St. Jude Medical
Собственники:
Abbott Laboratories
Конечные собственники
2021: Abbott заплатит десятки миллионов за продажу заведомо бракованных медустройств St. Jude Medical
В июле 2021 года Abbott согласилась выплатить $66 млн для урегулирования судебных споров, инициированных американским Министерством юстиции, в отношении собственных дочерних компаний в соответствии с Законом о неправомерных претензиях (False Claims Act).
В частности, производитель медоборудования выплатит $38,75 млн по требованию федерального суда Ньюарка (штат Нью-Джерси) для урегулирования иска, связанного с дочерней компанией Alere, и $27 млн для урегулирования иска по делу дочерней компании St. Jude Medical в федеральном суде штата Мэриленд. Подробнее здесь.
2017
Иск из-за бракованных дефибрилляторов
В сентябре 2017 года фонд оплаты труда медицинских служащих Аляски подал в суд на Abbott Laboratories, обвинив дочернюю компанию St. Jude Medical в нежелании уведомлять общественность и регуляторов о некорректной работе сердечных устройств.
В иске, направленном в федеральный суд штата Иллинойс, говорится, что St. Jude знала о продаже в США более 250 тыс. имплантируемых дефибрилляторов, чьи аккумуляторы могут внезапно разрядиться, отключая тем самым устройство без предупреждения или с коротким уведомлением. Abbott приобрела St. Jude спустя три месяца после начала отзывной кампании, поэтому именно Abbott выступает ответчиком в суде.
Хотя иск подан от имени одной организации, он может получить статус коллективного, поскольку его инициаторы призывают страховые компании объединиться в этом деле. По данным истцов, страховщики выплатили сотни миллионов долларов компенсаций пользователям бракованного медицинского оборудования St. Jude, проданного в период с 2011 года по октябрь 2016-го.
В Abbott назвали эту жалобой необоснованной и отметили, что в St. Jude отстаивали свое решение отложить до октября 2016 года отзыв имплантатов, заявляя, что руководство компании и консультанты стараются как можно скорее подтвердить наличие редкой, но серьезной проблемы.Михаил Рожков, PARMA TG: Большинство наших BPM-проектов выходят за рамки отдельных процессов и организаций
В иске указано 10 претензий, в том числе по отказу производителя предупреждать об известных дефектах, нарушению условий гарантийного обслуживания, халатности и незаконном обогащении. Кроме того, указывается на нарушение действующего в Миннесоте Закона о предотвращении обмана потребителей, когда компания вплоть до октября 2016 года «обманным путем пренебрегала» давно известными фактами о проблемах с батареями устройств.
Если бы обвиняемые не пренебрегли или не исказили недостатки в отозванных устройствах, врачи не использовали бы их. Следовательно, истец и другие участники общенациональной жалобы не понесли бы расходы на возврат оборудования, на хирургическое удаление и замену устройств и другие затраты, — говорится в иске. |
По данным его инициаторов, St. Jude получила 42 сообщения, свидетельствовавшие о преждевременной разрядке аккумуляторов в период с 2011 по 2014 годы. В 2014-м стало известно о смерти пациента из-за этой проблемы.
Издание Star Tribune пишет, что в июне 2015 года St. Jude изменила конструкцию батарей в своих сердечных устройствах, тем самым подтвердив свою осведомленность о неисправности. Эти изменения были утверждены Управлением по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA), однако регулятор не потребовал немедленного отзыва продукции, поскольку доля бракованных изделий была небольшой и не превышала значения других подобных моделей. Распространение проблемы ускорилось лишь позднее, что и привело к массовому отзыву аппаратов компании.
Согласно данным, которые предоставила St. Jude к 31 мая 2017 года, 616 из 398 740 имплантируемых дефибрилляторов, проданных по всему миру, имели недостаток, связанный с разрядкой аккумуляторов без видимой причины. Всего производителю известно о двух смертельных исходах.
