8月25号，圣裘德医疗设备公司在曝出产品存在重大网络安全漏洞后，股价暴跌。

MedSec，专业医疗设备网络安全公司；Muddy Waters(浑水)，投资研究公司；这两家公司前所未有地联手针对圣裘德展开了行动，指责该厂商严重忽视网络安全，并敦促其召回产品。

MedSec是一家2015年成立的公司，称其分析了4家主要医疗设备厂商的产品，确认圣裘德是其中最不安全的。

该安全公司的分析师针对圣裘德的多种产品进行了分析，包括植入患者体内的心脏设备(例如：心脏起搏器和植入型心律转复除颤器)、内科医生用以配置和监视植入设备的程控板、圣裘德的Merlin.net网络，以及Merlin@home信号传送器。Merlin@home产品部署在患者家里，以无线射频从植入型心脏设备收集健康数据，并通过电话、宽带或蜂窝连接将数据发送到Merlin.net。

工业控制系统(ICS)网络安全大会

MedSec从一名执业医师处获得二手Merlin@home设备和程控板，并对此进行了分析，发现了因缺乏合适的加密和认证而出现的几个严重问题。研究人员称，这些漏洞让设备和用户在攻击面前毫无防备，甚至水平很低的黑客都能得手。

MedSec称其开发了概念验证漏洞利用程序，可证明攻击者能远程导致心脏设备误操作或极快消耗掉电量(例如：若攻击在夜间发起，可在两周内耗干电量)。

将完全披露作为投资策略的一部分

圣裘德确实有一套责任披露程序。该公司设置了专门的邮件地址接收研究人员对其产品漏洞的报告。

然而，MedSec并未将其发现报告给圣裘德，而是联系了浑水研究公司。浑水公司作为顾问加盟该安全公司，授权其研究，并基于其投资效益发放报酬。

两家公司发布的报告称，有很大的可能性，在大约2年内圣裘德的利润会因这些安全问题而缩水一半。浑水投资研究公司指出：受影响的产品占圣裘德2015年收益的46%，理应被召回并修复，而这个过程将耗时2年。

浑水公司以其激进的战术而闻名业内，它预测圣裘德医疗设备公司的股票将因这些问题而下跌，卖空策略可以为浑水公司和MedSec带来巨大好处。

MedSec承认：将其发现带给浑水公司的决定对公司是有好处的。但同时也宣称：主要目的还是提起人们的关注。该安全公司的CEO在彭博社的访谈中称，他们担心如果直接报告给圣裘德，真相可能会被掩藏。

“我们承认，我们这种不遵循传统网络安全实践的做法会招致批评，但我们相信，这是刺激圣裘德有所动作的唯一方法。最重要的是，我们认为，潜在和现有患者有权知道他们面临的风险。”MedSec首席执行官贾斯汀·博在公司的博客上如此说道。

MedSec的报告只包含有有限的漏洞技术信息，让人难以验证他们的主张。虽然报告聚焦在最坏情况上，其作者也指出他们没有察觉到对患者安全的任何紧迫威胁。

圣裘德称这些指控是“完全不真实的”。该公司宣称，会对其医疗设备和网络设备，进行持续的安全测试。

圣裘德首席技术官菲尔·埃博林说：“我们有多层安全措施。我们有持续的安全评估，且这些安全评估都是与外部专家合作，针对Merlin@home和所有我们的设备进行的。”

尽管报告披露后该公司股价暴跌8%以上，在圣裘德否认指控当天，股价又回升了3%。

比利·里奥斯，专注于医疗设备分析的安全研究员，尽管避免有所偏颇，还是对制造商提供了一些建议。

“整个责任披露辩论已经持续了几十年。双方各有一些很好的论点。我建议设备制造商接受不同研究人员会采取不同披露方式的现实。这些方式或许也不总是站在制造商的最佳利益点。”

“对制造商而言，最好的方式，就是不要试图控制研究人员，而是把精力放到打造健壮的安全工程项目和过程上。制造商安全策略不应该建立在陌生人的好心上。”

圣裘德是2014年美国国土安全部工业控制系统网络应急响应小组(ICS-CERT)对医疗设备和医院设施进行的调查中，被抽检的几家公司之一。

TrapX，一家以诱捕式安全技术见长的公司，指出：在高层次上，圣裘德起搏器本质上是物联网设备。

物联网安全比较棘手是有很多原因的：由于设备规模，很多设备无法容纳操作系统或处理能力以支持多层安全解决方案；很多时候设备生态系统都是开放的，以便能与其他设备通信，也就增加了潜在的威胁攻击方法；设备配置也会频繁更新，安全平台没办法跟上如此频繁的改变。

为更好的保护此类设备，TrapX建议制造商对所有原始设备制造商(OEM)组件进行设计审查，开发出快速集成软件和硬件修复的策略，避免在产品设备中留下USB启动的漏洞，加密签名软件，保护项目管理接口，并进行安全测试，最好采用第三方公司。