Americký hedgeový fond Muddy Waters zaútočil na výrobce kardiostimulátorů St Jude Medical, když přinesl informace o tom, že jejich zařízení jsou potenciálně nebezpečná. Nejsou prý dostatečně kryta před útoky hackerů. Hlavním zdrojem příjmů hedgeových fondů je prodej cenných papírů takzvaně „na krátko“, kdy je prodává s očekáváním poklesu jejich ceny, aby je poté koupil zpět.
Známá firma
Muddy Waters se již do povědomí finančních trhů zapsal před časem, kdy podobným způsobem informoval o údajných podvodech u čínských veřejně obchodovaných společností. Tentokrát své tvrzení opírá také o spolupráci s výzkumnou společností na poli kyberbezpečnosti MedSec. Kardiostimulátory prý mohou po případném útoku zcela přestat fungovat, způsobit nepravidelný srdeční puls nebo se jejich baterie mohou předčasně vybít.
Akcie St Jude Medical ihned po zveřejnění zprávy oslabily o 5 procent na 77,82 dolarů. Phil Ebeling, manažer St Jude Medical odpovědný za technologie listu Financial Times řekl, že „tato obvinění se absolutně nezakládají na pravdě.“ Podle něj jsou zařízení chráněna několika stupni zabezpečení. Navíc dosud není známý žádný případ, kdy by díky hackerskému útoku došlo k ohrožení pacientova zdraví.
Ředitelka společnosti MedSec Justine Boneová řekla, že veřejnost musí být o rizicích informována. Muddy Waters tvrdí, že ve Spojených státech je v „oběhu“ na 260 tisíc těchto potenciálně nebezpečných zařízení. „Je zde mnoho společností, které profitují z nekvalitních technologií, které pacienty vystavují riziku,“ dodala.
Teoretické riziko existuje
Odborníci na kyberbezpečnost již nějakou dobu upozorňují na teoretickou možnost poškodit zdravotnické pomůcky, které jsou v současné době často propojeny s internetem. Podle nich výrobci softwaru za hackery zaostávají, a tak nelze zcela vyloučit, že by k nějakému útoku dojít mohlo. Ale většina výzkumných pracovníků, kteří na nějaké slabé místo přijdou, neprodleně výrobce informují. Ti pak zpravidla najdou lepší řešení, a to ještě dříve, než detaily o problému zveřejní.
V tomto případě však Muddy Waters společnost St Jude Medical neinformoval a informaci zveřejnil. Zároveň prý podrobnosti bezpečnostního problému sdělil americkému Úřadu pro bezpečnost léků a potravin (FDA – Food and Drug Administration). Ten provádí regulaci také na trhu zdravotnických pomůcek a zařízení.
Ve zprávě Muddy Waters tvrdí, že existuje vysoká pravděpodobnost, že St Jude Medical přijde až o polovinu svých příjmů během dvou let. Přinejmenším takovou dobu si prý vyžádá odstranění bezpečnostního rizika ve všech kardiostimulátorech, které jsou již v provozu. Říká se, že tato zařízení mohou být napadena ze vzdálenosti až 15 metrů a hackerům může trvat maximálně 10 minut, než prolomí všechna jejich zabezpečení.
Kardiolog Hemal Nayak z Chicaga, specializující se na elektrofyziologii, který s MedSec spolupracoval, řekl, že pacienti by se měli svých kardiostimulátorů zbavit a potvrdil, že dokud nebude jasno, žádné další zařízení od St Jude Medical by nemělo být pacientům implantováno. Podle Muddy Waters je jen malá pravděpodobnost, že by St Jude Medical šel do nějakého vleklého sporu.
Joshua Corman, kyberbezpečnostní expert think-tanku Atlantic Council spolupracuje s výrobci i regulátory na neustálém zlepšování bezpečnosti takzvaného internetu věcí, včetně jeho využití ve zdravotnických přístrojích. Podle něj se v posledních třech letech výrazně rozvinula spolupráce mezi výrobci těchto zařízení a kyberbezpečnostními výzkumníky. „Výrobci si jsou rizik vědomi a spolupracují s námi daleko úžeji,“ říká Corman. „My výrobky testujeme a hledáme, kde nechal tesař díru. Poté tyto skulinky v softwaru zacelujeme,“ dodává.
Něco tu smrdí
Celý tento případ ovšem zanechává celkem silnou pachuť. Letos v dubnu došlo k dohodě o tom, že společnost St Jude Medical bude prodána výzkumné farmaceutické společnosti Abbott Laboratories za 30 miliard dolarů. Transakce by měla proběhnout do konce tohoto roku.
Vyřčení pochybností o bezpečnosti kardiostimulátorů od St Jude Medical totiž vyšlo z výzkumu MedSec, která má podle agentury Reuters s Muddy Waters určitou finanční dohodu. Muddy Waters krátce na to zveřejnil předpověď, podle které by akcie St Jude Medical měly oslabit až na 55 dolarů nebo dokonce níže. Oproti současnému stavu by to znamenalo pokles o dalších 27 procent. Celá záležitost tedy poněkud zavání cílenou snahou snížit tržní cenu St Jude Medical před dokončením jejího prodeje.
Petr Musil
