Stav kybernetické bezpečnosti zařízení pro diabetes v roce 2019

Zdá se, že obavy z kybernetické bezpečnosti nás dnes obtěžují v nekonečné smyčce. Mezi hromadou hlášení o narušení dat, porušení dohod o ochraně osobních údajů a kybernetických útocích v soukromém a veřejném sektoru může být těžké určit, co je skutečně bezpečné.

A poté, co několik let zpět vystrašilo několik hackerů o inzulínovou pumpu, nemůžeme si pomoct, ale zajímalo by nás: kde si stojíme ohledně bezpečnosti našich diabetických zařízení (a informací, které obsahují) v roce 2019?

Rizikem je, že je někdy skutečné a někdy vnímané. Řešení skutečných rizik vede k bezpečnosti. Zatímco posedlost vnímaným rizikem vede ke strachu. Co je tady skutečné? A co přesně se dělá k řešení obav o kybernetickou bezpečnost v oblasti cukrovky?

Pokrok v oblasti standardů lékařské kybernetické bezpečnosti

V říjnu 2018 vydal americký Úřad pro kontrolu potravin a léčiv (FDA) pokyny před uvedením všech zdravotnických prostředků obsahujících kybernetická rizika na trh. Později na podzim vydala Health Canada také dokument s pokyny, který obsahuje doporučení v oblasti kybernetické bezpečnosti, která mají být využívána společnostmi zabývajícími se technologiemi medicíny během jejich vývojových a testovacích fází. Myšlenka samozřejmě spočívá v tom, že podle pokynů budou prodejci uvádět na trh zařízení, která jsou již zabezpečená, ve srovnání s zařízeními, jejichž zranitelnost byla odhalena po uvedení na trh prostřednictvím používání pacientů.

Podle tiskové zprávy Health Canada patří mezi doporučení kybernetické bezpečnosti zařízení v jejich návrhu pokynů: 1) začlenění opatření kybernetické bezpečnosti do procesů řízení rizik pro všechna zařízení se softwarovou komponentou, 2) vytvoření rámců pro správu rizik kybernetické bezpečnosti na podnikové úrovni, a 3) ověřování a validace všech procesů kontroly rizik kybernetické bezpečnosti. Konkrétně doporučují opatření, jako je implementace standardu kybernetické bezpečnosti UL 2900 ke zmírnění rizik a slabých míst.

Ken Pilgrim, hlavní konzultant pro regulační záležitosti a zajištění kvality ve společnosti Emergo Group ve Vancouveru, uvedl, že nové pokyny by se měly ukázat jako cenné pro výrobce zdravotnických prostředků nejen v Kanadě, ale i v jiných jurisdikcích vyvíjejících podobné požadavky v oblasti kybernetické bezpečnosti.

Opatření zaměřená na kybernetickou bezpečnost diabetických zařízení se mezitím ve Spojených státech připravují.

Koncem října Diabetes Technology Society (DTS) oznámila, že OmniPod DASH se stala první inzulínovou pumpou očištěnou FDA, která získala certifikaci podle standardu a programu kybernetické bezpečnosti DTS „Standard for Wireless Diabetes Device Security“, známého jako DTSec.

Společnost DTS byla založena v roce 2001 Dr. Davidem Klonoffem za účelem podpory používání a vývoje technologie diabetu. DTSec je v podstatě první organizovaný bezpečnostní standard pro cukrovku. Přemýšlejte o tom jako o pečeti bezpečnosti, podobné tomu, jak vidíme webovou adresu https. Standard byl založen v roce 2016 po výzkumu a vstupech z akademické obce, průmyslu, vlády a klinických center. Jako většina standardů jde o dobrovolné pokyny pro výrobce, aby zvážili přijetí a dodržování.

Od té doby organizace nadále prosazuje výzkum v oblasti kybernetické bezpečnosti a hodnocení rizik, pořádá konference a vyvíjí podrobnější ochranu.

Loni v červnu, několik měsíců před oznámením týkajícím se OmniPodu po DTSec, vydala skupina nové bezpečnostní pokyny nazvané DTMoSt, zkratka pro „Používání mobilních zařízení v kontextech kontroly diabetu“.

Podle Klonoffa, lékařského ředitele Diabetes Research Institute v Mills-Peninsula Medical Center, San Mateo, CA, pokyny DTMoSt vycházejí z DTSec tím, že se stávají prvním standardem jak s požadavky na výkon, tak s požadavky na záruky pro výrobce připojených zdravotnických prostředků řízených mobilní platforma.

DTMoSt identifikuje hrozby, jako jsou škodlivé vzdálené útoky a útoky založené na aplikacích a „nedostatek zdrojů“, pro bezpečný provoz řešení podporovaných mobilními zařízeními, a nabízí pokyny vývojářům, regulačním orgánům a dalším zúčastněným stranám, které jim pomohou tato rizika zvládnout.

Bezpečnostní opatření by neměla bránit použití

Dnes může být glukometr, CGM a aplikace pro chytré telefony s cukrovkou všechny připojeny k internetu, a proto mohou být do určité míry rizikové.

Navzdory pokračujícím rozhovorům o nebezpečích internetu věcí odborníci varují, že skutečné riziko pro veřejnost je poměrně nízké. Pokud jde o bezpečnost, špatní lidé prostě nemají tak velký zájem o údaje o glykémii někoho jiného (ve srovnání s heslem jejich bankovního účtu).