Под отзыв попали такие модели, как Fortify, Fortify Assura, Quadra Assura, Unify, Unify Assura и Unify Quadra, которые произведены до мая 2015 года. В Abbott говорят, что пациентам, пользующимся этими аппаратами, необязательно мгновенно деимплантировать их. Рекомендуется сначала обратиться к врачу за консультацией и использовать дополнительные устройства, обеспечивающие удаленный мониторинг за уровнем зарядки аккумуляторов.
St. Jude и FDA не рекомендуют заменять дефибрилляторы в качестве профилактики, поскольку процесс предполагает хирургическое вмешательство и несет риск осложнений.[1]
Выпуск обновления, устраняющего уязвимость в кардиостимуляторах
В конце августа 2017 года Управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) выпустило официальное предупреждение о существовании уязвимостей в кардиостимуляторах компании Abbott (ранее St. Jude Medical). Производитель отреагировал на сообщение властей и выпустил программное обновление, устраняющее недостатки своего оборудования.
По данным FDA, около 465 тыс. кардиостимуляторов имеют уязвимости, которые позволяют злоумышленникам получить дистанционный доступ к устройствам и изменить скорость их работы или разрядить аккумулятор за короткое время. С какого расстояния можно осуществить взлома медицинского аппарата, не уточняется. При этом регулятору не известно ни об одном случае несанкционированного доступа к кардиостимуляторам.
Эксплуатация данных уязвимостей позволяет неавторизованному пользователю получить удаленный доступ к имплантированному пациенту RF-кадиоустройству, подменив передатчик Merlin@home. Такой передатчик Merlin@home может использоваться для модификации программных команд имплантированного устройства, что может привести к истощению заряда его батареи, а также к установлению некорректного сердечного ритма или некорректной подаче разряда, — говорится в сообщении FDA. |
FDA не рекомендует удалять уязвимые кардиостимуляторы, а советует их обладателям обсудить необходимость обновления прошивки с лечащим врачом.
29 августа 2017 года Abbott сообщила о выходе прошивки, которая устраняет указанную уязвимость в кардиостимуляторах Accent, Anthem, Assurity и Allure. Эти устройства, судя по информации на сайте российского представительства Abbott, не продаются в России. В российском офисе компании не ответили на запрос Zdrav.expert к моменту публикации.
Обновление ПО в кардиостимуляторах необходимо производить только у врачей. Для установки новой прошивки устройство подключается к компьютерной системе и переводится в режим резервного копирования данных.[2]
Эксперты предполагают, что количество устройств и гаджетов, вшитых в организм человека, будет расти. Павел Волчков, заместитель начальника отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет» считает, что ИТ-компании могут помочь производителям медицинского оборудования справиться с киберугрозами.
«В первую очередь, это – независимый анализ защищенности медицинского оборудования, по сути – легальный взлом оборудования с целью определения уязвимых мест. Кроме этого, ИТ-компании могут помочь своим опытом в выстраивании процессов безопасной разработки и управления уязвимостями», – считает эксперт.
«Данная проблема актуальна и для России, так как у нас есть собственные серийные производства тех же кардиостимуляторов. Одно из возможных решений – предъявление к компаниям-производителям специальных требований по информационной безопасности, установленных на законодательном уровне», – отмечает Павел Волчков.
«Возможно, когда-нибудь появится отдельная отрасль – информационная безопасность для человека - но это вопрос отдаленной перспективы, в ближайшем будущем подобного ожидать не стоит. Сейчас антивирусы, защищающие человека от кибератак, относятся, скорее, к области научной фантастики в жанре биопанка, нежели к реальности. Другой вопрос в том, что наличие программных уязвимостей – это неотъемлемая часть жизненного цикла любого ПО. Уже сейчас компании, производящие устройства, «встраиваемые в человека», и программные прошивки к ним, должны уделять вопросу vulnerability-менеджмента и методам безопасного программирования значительное внимание для того, чтобы своевременно выявлять и устранять различные уязвимости», – прокомментировал Павел Волчков.
Критика FDA за проблемы в кардиостимуляторах
В апреле 2017 года Управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) направило Abbott Laboratories открытое письмо, в котором раскритиковало компанию за неспособность расследовать и устранять риски с сердечными устройствами. Речь идет о неисправности аккумуляторов и проблемах кибербезопасности.
