Az amerikai élelmiszer- és gyógyszerbiztonsági hatóság (FDA) még hétfőn tette közzé azt a jelentést, melyből kiderült, egy szoftverhiba miatt világszerte mintegy 750 ezer pacemaker felett tudják átvenni az irányítást hackerek. Egy nappal később a G Data kiberbiztonsági cég jelentése már arról szólt, a visszahívásban Magyarországon forgalomba került eszközök is érintettek lehetnek. Az interneten is fellelhető, 2014. június 11-én aláírt OEP-szerződés értelmében hazánk 200 darabot vásárolt az Allure Quadra RF szívritmus-szabályozóból. De úgy tűnik, több van belőle.

“Tudomásom szerint Magyarország mintegy 1200 darabot vásárolt a kérdéses készülékből, és ezek mindegyikét be is ültették a betegekbe. A Semmelweis Egyetemen ennek pedig mintegy 20 százalékát” – mondta el a hvg.hu kérdésére Prof. Dr. Merkely Béla, a Semmelweis Egyetem Városmajori Szív- és Érgyógyászati Klinikájának igazgatója. A szakember hozzátette, mindez töredéke az összes páciens számának, jelenleg ugyanis mintegy 40 ezer pacemakeres ember él hazánkban.

Abbot

Az ügyben még kedden megkerestük a Szegedi Tudományegyetem Szent-Györgyi Albert Klinikai Központját is, de a téma jellegéhez egészen meglepő módon a (természetesen közpénzből működő) intézmény némi gondolkodás után végül elhatárolódott a nyilatkozattételtől. A Nemzeti Egészségbiztosítási Alapkezelő későbbre ígért tájékoztatást.

Nincs ok a pánikra

Ha a hackerek átveszik a szoftverhibás készülék felett az irányítást, a kiberbiztonsági szakemberek szerint alapvetően két életveszélyes dolgot tudnak kezdeni vele: át tudják programozni a pacemaker leadott energiáját, illetve túl gyors szívverést is elő tudnak idézni. Dr. Merkely Béla szerint azonban nincs mitől tartani, ezidáig ugyanis a világon egyetlen ilyen eset sem történt, de elméletileg bármely gyártó pacemakere sebezhető lehet a cyber támadásokkal szemben.

“Természetesen a Pentagon rendszerét is fel lehet törni annak ellenére, hogy milliárdokat költenek a titkosításra. Jelen esetben is ez a helyzet, ám mindehhez egy speciális programozási nyelven speciális parancsokat kell leadni” – hangsúlyozta a klinikai igazgató. Hozzátette: bár elméleti síkon megoldható egy ilyen támadás, szinte kizárt, hogy a hackerek épp egy “átlagember” pacemakerének feltörésére akarnának napokat szentelni.

ClinicalGate

“Emiatt nem hívjuk vissza külön a pácienseket. A pacemakerrel rendelkező betegeknek félévente kötelező orvosi vizsgálaton kell átesniük, így a szükséges biztonsági óvintézkedést (szoftverfrissítést) a kontrollvizsgálatokkor fogjuk elvégezni. Amennyiben a beteg kéri, soron kívül elvégezzük a programozást. A pacemakerek esetében ráadásul lekérdezhető, mikor fértek hozzá, vagy módosították a szoftverét utoljára, így az is azonnal feltűnne, ha valaki “babrált” volna vele” – mondta Dr. Merkely Béla.

Műtét nélkül, 3 perc alatt javítható

Bár olyan esetről, amelyben a hackerek módosították volna egy pacemaker működését, az FDA sem tud, Amerikában úgy döntöttek, minden pácienst vissza kell hívni, hogy egy szoftverfrissítéssel megelőzzék a bajt. Mindez nem igényel műtéti beavatkozást, a módosítás rádióhulláokon keresztül történik, és nagyjából 3 percig tart.

“A pacemakerek alapvetően miniszámítógépek, aminek értelemszerűen nincs billentyűzete. Emiatt rádifrekvenciás hullámok segítségével, szoftveresen kell vele kommunikálni: így lehet beállítani, hogy egyénre szabottan optimálisan működhessen. Ez a kommunikáció egy speciális, gyártó által készített eszközzel történik” – árulta el Dr. Mekely Béla.

AFP / DPA / Klaus Rose

A szakember szerint korábban csak ezen az eszközön keresztül történhetett a kommunikáció, így a pacemakerek védettebbek voltak. Ma már azonban lehetőség van arra, hogy miután egyszer összekapcsolódott a pacemaker és a külső egység, az orvosok wireless úton is kommunikálhatnak velük.

A pacemakereknek két fajtája létezik: a lassú szívritmus kezelésére beültetett eszköz akkumulátora általában 8-12 évig bírja egyetlen feltöltéssel. Az úgynevezett defibrillátor-pacemakerek (közismert nevükön ICD-k) akkumulátora ennél rövidebb ideig, 5-8 évig bírja. Dr. Merkely Béla szerint a kontroll során azt is meg lehet állapítani, hogy az eszközök meddig képesek még egy feltöltéssel működni, így az akkumulátor cseréjének időpontját is jó előre meg lehet határozni.

Update (09.08.): A Nemzeti Egészségbiztosítási Alapkezelő időközben megküldte válaszát, melyből kiderül, a 2014-2015 valamint a 2016-2017 tenderévekben szerzett be a korábbi cikkünkben is említett készülékekből. A 2014-2015-ös évben az Assurity+PM2260 típusú szívritmus-szabályozóból 747 darabot, az Allure Quadra RF PM3242-es típusúból 196 darabot, míg a 2016-2017-es évben az Allure Quadra RF PM3242 + Quartet 1458Q típusokból 106 darabot.

Az alapkezelő közleményben jelezte, eddig egyetlen beteg sem fordult hozzájuk a szoftverhibás készülékek miatt.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.