jakým způsobem stimulovat, stimulační mód, jsou zabezpečena. Aktivuje se záložní software, který zajistí vitální funkci, a my na dálkové monitoraci poznáme, co se stalo, a vyzveme pacienta, aby se dostavil – jediným způsobem, jak obnovit nastavení, je pak nahrání z programeru.
- Nemůže nikdo při dálkové monitoraci záměrně změnit data?
Zkušenosti s dálkovou monitorací jsou už od roku 2001. Standardem je pacientská jednotka, která komunikuje s přístrojem a centrem pro dálkovou monitoraci. Inicializace dálkové monitorace může být pouze implantátem. Nikdo jiný zvenku nemůže vyzvat implantát, aby poslal data nebo je nějakým způsobem změnil. Je to nastaveno tak, že samotný implantát nejprve aktivuje pacientskou jednotku v definovaném čase, vyhledá a předá informace zabezpečeným datovým tokem, bez veřejné IP adresy přes privátní síť, data jsou šifrovaná a zaslaná do centra, které je také zabezpečené. Principem je přenos přes SIM kartu, která je registrovaná a nelze to žádným způsobem obejít. Servisní centrum je softwarově zabezpečené, je nastavena nejmodernější síťová ochrana, dodržuje se preventivní kybernetická hygiena. Přístup je ověřen dvojfázově – z jakého centra a kdo se přihlašuje a heslo splňující bezpečnostní hlediska. Data jen vidíme, potenciálně bychom sice mohli data odcizit, ale nijak nemůžeme ovlivnit medicínskou stránku, nemůžeme ovlivnit implantát.
- Jaké jsou poslední trendy ve vývoji implantabilních defibrilátorů, respektive přístrojů pro resynchronizační terapii?
Samozřejmě základní zajištění stimulace, defibrilačních funkcí před náhlou srdeční smrtí, je standardní, jednoznačně vývoj se ubírá k plné kompatibilitě, co se týče vyšetření magnetickou rezonancí, vyvíjí se to směrem ke zmenšování přístrojů, prodlužování životnosti přístrojů a jednoznačně už je zaveden systém dálkové monitorace. Dalším trendem je rozšíření tzv. bezelektrodových, leadless kardiostimulátorů, kdy je pacientovi implantována „kapsle“, která má integrovaný vlastní kardiostimulátor a elektrodu, která je zavedená v dutině pravé komory. To jsou věci, které ve vývoji implantátů jsou.
- Co dnes tyto přístroje umějí a ještě před pár lety neuměly?
Před pěti, sedmi lety nebylo ještě možné vyšetření magnetickou rezonancí, nebo byla jen omezená možnost, teď už je standardem celotělový scan na magnetické rezonanci. Všechny nově implantované implantáty jsou plně kompatibilní s MRI. Standardem u všech přístrojů nebyla dálková monitorace, která je nyní běžně dostupná, stejně jako další diagnostické funkce zlepšující péči o pacienta.
- Do jaké míry pacienty ohrožuje technické selhání systému?
Technické selhání, pokud vezmeme selhání bez zevní příčiny, je možné. Jde o technické zařízení, které má potenciální nárok na poruchu. Z času na čas se vyskytne problém s předčasným vybíjením baterie, který je řešen výměnou přístroje. Tady je důležité si uvědomit, že vybití baterie nevede k tomu, že by se srdce zastavilo. Systém je na to zabezpečen, a pokud dojde k poklesu napětí, přístroj to včas detekuje a přepne se do záložního režimu. Technické selhání je možné i ze strany elektrod, může dojít k poškození, zalomení elektrody, jak se srdce stahuje. Ale to jsou věci, které jsme právě díky dálkové monitoraci schopni včasně detekovat a odstranit dřív, než je pacient pocítí.
Zdroj: MT