Согласно заявлению FDA, приемопередатчики Merlin@home, используемые в системах удаленного мониторинга сердечной активности, к которым подключаются кардиостимуляторы и дефибрилляторы производства St. Jude, подвержены дистанционному взлому. Хотя властям неизвестно о случаях использования уязвимости мошенниками, в FDA отмечают, что Abbott скрыла по меньшей мере один случай смерти пациента, использующего одно из сердечных устройств производителя.
По данным FDA, литиевые аккумуляторы в некоторых устройствах Abbott неожиданно разряжаются, и компания «недооценила возникновение опасной ситуации».
В Abbott заявили, что все проблемы, описанные в письме, имеют отношение ко времени до закрытия сделки по приобретению St. Jude в январе 2017 года. После этого сроки все недостатки полностью устранены.
Мы серьезно относимся к этим вопросам, продолжаем корректировать наши действия, внимательно изучаем отчет FDA и обязуемся полностью развеять все опасения FDA, — говорится в заявлении Abbott. |
В FDA, в свою очередь, сообщили, что Abbott действительно предоставила информацию о сроках ликвидации дефектов, однако компания не доказала, что эти действия на самом деле были выполнены ею.
В связи с критикой FDA может отложить сертификацию новых устройств, предназначенных для МРТ-оборудования, которые Abbott рассчитывала выпустить на рынок в 2017 году. Это будет на руку конкурентам, включая Medtronic и Boston Scientific, которые собираются поставить на рынок аналогичные продукты в четвертом квартале.[3]
Власти США впервые публично признали существование уязвимостей в кардиостимуляторах
9 января 2017 года Управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) признало наличие уязвимостей в некоторых сердечных имплантируемых устройствах. О существовании в этом оборудовании проблем, которыми могут воспользоваться киберпреступники в своих целях, не раз говорили эксперты в области информационной безопасности. Теперь их официально подтвердили на правительственном уровне.
FDA сообщило об уязвимости в приемопередатчиках (трансмиттерах) Merlin@home, используемых в системах удаленного мониторинга сердечной активности, к которым подключаются кардиостимуляторы и дефибрилляторы производства St. Jude. Трансмиттеры постоянно отслеживают поступающие с кардиомонитора данные и передают все на защищенный сайт медицинской сети Merlin.net Patient Care Network, где она оказывается доступной для лечащих врачей.
Правительство США признает, что мониторы типа Merlin могут быть взломаны, чтобы отправить измененные команды для кардиостимулятора пациента или другого устройства. При правильном доступе хакер может сделать что-нибудь, чтобы истощить батарею кардиостимулятора или повлиять на сердцебиение пациентов.
FDA неизвестно не одного случая атаки на оборудование St. Jude при помощи уязвимости. При этом производитель выпустил программное обновление, устраняющее неисправность. Новая прошивка устанавливается автоматически, необходимо лишь обеспечить подключение устройства к сети.
В St. Jude заявили, что компания продолжает сотрудничать с FDA в целях обеспечения безопасности устройств.
Ранее FDA начало проверку по поводу возможного появления в кардиологических устройствах St. Jude уязвимости, позволяющей осуществить кибератаку, которая может привести к смертельному исходу.
2016
Abbott и St. Jude Medical продают часть бизнеса за $1,1 млрд для слияния компаний
В декабре 2016 года стало известно о планах Abbott Laboratories и St. Jude Medical избавиться от выпуска нескольких продуктов в области лечения сердечно-сосудистых заболеваний для того, чтобы завершить слияние компаний.
Как сообщает агентство Bloomberg со ссылкой на совместное заявление Abbott и St. Jude Medical, слияние компаний одобрили антимонопольные органы, но для завершения сделки необходимо продать производство устройств для закрытия пунции сосудов Angio-Seal и Femoseal (St. Jude Medical), а также приборов Vado Steerable Sheath (Abbott). Стоимость этого бизнеса оценивается в $1,12 млрд.
