Opnieuw ernstig beveiligingslek in pacemakers Abbot

Abbott, een Amerikaanse leverancier van medische apparatuur, heeft een belangrijke beveiligingsupdate uitgebracht om een gevaarlijke kwetsbaarheid in pacemakers te repareren. Via het beveiligingslek in de pacemaker is het in theorie mogelijk dat een ongeautoriseerde persoon op afstand toegang tot het apparaat krijgen en de instellingen kan wijzigen. Abbott is al vaker in het nieuws gekomen wegens de hackbaarheid van zijn apparatuur.

Wanneer een hacker gebruik maakt van het nu gevonden lek, kan een levensgevaarlijke situatie ontstaan. Met aangepaste instellingen is het onder meer mogelijk mogelijk om de batterij van de pacemaker snel leeg te laten lopen of om verkeerde schokken toe te dienen. Als de batterij leeg is kan de ICD of CRT-D geen levensreddende schokken toedienen, wat het overlijden van de patiënt tot gevolg kan hebben, zo blijkt uit een publicatie afgelopen april van de Amerikaanse toezichthouder Food and Drug Administration (FDA). Het probleem speelt onder andere bij de Implanteerbare Cardioverter Defibrillators (ICD) van Abbott, voorheen St. Jude Medical. Een ICD kan net als een pacemaker stroomstootjes geven om de hartslag op peil te houden, maar ook een stroomstoot geven om een gevaarlijke ritmestoornis op te heffen. Abbott en de FDA melden allebei dat er nog geen gevallen van misbruik bekend zijn. Voor het updaten van de firmware moeten patiënten bij hun behandelend hun arts langs gaan.

Eerdere recall pacemakers

Vorig jaar augustus riep Abbott 465.000 andere pacemakers wegens een ernstig beveiligingslek terug voor een update. De FDA waarschuwde ook in januari 2017 voor pacemakers, defibrillatoren en andere hulpmiddelen vervaardigd door toen nog St. Jude Medical. De apparaten waren kwetsbaar voor hackers, waardoor deze toegang kunnen krijgen tot iemands hart. Op dezelfde dag werd een nieuwe softwarepatch uitgebracht om deze problemen aan te pakken. De waarschuwing van de FDA kwam een paar dagen nadat Abbott Laboratories de overname van St. Jude Medical had afgerond. Vier maanden eerder, in augustus 2016, publiceerde een groep deskundigen van het in Miami gevestigde cyber security bedrijf MedSec Holding een document waarin ze uitleggen dat ze verschillende problemen vonden in de pacemakers en defibrillators van St. Jude Medical. Deze publicatie werd gemaakt in samenwerking met het beleggingshuis Muddy Waters Capital. Het gebeurt vaker dat er berichten over hackbare medische apparatuur naar buiten komt In oktober 2016 publiceerde ICT&health bijvoorbeeld een artikel over een insulinepomp van Johnson & Johnson die gemakkelijk kon worden gehackt. Verder is er regelmatig berichtgeving over de kwetsbaarheid van medische apparatuur in ziekenhuizen en zorginstellingen. In de meeste gevallen wordt een lek gebruikt om via een achterdeur toegang te krijgen tot EPD’s en andere informatiesystemen. Patiëntgegevens blijken erg waardevol te zijn. Meer weten over zinnige zorginnovaties én de implementatie?  Honderden zorgprofessionals krijgen tijdens de ICT&health World Conference op 22 juni inzichten, antwoorden, handvatten en de beste voorbeelden.  Wilt u ook aanwezig zijn? reserveer dan hier uw (voor de zorg gratis) toegangsticket! Want ook dit keer geldt, op is echt op.