Jak již bylo řečeno, investice do kybernetické bezpečnosti jsou nezbytné jako preventivní opatření k ohrožení a zajištění základní bezpečnosti uživatelů a zákazníků.

Nevýhodou však je, že implementace opatření v oblasti kybernetické bezpečnosti může někdy znamenat, že systém bude velmi obtížné nebo nemožné použít pro sdílení dat zamýšleným způsobem. Trik v rovnici neomezuje schopnost provozu a přístup určených osob.

A co soukromí? Znovu a znovu vidíme, že zatímco lidé říkají, že upřednostňují soukromí, zdá se, že jednají rozporuplně, když souhlasí, posouvají, inicializují, podepisují a poskytují přístup k informacím a datům s velmi malým skutečným myšlením nebo znepokojením. Pravdou je, že my spotřebitelé obvykle zásady ochrany osobních údajů nečteme příliš pečlivě, pokud vůbec. Právě jsme stiskli tlačítko „další“.

Vyrovnání strachu a úzkosti

Mnoho lidí v tomto odvětví varuje před negativní stránkou kybernetické bezpečnosti: zaměřením na strach, který hraničí s posedlostí, výzkumem stymiů a nakonec by mohl stát život. Jsou to lidé, kteří si uvědomují, že kybernetický svět a naše diabetická zařízení jsou vystavena riziku, ale cítí, že přehnaná reakce je potenciálně nebezpečnější.

„Celému problému„ kybernetické bezpečnosti v zařízeních “se dostává mnohem více pozornosti, než by si zasloužil,“ říká Adam Brown, vedoucí redaktor invektiva a autor Bright Spots & Landmines: The Diabetes Guide Přál bych si, aby mi někdo podal ruku. "Potřebujeme, aby se společnosti pohybovaly rychleji, než jsou, a kybernetická bezpečnost může vyvolat zbytečný strach." Mezitím jsou lidé venku a nemají to žádná data, žádné připojení, žádnou automatizaci a žádnou podporu. “

Howard Look, generální ředitel společnosti Tidepool, D-Dad, a klíčová síla v pozadí hnutí #WeAreNotWaiting, vidí obě strany problému, ale souhlasí s Brownem a dalšími odborníky z oboru, kteří se obávají kontroly míry lékařského pokroku.

„Společnosti zabývající se výrobou zařízení (včetně softwaru jako společnosti poskytující zdravotnické přístroje, jako je Tidepool) musí kybernetickou bezpečnost brát velmi, velmi vážně,“ říká Look. "Určitě nechceme vytvořit situaci, kdy hrozí hromadný útok na zařízení nebo aplikace, které by mohly lidem ublížit." Ale obrázky „hackerů v mikinách“ s lebkou a zkříženými hnáty na obrazovkách počítačů jen děsí lidi, kteří nechápou, o co jde. Způsobuje, že společnosti zabývající se výrobou zařízení zpomalují, protože se bojí. Nepomáhá jim pochopit správnou věc. “ Podívejte se měl na mysli snímky Powerpoint zobrazené na lékařských konferencích o diabetu s děsivými obrázky, které údajně představovaly kybernetická nebezpečí.

Systémy uzavřené smyčky OpenAPS a Loop do-it-yourself, které se staly populární, jsou technicky založeny na „zranitelnosti“ starších čerpadel Medtronic, která umožňuje bezdrátové dálkové ovládání těchto čerpadel. Abyste hackli pumpy, potřebujete znát sériové číslo a musíte být 20 sekund v blízkosti pumpy. "Existují mnohem jednodušší způsoby, jak někoho zabít, pokud to chceš udělat," říká Look.

Mnoho lidí tvrdí, že tato navrhovaná „zranitelnost“ v oblasti bezpečnosti, jakkoli teoreticky děsivá, je obrovským přínosem, protože umožnila tisícům lidí provozovat OpenAPS a Loop, zachraňovat životy a zlepšovat kvalitu života a veřejného zdraví pro ty, kteří používají jim.

Měřený přístup k rizikům

Organizace jako DTS dělají důležitou práci. Na zabezpečení zařízení záleží. Prezentace výzkumu a konferencí na toto téma jsou konstantami průmyslového odvětví - technologie cukrovky a kybernetická bezpečnost se zaměří na několik prvků 12. mezinárodní konference o pokročilých technologiích a léčbě diabetu (ATTD 2019), která se koná tento měsíc v Berlíně. Tyto pravdy však nadále existují vedle skutečnosti, že lidé potřebují lepší nástroje, které jsou levnější, a my je potřebujeme rychle.

"Charakteristickým znakem skvělých zařízení je neustálé zlepšování, nikoli dokonalost," říká Brown. "To vyžaduje připojení, interoperabilitu a vzdálenou aktualizaci softwaru."

I když jsou zařízení otevřená rizikům, zdá se, že odborníci souhlasí, že jsou obecně docela bezpečná a zabezpečená. Od roku 2019 a dále se bude shodovat, že i když je důležité sledovat kybernetické riziko, je toto riziko často přeceňováno a potenciálně se vymyká zdravotním rizikům, že nebude mít pokročilé nástroje pro cukrovku.