Японская компания Terumo согласилась приобрести эти активы, благодаря чему она сможет стать крупнейшим в мире производителем кровоостанавливающих приборов для бедренных артерий и расширить ассортимент устройств сосудистого доступа.
При этом Abbott намерена сохранить бизнес по выпуску оборудования для закрытия места пункции сосуда. Сделка с Terumo не окажет существенного влияния на доходы компании, считают в Abbott.
Представитель St. Jude Medical Кэндес Стил Флиппин (Candace Steele Flippin) уточняет, что продажа активов по производству некоторых продуктов в области лечения сердечно-сосудистых заболеваний Abbott и St. Jude Medical была требованием регуляторов.
По мнению аналитиков Canaccord Genuity, договоренность о продаже активов говорит о том, что Abbott и St. Jude Medical хотят закрыть сделку до конца 2016 года по «привлекательной цене».[4]
Независимые эксперты подтвердили уязвимости в устройствах St. Jude
24 октября 2016 года стало известно о том, что независимые эксперты подтвердили наличие уязвимостей в медицинском оборудовании St. Jude Medical, из-за которых устройства потенциально могут быть взломаны хакерами. Подробнее здесь.
Создание консультативного совета по борьбе с хакерами
17 октября 2016 года компания St. Jude Medical сообщила о планах создать специальный консультативный медицинский совет, сосредоточенный на проблемах информационной безопасности. Об этом этом со ссылкой на заявление производителя оборудования для здравоохранения пишет агентство Reuters.
Речь идет о группе под названием Cyber Security Medical Advisory Board, которая в сотрудничестве с ИТ-экспертами St. Jude и сторонними исследователями будет консультировать по стандартам кибербезопасности медицинских устройств и способствовать «сохранению и улучшению киберзащиты и безопасности пациентов», пояснил главный медицинский специалист St. Jude Марк Карлсон (Mark Carlson). Состав этой группы к 18 октября 2016 года окончательно не утвержден.
Мы очень серьезно подходим к кибербезопасности наших устройств, а создание Cyber Security Medical Advisory Board является еще одним доказательством нашего постоянного стремления к продвижению стандартов ухода за пациентами по всему миру, не идя на компромисс с технической и информационной безопасностью, — заявил Карлсон. |
St. Jude сообщила о формировании совета консультантов для борьбы с хакерами спустя пару месяцев после того, как в медицинском оборудовании компании были обнаружены уязвимости, позволяющие злоумышленникам дистанционно получать доступ к управлению устройствами и создавать тем самым угрозу жизни пациентов.
В Управлении по санитарному надзору за качеством пищевых продуктов и медикаментов США (U.S. Food and Drug Administration, FDA) заявили, что поддерживают усилия производителей медицинского оборудования по решению проблем, связанных с кибербезопасностью.
Сотрудничество всех заинтересованных сторон, таких как исследователи в области кибербезопасности, медицинские учреждения, пациенты и государственные учреждения, повышает шансы на своевременное выявление, оценку и устранение киберугроз, прежде чем они причинят вред больным, — заявила заместитель директора Центра медицинских устройств и радиологии при FDA Сюзан Шварц (Suzanne Schwartz).[5] |
Фатальные проблемы с кардиостимуляторами
11 октября 2016 года St. Jude Medical предупредила о неисправности своих кардиостимуляторов, которая может стать фатальной для пациентов. Этой брешью могли воспользоваться хакеры.
Дефект, о котором рассказали в St. Jude Medical, обнаружен в имплантируемых кардиовертерах-дефибрилляторах, нормализующих сердечный ритм посредством электрических импульсов. Существует риск быстрой и неожиданной разрядки литиевых аккумуляторов в этих приборах, что может стать причиной остановки сердца.
Из-за преждевременного прекращения автономной работы дефибрилляторов умерло по меньшей мере двое пациентов, а еще 47 человек рассказали о головокружении и обмороках, сообщили в инвестиционной компании Muddy Waters, ссылаясь на информационный бюллетень для врачей, которых проинформировали о проблеме с оборудованием St. Jude Medical.
