Pacientes brasileiros que usam marcapassos modelos Assurity e Allure, fabricados pela St Jude Medical – empresa desde janeiro deste ano controlada pelo laboratório Abbott – serão convidados pelos seus cardiologistas para aquilo que a Abbott chama de update do sistema, e que a FDA (U.S. Food & Drug Administration, órgão do governo americano similar à Anvisa) publicou na sua lista de Recent Medical Device Safety Communications. É uma atualização do ‘firmware’ que irá eliminar vulnerabilidades apontadas por pesquisadores de segurança e confirmadas pela FDA. Essas vulnerabilidades, segundo a agência, permitiriam acesso não autorizado ao controle do dispositivo, colocando em risco a vida de pacientes. No entanto, a descoberta dessa vulnerabilidade foi utilizada, um ano atrás, numa tentativa de forçar para baixo o valor das ações da St Jude, justamente quando ela estava sendo negociada para venda à Abbott.
Histórico
A primeira publicação sobre as vulnerabilidades em dispositivos da St Jude apareceram num relatório de 34 páginas da empresa de investimentos Muddy Waters Research (http://d.muddywatersresearch.com/content/uploads/2016/08/MW_STJ_08252016_2.pdf/) em 25 de agosto de 2016. Essa empresa é especializada na compra de ações a descoberto e tem interesse na desvalorização de ações de empresas ao fazer suas compras, para comprá-las barato e revendê-las com lucro.
As informações do relatório foram levantadas pela MedSec, empresa que faz análise de risco cibernético em equipamentos médicos, e que não informou a St Jude sobre suas descobertas – o que é habitual na comunidade de segurança. No entanto, informou a FDA e o DHS (Homeland Security).
Apenas 13 dias depois, em 7 de Setembro, a St Jude abriu um processo contestando o relatório e afirmando que Muddy Waters e MedSec haviam difundido informação imprecisa sobre seus produtos, para influenciar o preço das ações e lucrar com isso.
A Muddy Waters e MedSec contrataram então uma empresa isenta (a Bishop Fox), que confirmou as vulnerabilidades em seu relatório (https://medsec.com/stj_expert_witness_report.pdf). A FDA abriu uma investigação sobre o assunto, que terminou com a recomendação de update em agosto passado.
A expectativa da Muddy Waters, segundo noticiário da Reuters, era de que o preço das ações da St Jude despencasse, mas isso não aconteceu. A venda da empresa para a Abbott, por US$ 25 bilhões, foi concluída em abril deste ano.
Marcapassos
A publicação da FDA – Firmware Update to Address Cybersecurity Vulnerabilities Identified in Abbott’s (formerly St. Jude Medical’s) Implantable Cardiac Pacemakers – indica atualização para os seguintes modelos de marcapasso:
-
Accent
-
Anthem
-
Accent MRI
-
Accent ST
-
Assurity
-
Allure
Consultei a Abbott sobre a existência desses desses modelos no Brasil. A assessoria de comunicação da empresa informou que ela “possui aqui no Brasil os dispositivos mencionados. Atualmente somente os modelos Assurity e Allure (foto) são implantados ou vendidos; os demais são modelos antigos. O update do sistema será realizado no país. Os médicos já receberam um comunicado da companhia, e devem providenciar os updates, conforme necessário.”
A comunicação de segurança da FDA foi publicada dia 29 de Agosto, e a agência aprovou o update no dia 23 do mesmo mês. No subtítulo “Summary of Problem and Scope”, dentro da lista Recent Medical Device Safety Communications, a agência esclarece ter confirmado que as “vulnerabilidades, se exploradas, poderiam permitir um usuário não autorizado (ou seja, alguém que não fosse o médico do paciente) acessar o dispositivo de um paciente, utilizando equipamento disponível comercialmente. Esse acesso poderia ser utilizado para modificar comandos de programação no marcapasso implantado, que poderiam resultar em dano para o paciente devido a rápido esgotamento da bateria ou administração de ritmo impróprio. Não há registros conhecidos de danos a pacientes relacionados a vulnerabilidades de cibersegurança nos 465.000 (EUA) dispositivos implantados impactados”.
O problema apontado pela FDA já incomodou até o ex-vice-presidente americano Dick Chenney: numa entrevista em outubro de 2013 ele disse que mandou desabilitar o acesso sem-fio ao seu marcapasso, com receio de vulnerabilidades.