Проблема носит единичный характер (касается менее 1% устройств, утверждают в St. Jude Medical), однако в группу риска попадает огромное количество людей. По состоянию на октябрь 2016 года потенциально дефектные дефибрилляторы St. Jude Medical используются примерно 350 тыс. человек по всему миру. Бракованным признано оборудование, произведенное до мая 2015 года.
Мы рекомендуем пациентам, которые пользуются удаленным мониторингом, предоставить своим врачам возможность контролировать работу устройств в течение длительного периода времени, — говорит главный медицинский специалист St. Jude Medical Марк Карлсон (Mark Carlson). — Доктора и пациенты могут предпринять определенные меры по снижению риска, который хотя и является небольшим, но может отразиться на здоровье. |
В Управлении по санитарному надзору за качеством пищевых продуктов и медикаментов США (U. S. Food and Drug Administration) заявили о необходимости отозвать неисправные устройства и заменить их на полностью работоспособные и безопасные.
Летом 2016 года инвестиционная компания Muddy Waters Capital и специализирующийся на информационной безопасности стартап MedSec обнародовали отчет, в котором рассказали о многочисленных уязвимостях в кардиологическом оборудовании St. Jude Medical. Этими «дырами» теоретически можно использоваться для взлома устройств, в том числе для быстрой разрядки батарей в имплантируемых кардиовертерах-дефибрилляторах.
Вскрытие уязвимостей в кардиостимуляторах и дефибрилляторах компании
В августе 2016 года стало известно, что группа хакеров нашла способ взломать кардиостимуляторы и дефибрилляторы, которые выпускает крупный американский производитель медицинского оборудования St. Jude Medical. Вместо того чтобы сообщить компании об уязвимостях в ее продуктах, хакеры обратились к Карсону Блоку (Carson Block), главе инвестиционной фирмы Muddy Waters Capital, с беспрецедентным коммерческим предложением, которое поможет им вместе заработать. Подробнее здесь.
Компания продана Abbott за $30 млрд
В конце апреля 2016 года американская фармацевтическая компания Abbott Laboratories сообщила о покупке St. Jude Medical за $25 млрд. Abbott также готова принять на себя и рефинансировать чистый долг St.Jude Medical в размере около $5,7 млрд. Общая сумма сделки таким образом превышает $30 млрд.
В результате этого слияния появится один из крупнейших в мире производителей оборудования для диагностики и лечения заболеваний сердечно-сосудистой системы.
По условиям соглашения, Abbott заплатит акционерам St. Jude за каждую принадлежащую им акцию по $46,75 наличными и 0,8708 акции Abbott, то есть в общей сложности $85, что на 37% больше биржевой стоимости ценных бумаг по состоянию на 27 апреля 2016 года.
Закрыть сделку по продаже St. Jude компании Abbott планируется в четвертом квартале 2016 года. Предварительно ее должны одобрить акционеры и регулирующие органы.
К началу мая 2016 года Abbott и St. Jude занимают соответственно первое и второе места по объему продаж препаратов для лечения сердечно-сосудистых заболеваний. Объем этого рынка оценивается в $30 млрд в год, суммарная выручка этих двух компаний — $8,7 млрд.
Предполагается, что появившаяся в результате объединения Abbott и St. Jude компания станет одним из лидеров рынка медицинских приборов, который будет обладать сильными позициями St. Jude в сфере приборов по борьбе с сердечной недостаточностью, сердечных катетеров и дефибрилляторов, а также преимуществами Abbott в коронарной ангиопластике и восстановлении сердечного клапана.[6]
Примечания
- ↑ Abbott Laboratories : Lawsuit seeks damages for faulty batteries in St. Jude defibrillators
- ↑ 465,000 Patients Need Software Updates for Their Hackable Pacemakers, FDA Says
- ↑ FDA warns Abbott on heart device battery woes, cybersecurity risks
- ↑ Terumo to buy catheter-related business of two U.S. firms
- ↑ St. Jude forms cyber panel after claims of heart-device bugs
- ↑ ABBOTT TO ACQUIRE ST. JUDE MEDICAL